e커머스 고객 대상으로 개인정보 탈취 시도가 잇따른 가운데, 최근에는 입점 판매자를 겨냥한 피싱 메일이 기승을 부리고 있다. 안전거래센터를 사칭해 판매자 정보를 무단 탈취하려는 시도다. 각 업체는 판매자에게 사칭 메일 주의를 당부하며 안전 대응에 나섰다.
31일 업계에 따르면 11번가·옥션 등 주요 오픈마켓은 최근 입점 셀러를 대상으로 악성 메일에 대한 안내문을 공지했다. 11번가 측은 “최근 안전거래센터 상담원을 사칭해 계약 체결 안내메일을 일부 판매 회원에게 발송한 사례가 확인됐다”면서 “메일을 수신한 경우 절대로 해당 메일 본문의 URL을 클릭하거나 개인정보를 제출하는 일이 없도록 각별히 주의해달라”고 당부했다. 지마켓 쇼핑몰인 옥션에도 판매자 다수에게 유사한 내용의 메일이 전달됐다. 옥션은 이로 인한 피해가 발생하지 않도록 메일 열람에 주의할 것을 안내했다.
해당 메일은 안전거래센터 지식재산권 담당자를 사칭, 라이선스 계약 등을 빌미로 피싱 사이트로 로그인을 유도한다. 이를 통해 판매자 아이디와 비밀번호를 무단 탈취하는 수법이다. 악성코드 없이 업무 메일로 위장해 보안 탐지 시스템을 우회한다.
이들이 노린 것은 셀러가 보유한 고객의 주문 정보다. 오픈마켓 판매자는 구매 고객의 전화번호와 주소 등 거래를 위한 개인정보를 갖고 있다. 또 탈취한 로그인 정보를 활용한 크리덴셜 스터핑(무차별 대입)에 나설 수도 있다. 업계 관계자는 “대형 셀러 계정이 도용될 경우 판매자가 보유하고 있는 최신 주문 고객 데이터가 유출될 우려가 있다”고 말했다.
신원불상자가 안전거래센터를 사칭한 것은 각 e커머스마다 자체 안전거래센터를 운영하고 있어서다. 안전거래센터는 입점 판매자에게 위해상품정보와 판매 관련 법령, 정책 등을 안내하는 역할을 한다. 옥션 판매자에게 전달된 피싱메일 내용을 보면 “고객의 안전거래인증이 승인되지 않아 스토어 아이디가 비정상적으로 잠겨 있어 이를 해제해야 정상 거래가 가능하다”며 업무 내용을 구실로 판매자 스스로가 개인정보를 입력하도록 유도한다.
다수 고객 데이터를 보유한 e커머스 기업을 대상으로 개인정보 도용이 이어지면서 각 업체도 피해를 막기 위한 보안 강화에 나섰다. 티몬은 최근 개인정보처리방침을 개정해 본인 확인에 사용되던 연계정보(CI)를 삭제하기로 했다. 부정거래 모니터링 활용을 위해 고객 CI를 수집해왔지만 개인정보가 특정될 수 있다는 우려가 있어 수집·보존을 중단하기로 했다. 쿠팡도 회원 이용약관에 '회원 아이디와 비밀번호가 외부 누출된 것으로 의심되는 경우 회사는 계정 잠금 등 보호 조치를 취할 수 있다'는 조항을 신설했다.
박준호기자 junho@etnews.com
