지난 7월 3일 일본의 편의점 업계 1위 기업인 세븐일레븐에서 공격을 당하는 일이 발생했다. 세븐일레븐은 세븐&아이 홀딩스의 자회사로 편의점 분야에서 전세계적인 규모를 자랑하는 글로벌 기업이다.
세븐일레븐은 7월 1일부터 “세븐페이”라고 하는는 국내의 카카오페이와 유사한 금융 서비스를 오픈하여 서비스를 시작하였다. 공격을 받은 것은 이 세븐페이 서비스로 사용자 계정에 인가되지 않은 접근을 하여 세븐페이와 연동된 사용자의 금융정보를 통해 불법적인 결제를 하여 사용자에게 금전적 손실이 발생하였다. 현재까지 발표된 피해 규모는 900여명의 사용자에게서 5500만엔(한화 약 6억원) 가량의 손실이 발생한 것으로 확인되었다. 세븐일레븐 측은 출시 전 충분한 보안 평가를 받은 후 출시하여 안전할 것이라고 하였으나, 출시 3일차만에 공격을 당하게 되었다.
일본의 한 연구원의 제보에 따르면 피해 원인은 공격자가 사용자의 계정에 접근하기 위해 비밀번호를 재설정할 때 사용자의 생년월일이나 전화번호를 이용하면 사용자의 이메일 주소가 아닌 별도의 이메일 주소로 인증번호를 받을 수 있도록 되어있어 공격을 당한것으로 추정된다. 또한 iOS 버전의 세븐페이 앱에서는 사용자의 생년월일을 2019년 1월 1일 디폴트값으로 입력할 경우 인증에 성공할 수 있다는 점 역시 확인되었다. 이를 통해 사용자 계정에 접근한 공격자는 계정에 연동된 신용카드 및 체크카드 정보를 이용하여 세븐페이를 충전하여 물건을 구매한 것으로 추정된다. 실제 보도에 따르면 이를 통해 상품을 구매하려던 중국인 범죄자 2명이 체포된 사례가 확인되었다.
이번 사건을 통해 세븐일레븐 측은 다음과 같은 대책을 발표하였다.
- 세븐페이 2-Factor 인증절차 도입
- 세븐페이 1회 충전 상한액 설정
- 세븐&아이 홀딩스 그룹 전체 정보보호 체계 재설계
- 보안평가방법 및 범위 재설정
세븐일레븐을 향한 일본 내 여론은 세븐페이 서비스의 중단을 요구하고 있지만, 세븐일레븐 측에서는 상기한 대책을 도입하고, 취약점이 보완될 때 까지 충전 및 신규 회원가입을 일시 중지 하는 수준에서 대응할 것으로 발표하여 거센 비판의 여론이 일고 있다.
[참고]
https://www.sej.co.jp/company/important/201907052200.html
https://www.sankei.com/affairs/news/190705/afr1907050003-n1.html
https://www.nikkei.com/article/DGXMZO46990340V00C19A7CC0000/
보안관제센터 MIR Team