2019. 7. 5. 19:30
킬링 타임
ITmedia NEWS / 2019년 7월 4일
모바일 결제 서비스 「7pay」에서 부정 로그인 피해가 잇따른 문제로 세븐&아이·홀딩스는 7월 4일 긴급 회견을 열었다. 피해액은 전액 보상한다고 한다. 운영원의 세븐·페이 코바야시 츠요시 사장은 「자세한 내용에 대해서는 조사 중. 여러 가지 각도에서 자세히 조사하지 않으면 안 된다.」고 말했지만 전체적으로 세븐&아이 측의 “인식의 허술함”이 엿보이는 회견이었다.
잔액 충전, 신규 등록을 정지. 결제 기능은 그대로
7pay는 1일 릴리스 당시부터 등록자가 쇄도해 액세스하기 어려운 상황에. 3일 즈음에는 부정 이용의 보고가 트위터 등에서 잇따랐다. 로그인 ID와 비밀번호를 입수한 제3자가 계정을 탈취해 잔액 충전이나 세븐일레븐 점포에서 지불이 가능한 상황이었다.
회사의 시산에 따르면 부정 액세스의 피해자는 약 900명. 피해액의 합계는 약 5500만 엔에 달한다(4일 오전 6시 시점, 점포 결제액을 상정). 등록자 수는 150만 명 이상이었다.
코바야시 사장은 부정 액세스의 발각에서 현재까지의 경위를 설명. 2일에 「기억에 없는 거래가 있던 것 같다.」라는 이용자의 문의가 있어 사내에서 조사한 결과, 3일에 부정 이용의 사실을 확인. 고객 서포트 긴급 다이얼을 설치해 공식 사이트에서 ID와 비밀번호의 관리에 대해 주의를 환기했다.
같은 날에 신용 카드와 직불 카드에 의한 충전을 정지하고, 4일에 세븐일레븐 점포 카운터나 nanaco 포인트 등 모든 충전 기능을 정지했다. 7pay의 신규 등록 접수도 「곧 정지한다」고 한다. 결제 기능은 계속해서 제공한다.
회사의 조사로는 부정 액세스 근원의 대부분이 해외 IP이므로 해외로부터의 통신을 차단했다고 한다. 코바야시 사장은 「대응이 늦어졌다는 인식은 없다.」고 말했다.
「취약성은 발견되지 않았다」
부정 액세스의 원인에 대해 기자가 「비밀번호 리스트 공격은 아닌가」라고 지적하자 코바야시 사장은 「그 가능성도 포함해서 조사 중이다.」라고 답했다.
이번 사건에서 특히 문제시되고 있는 것이 「비밀번호 리셋 방법」이다. 7pay는 「세븐일레븐」의 어플에 추가된 결제 기능. 「생년월일」「전화번호」「회원ID(메일 주소)」의 정보가 있으면 제3자가 비밀번호를 변경할 수 있는 상태로, SMS 인증 등 2단계 인증도 설정되어 있지 않았다. 또한 비밀번호 리셋의 메일은 등록 시와는 다른 주소로 보낼 수 있는 구조였다.
인터넷에서는 「너무나 허술」「치명적인 약점」 등 비판이 잇따랐다. 이에 대해 세븐&일레븐의 시미즈 켄 집행 임원은 「모든 서비스에 대해 사전에 보안 심사를 하고 있다. 7pay도 제대로 확인했지만 취약성은 없었다.」라고 거듭 강조했다.
7Pay는 복수의 파트너 기업과 공동 개발했다고 한다. 보안 심사의 자세한 내용은 불명이지만, 애초 「명백히 문제가 있을 것 같은 사양·설계」에 대해 현장 담당자 단계에서 아무도 알아차리지 못한 것인가 하는 의문이 남는다.
애초 왜 「등록 시와 다른 주소로 비밀번호 리셋이 가능한 구조」로 한 것인가. 시미즈 켄 집행 임원은 PC에서(비밀번호 리셋) 조작할 경우 휴대 통신 회사의 메일 주소를 사용할 수 없기 때문에, 그런 사람의 편의를 도모했다고 설명했다.
「비밀번호 리셋 문제에 대해서는 대응 중. 유저 편리성을 고려하면서, 개선하는 편이 좋은 부분에 대해서는 개선해 가겠다.」(시미즈 집행 임원)
피해자는 「경찰에 피해 신고를」
피해 상황의 상세에 대해서도 조사를 진행시켜 나간다. 부정 이용 중에는 한 번의 쇼핑으로 10만 엔분의 담배를 구입한 사례도 있다고 한다.
코바야시 사장은 「단가가 높고 환금성이 높은 담배를 구입한 사례가 많다.」고 강조했지만 실제로는 아마존 기프트권 등 POSA(Point Of Sales Activation)카드를 노린 사례가 많은 것은 아닐까. 실제로 회견 중에도 아마존 기프트권 등을 구입 가능한 것을 인정하고 있었다.
피해액은 전액 보상이라고 하지만 피해자는 구체적으로 어떤 절차를 밟아야 할 것인가. 코바야시 사장은 「경찰에 피해 신고를 하는 것이 기본적인 절차. 다른 방법이 없는지 검토하지 않으면 안 된다고 생각하고 있다.」고 설명했다. 앞으로는 고객 서포트의 인원을 증가시키는 등 이용자의 애프터 서포트에 충실을 기한다.
하지만 이번의 대규모 부정 액세스 피해로 많은 이용자의 신뢰를 잃은 것도 사실일 것이다. 「스마트폰 결제 전체의 신뢰를 깨뜨리는 사건이 아닌가」 하고 지적되자 코바야시 사장은 「(이번 건은)유감스러운 사건. 스마트폰 결제는 안심, 안전, 편리라고 생각되도록 조속히 재건하고 싶다.」고 답했다.
이 정도로 피해가 나왔지만 「유저의 편리성을 위해」 서비스의 전면 정지는 단행하지 않은 세븐&아이. 회견 중에는 「편리성」이라는 말이 몇 번이나 나왔지만, 우선 안전하게 쓸 수 있는 어플을 제공하는 것을 우선해야 하지 않을까.
원문 https://headlines.yahoo.co.jp/hl?a=20190704-00000075-zdn_n-sci