무료주문 가능한 특정계정에 접근...나이키, 현재 웹사이트 허점 패치

[보안뉴스 호애진] 버지니아주 출신의 전(前) 대학 야구선수가 나이키 웹사이트의 허점을 이용해 8만 달러(약 9천만원) 상당의 제품을 무료로 이용해 온 것으로 알려져 화제를 모으고 있다.

25살의 브래드 스티븐슨(Brad Stephenson)은 프로 운동선수들의 모임과의 교류를 통해 나이키가 소위 ‘엘리트 선수 계정’을 운영 중이고, 이들은 무료로 나이키 상품을 주문할 수 있다는 것을 알게 됐다.

그는 엘리트 선수 계정의 방문객으로서 자신의 이름을 목록에 등록하는 방법을 알아내는데 성공했고 지난 5개월 간 흥청망청 쇼핑을 해왔다.

샌프란시스코 지역 신문사 SFGate에 따르면, 그는 12개의 계정을 활용해 총 81,419.58달러 상당의 제품을 주문했으며, 주문된 제품들은 버지니아, 플로리다, 아리조나, 노스 캐롤라이나 지역의 여러 주소로 배송된 것으로 알려졌다.

미 연방의 기소에 따르면, 스티븐슨이 이용한 계정의 원래 사용자들은 자신의 나이키 계정에 다른 사람이 접근하거나 주문할 수 있는 권한을 부여하지 않은 것으로 나타났다. 

스티븐슨이 주문한 대부분의 제품들은 다른 사람들에게 선물하는데 사용됐고, 일부는 그가 사용했으며 이베이(eBay)를 통해 판매된 제품도 있다.

첩보기관이 그를 체포하기 위해 자택을 급습했을 때, 총 1만7천 달러 이상의 나이키 제품 231점을 발견하고 이를 압수했다.

스티븐슨은 컴퓨터를 이용한 사기 혐의로 기소됐지만 나이키와 합의를 했고, 웹사이트의 허점을 패치하는데 도움이 됐다는 점이 인정돼 최종 판결이 어떻게 날지는 아직 미지수다.

그는 해당 계정에 어떻게 접근할 수 있었는지에 대해 공개하는 것을 꺼리고 있어 아직까지는 그 방법이 알려지고 있지 않다. 그러나 이와 관련한 책의 집필을 마친 것으로 알려져 머지않아 세상에 알려지게 될 것으로 보인다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>