안심못할 신용카드 안심결제시스템

소비자들이 30만 원 이하의 소액 전자상거래 결제 때 사용하는 '안전결제'와 '안심클릭'의 허점을 이용해 억대의 물품을 구입한 뒤 이를 현금화한 일당이 경찰에 붙잡혔다.

경찰청 사이버테러대응센터는 타인의 신용카드번호와 결제 승인 때 필요한 비밀번호를 알아낸 뒤 안전결제 등을 통해 1억8000여만 원 상당의 물품을 구입한 혐의(여신전문금융업법 위반 등)로 13일 추모(22) 씨를 구속하고 공범 이모(44·여) 씨를 불구속 입건했다.

경찰은 또 범행을 주도한 20대 중반의 여성 이모 씨가 중국 지린(吉林)성 옌지(延吉)에 사는 조선족인 사실을 파악하고 신병 확보에 나섰다.

추 씨 등은 신용카드 번호 16자리와 결제 승인에 필요한 비밀번호 또는 인증서 번호만 알면 안전결제와 안심클릭을 통해 인터넷에서 물품을 살 수 있다는 점을 악용했다.

안심클릭은 주로 신용카드 회사들이 도입한 인터넷 결제 방식으로 카드번호와 결제승인 번호만 알면 거래가 가능하다. 주로 은행들이 발급한 신용카드 결제에 쓰이는 안전결제는 인증서를 따로 발급받도록 했지만 인증서 역시 카드번호와 비밀번호만 알면 언제든지 재발급이 가능해 안심클릭과 별 차이가 없다는 게 경찰의 설명이다.

이들은 타인의 신용카드 번호를 알아내기 위해 인터넷 구글 검색이나 해킹으로 쇼핑몰 사이트나 카드회사 회원들의 아이디, 비밀번호부터 먼저 모았다.

그런 다음 이 아이디와 비밀번호를 이용해 해당 사이트에 접속한 뒤 일부만 공개돼 있는 신용카드 번호를 모아 합치는 방식으로 16자리 번호 전체를 알아냈다.

쇼핑몰 사이트에서는 앞의 12자리 번호만 공개돼 있는 카드 소유자의 매출전표를 열람하고 신용카드사 홈페이지에서는 뒤의 4자리 번호만 나와 있는 카드소지 내역을 확인하는 방법이었다.

결제 승인과 인증서 발급에 필요한 비밀번호는 대부분의 사람들이 신용카드나 은행계좌,인터넷 사이트 비밀번호로 같은 것을 사용한다는 데 착안해 쉽게 알아냈다.

추 씨 등은 이렇게 알아낸 55개의 신용카드 정보로 3월부터 최근까지 인터넷에서 물품이나 게임 아이템을 구입한 뒤 현금화하는 수법으로 1억8000여만 원의 부당 이득을 챙겼다.

경찰 관계자는 "안전결제와 안심클릭은 인터넷뱅킹과 달리 비밀번호 오류입력에 대한 횟수 제한이 없어 무제한으로 비밀번호를 입력해볼 수 있다"며 "같은 비밀번호를 여러 곳에 사용하면 쉽게 피해를 볼 수 있다"고 말했다.

이종석기자 wing@donga.com