스마트폰 게임한 적 없는데… 41만원 빠져나가

소액결제 해킹 피해 잇따라
악성코드 앱 심어 원격조작… 본인인증 절차-보안 강화해야

동아일보DB

대학생 남유영 씨(21·여)는 올 4월 휴대전화 요금 고지서를 받고 깜짝 놀랐다. 설치하지도 않은 게임을 해서 사이버머니 9만6153원을 결제했다는 기록이 있었던 것. 처음에는 ‘어린 조카가 잘 모르고 결제 버튼을 눌렀나’라고 의심했지만 해당 게임은 남 씨의 스마트폰 기종에서는 설치조차 할 수 없는 애플리케이션(앱·응용프로그램)이었다. 사이버머니를 결제한 것으로 기록된 때에 남 씨의 스마트폰을 만진 사람도 없었다. 남 씨는 게임업체와 통신사 및 결제업체에 문의했지만 “정상적으로 결제됐으니 환불해줄 수 없다”는 답변만 받았다.

최근 이용한 적이 없는 앱에서 요금이 빠져나가 피해를 보는 사례가 속출하고 있다. 인터넷 ‘휴대폰 소액결제 피해자 모임’ 카페에는 이런 방식으로 수십만 원을 잃었다는 피해자들의 글이 여러 건 올라왔다. 아이디 ‘할수있다’를 쓰는 사람은 “회식 중이라 스마트폰을 가방에 넣어두고 아예 만지지도 않았는데 게임머니 명목으로 41만7200원이 빠져나갔다”고 했다.

정보기술(IT) 전문가들은 이런 피해가 발생하는 것이 스마트폰 해커와 무관하지 않다고 보고 있다. 악성코드에 감염된 앱을 내려받으면 해커가 원격으로 피해자 스마트폰을 조작해 게임머니를 결제한다는 것이다. 단순히 어린 자녀가 실수로 게임머니를 결제하는 경우는 스마트폰에 비밀번호를 걸어 예방할 수 있었지만 해킹 기술까지 동원하는 수법에는 속수무책이다. 이동훈 고려대 정보보호대학원 교수는 “스마트폰 보안 소프트웨어로 악성코드 감염을 막고 이동통신사에 소액결제 차단을 요청해야 피해를 예방할 수 있다”고 조언했다.

소액결제 해킹이 가능한 이유는 허술한 본인 인증 절차 탓이라는 지적도 있다. 방송통신위원회에 따르면 컴퓨터로 결제할 땐 금액이 1000원 미만이어도 공인인증서나 휴대전화 문자메시지로 본인 인증을 거쳐야 하지만 스마트폰에서는 인증 과정 없이 결제가 가능하도록 돼 있었다. 방통위는 관련 피해가 속출하자 지난달 본인 인증 절차를 의무화하는 소액결제 가이드라인을 만들어 업체에 배포했지만 피처폰(스마트폰이 아닌 일반 휴대전화)에서는 3000원 미만 결제 시 여전히 본인 인증 절차가 없다.

이경전 경희대 경영학과 교수는 “게임머니도 아이템 거래 사이트를 통해 현금처럼 거래되는 만큼 본인 인증 절차를 강화하고 피해 신고가 접수되면 무과실 입증 책임을 업체 측이 지도록 제도를 개선해야 한다”고 말했다.

▶ [채널A 영상] 진화하는 피싱…메신저 버튼 눌렀더니 290만원 인출

조건희 기자 becom@donga.com