문화상품권 1장으로 7000만원 챙긴 ‘김선달’

온라인결제 허점 악용 2명 적발

이미 쓴 문화상품권을 돈을 내지 않고 ‘무한 리필’해 사용한다?

상상 속에서나 가능할 법한 일이지만 이 같은 사건이 실제로 발생했다. 10만 원짜리 문화상품권 한 장을 온라인에서 840차례 다시 사용해 7000만 원을 챙긴 인터넷 세계의 ‘봉이 김선달’ 두 명이 경찰에 적발됐다.

서울 S대 컴퓨터공학과를 나온 프로그래머 김모 씨(27)는 지난해 말 중국동포 프로그래머인 이모 씨로부터 은밀한 제안을 받았다. 김 씨는 “한국 온라인 결제의 허점만 발견하면 돈을 주겠다”는 제안을 받고 ‘연구’에 나서 해킹 없이도 돈을 벌 방법을 찾았다.

김 씨가 찾은 허점은 인터넷 판매 사이트(가맹점)와 최종 결제기관(신용카드사) 사이에서 정보 전달을 하는 결제 대행사의 허술한 관리였다. 결제 대행사들은 온라인에서 결제 취소가 들어올 때, 실제로 거래가 이뤄진 곳에서 요청한 것인지 제대로 확인하지 않았다.

만약 한 사이트에서 물건을 사고 다른 곳에서 취소한다면 확인에 걸리는 시간 때문에 이미 사 놓은 물건과 결제 대금을 모두 챙길 수 있을 것이란 생각이 김 씨의 뇌리를 스쳤다. 그는 이 사실을 의뢰인에게 알렸다.

중국동포 이 씨는 정보를 듣고 바로 범행에 나섰다. 사들일 물건은 아이템 현금거래 사이트의 ‘사이버캐시’로 정했다. 게임 아이템 등을 살 수 있는 사이버캐시는 사이트 내에서 바로 현금으로 바꿀 수 있다.

이 씨는 올해 1월과 3월 총 6일 동안 문화상품권 10만 원으로 한 번에 2만∼10만 원어치의 사이버캐시를 사들인 뒤, 한 어학원 사이트 결제 취소 페이지에 들어가 840차례 취소했다. 이 어학원은 아이템 현금거래 사이트와 동일한 결제 대행사를 쓰고 있어 취소 요청이 가능했다. 이들은 인터넷에서 발견한 결제 대행사의 가맹점 매뉴얼을 토대로 어학원 사이트 내의 결제 취소 페이지를 찾아 들어갈 수 있었다.

결과적으로 사들인 사이버캐시는 수중에 남고 결제 취소에 성공한 상품권은 계속 액면가 10만 원을 유지했다. 이 씨 계정에 들어온 사이버캐시 7000만 원은 그대로 현금으로 바꿨다. 이 씨는 정보를 제공한 김 씨에게 그중 10%인 700만 원을 건넸다.

이들의 범죄는 3월 경찰이 관련 첩보를 입수하면서 덜미가 잡혔다. 경찰청 사이버범죄대응과는 지난달 김 씨를 검거해 불구속 입건하고 중국 국적의 이 씨를 추적하고 있다고 6일 밝혔다. 경찰청 관계자는 “현실 세계에서는 직접 영수증을 내야 결제 취소가 가능한 만큼 이 같은 범죄가 일어날 수 없다”며 “인터넷 결제의 허점을 이용한 범죄”라고 말했다. 경찰은 온라인 결제 대행사들이 이번 수사 이후 이 같은 허점에 대한 보완에 나섰다고 밝혔다.

박재명 기자 jmpark@donga.com