“챗GPT 쓴 적 없는데 30만원이 쓱”…피해봤다면 카드 즉시 정지해야

챗GPT 유료 멤버십 무단 결제 의심 858건 발생…피해액 2억5000만 원 달해
결제 대행사, 신규 결제 차단 및 접수된 피해 전액 취소 처리
전문가 “피해자 결제 취소만으론 부족…카드 정지·재발급 필요”

미국 매사추세츠주 보스턴에서 컴퓨터 스크린 앞에 띄워진 챗GPT(ChatGPT) 로고. 2026.05.26 보스턴=AP 뉴시스

국내에서 소비자 동의 없이 챗GPT 유료 멤버십이 결제되는 사고가 무더기로 발생했다. 해킹 사고로 유출됐거나 도난된 카드 정보를 악용한 사례로 추정되고 있다.

보안 전문가들은 이같은 유형의 피해를 입은 이용자의 경우, 단순히 결제 취소에 그치지 말고 카드를 즉시 정지하고 재발급받아야 한다고 경고했다.

22일 결제대행사(PG)인 나이스정보통신에 따르면 현재까지 파악된 국내 ‘챗GPT 프로’ 무단 결제 의심 건수는 총 858건이다. 챗GPT 프로는 월 이용료가 29만9000원에 달하는 고가 서비스다. 현재까지 집계된 피해 금액만 약 2억5600만원에 이른다.

현재 챗GPT 결제는 비자·마스터카드 등 글로벌 카드망을 통한 직접 결제와 네이버페이·카카오페이 등 간편 결제, 그리고 국내 PG사를 연동한 카드 결제 등으로 나뉜다. 이 중 나이스정보통신은 오픈AI의 챗GPT 멤버십 국내 카드 결제를 대행하는 핵심 PG사다. 나이스정보통신은 이용자들의 항의 민원이 빗발치자 오픈AI 측과 긴급 거래 확인 및 취소 절차에 돌입했다.

나이스정보통신은 오픈AI 측과 협의해 해당 가맹점의 신규 카드 등록과 결제를 전면 제한했다. 공식 홈페이지를 통해서도 피해 민원을 추가 접수하고 있다. 회사 측은 지금까지 접수된 민원에 대해 가맹점 확인을 거쳐 전 건 취소 처리를 완료했다고 밝혔다. 선제적으로 추가 결제를 막은 만큼 이후 추가 피해는 확인되지 않았다는 입장이다.

◆카드정보 악용 가능성…왜 하필 챗GPT였나

이번 무단 결제 사고의 배경으로는 도난당하거나 유출된 카드 정보가 어둠의 경로에서 악용됐을 가능성이 유력하게 꼽힌다. 나이스페이를 통해 결제할 때 필요한 정보는 카드 번호와 유효 기간, 보안 코드(CVC), 비밀번호 앞 2자리, 생년월일(주민등록번호 앞자리 6개) 등이다.

카드 정보 외에 복수의 확인 정보가 있어야 하나, 휴대전화 본인인증처럼 카드 실소유자와 휴대전화 명의자를 대조하는 절차는 필수로 적용되지 않았다.

나이스정보통신은 기존 결제 방식이 가맹점 서비스 운영 방식과 글로벌 결제 환경 등을 종합적으로 고려해 적용된 방식이라고 설명했다. 글로벌 서비스에서는 이용자 편의성과 결제 접근성을 위해 카드정보 기반의 간편 등록·결제 절차가 넓게 활용되고 있다는 것이다.

회사 관계자는 “국내법상 해당 방식에 휴대전화 본인인증을 반드시 적용해야 하는 별도 의무 규정이 있는 것은 아니다”라며 “법인카드, 가족카드 등 휴대폰 명의자의 본인인증을 적용할 수 없는 다양한 결제 환경이 존재해 휴대전화 본인인증을 필수 절차로 적용하지 않았다”고 밝혔다.

나이스정보통신은 이번 사례를 계기로 추가 이용자 보호 장치가 필요하다고 보고 휴대전화 본인인증 도입을 포함한 보완 조치를 추진 중이라고 전했다.

보안 업계와 학계에서는 이번 사고가 유출된 카드 정보의 유효성을 시험하기 위한 범죄일 수 있다고 본다. 정보가 실제로 쓰일 수 있는 유효 정보인지 확인하기 위해 일부러 고액의 구독 결제를 질렀다는 분석이다.

원유재 충남대 컴퓨터인공지학부 교수는 “불특정 다수의 피해가 발생한 만큼 누가 어떤 목적을 가지고 이런 사고를 냈는지 확인하는 것이 중요하다”고 말했다. 다만 공격자가 누구인지, 어떤 경로로 카드 정보를 확보했는지, 왜 챗GPT 프로 결제를 시도했는지는 아직 확인되지 않았다. 나이스정보통신 측은 “가맹점에서 발생한 결제 정보를 중개하기 때문에 카드 정보가 어떤 경로로 유출됐고 누가 이를 탈취해 결제했는지 직접 확인하기는 어렵다”고 말했다.

◆“대규모 유출사고·도난 카드 정보 악용 가능성 점검 필요”

보안업계·학계 일각에서는 이번 사고를 계기로 과거 카드 정보 유출 사고에 대한 추가 점검이 필요하다는 지적도 나온다. 결제에 필요한 정보가 한 번 외부로 유출되면 사고 직후에는 피해가 확인되지 않더라도 시간이 지난 뒤 다른 온라인 서비스 결제에 악용될 수 있기 때문이다.

대표적인 사례가 지난해 9월 발생한 롯데카드 해킹 사건이다. 당시 온라인 결제 시스템이 해킹당하면서 카드 번호와 유효 기간, CVC 등 결제 정보 28만여건이 통째로 유출됐다. 당시 금융당국과 롯데카드는 부정 결제 피해가 없다고 발표하며 진화에 나섰다.

이번 챗GPT 결제 피해가 롯데카드를 비롯한 카드사 해킹 사태와 직접 연결할만한 증거는 아직 없다. 나이스정보통신 역시 결제 정보만 중개하기 때문에 유출 경로를 직접 파악하기는 어렵다는 입장이다. 하지만 전문가들은 장기간 유통되는 유출 정보의 특성상 과거 사고와의 연관성을 배제해서는 안 된다고 입을 모은다.

다양한 사이트에서 수집된 개인정보와 도난 카드 정보들을 무차별적으로 교차 대입해 결제를 시도했을 가능성도 제기되고 있는 만큼, 모든 가능성을 열어두고 조사할 필요성이 있다는 주장도 있다.

홍준호 성신여대 융합보안공학과 교수는 “무단 결제가 한 번이라도 발생했다면 해당 카드 정보가 이미 범죄자들에게 완전히 노출됐다는 뜻”이라며 “단순히 결제 취소 처리를 받았다고 안심하면 동일한 정보로 언제든 2차 피해가 날 수 있으니 즉시 카드를 정지하고 재발급받아야 한다”고 강력히 권고했다.

금융 시스템의 근본적인 체질 개선이 필요하다는 지적도 나온다. 그는 “해외 플랫폼 결제라는 이유로 무조건 추가 인증을 의무화하기는 어렵겠지만, 고위험 거래에 대해서는 이상거래탐지를 강화하고 최초 결제나 고액 결제 시 추가 인증을 요구하는 등 위험 기반 인증 체계를 확대할 필요가 있다”고 지적했다.

[서울=뉴시스]