소액결제 어떻게 뚫렸나

직장인 이모(32)씨는 최근 신용카드 결제 내역을 보고 깜짝 놀랐다. 미국 애플사에서 50달러를 청구했기 때문이다. 구입 물품은 게임 애플리케이션(이하 앱)이었다. 아이폰을 사용하지 않는 그로서는 어떻게 된 영문인지 몰랐다. 카드사에 연락했다. 담당자는 “누군가 카드정보를 도용해 구입한 것 같다.”면서 “고객님과 같은 아이폰 소액결제 피해 신고 사례가 적지 않다.”고 말했다.



대학생 박모(28)씨도 카드사용 명세서에 미국 사이트에서 게임 앱을 60달러어치나 구입한 것으로 나와 있어 당황했다. 아이폰 앱스토어에서 실제 게임을 구입한 적이 없는 그로서는 어이가 없었다. 그는 “세계 일류 기업이라는 애플사가 카드결제 시스템을 너무 허술하게 관리한다는 데 충격을 받았다.”고 토로했다.

‘아이폰’을 이용한 타인명의 신용카드 불법 결제가 기승을 부리고 있다. 불법 카드결제자들은 실제 카드 사용 국가를 검증하지 않는 등 애플사의 카드결제 시스템이 허술한 점을 파고들고 있다.

불법 소액 결제는 간단하다. 먼저 애플 ‘아이튠즈’ 홈페이지에 접속한 뒤 계정(아이디, 비밀번호)을 설정할 때 아이폰 사용 국가를 미국으로 지정한다. 신용카드 입력 창이 뜨면 해킹을 통해 빼낸 타인 명의의 카드 정보(카드번호, 유효기간, CVV)를 입력한다. 이후 아이폰 앱스토어에서 게임 등 앱을 구입한다.

한 통신업계 관계자는 “미국 계정 하나만 만들면 다른 나라 앱도 얼마든지 구매할 수 있다.”면서 “국내 거주자라고 하더라도 지정 국가를 해외로 하면 해외에서 구매한 것으로 처리된다.”고 털어놨다.

게임 등 앱 구매가격은 앱당 0.99달러에서 4.99달러까지 다양하다. 범죄자들은 최소 50~60달러에서 최대 100달러까지 앱을 대량 구매한 뒤 반값에 판다.

트위터나 인터넷 사이트 등에 앱 저가 판매광고를 띄운다. 광고를 보고 이메일이나 쪽지 등으로 구입 의사를 밝혀 오면 돈을 입금 받은 뒤 아이폰 내 ‘선물주기’ 방법을 이용해 구입자 계정으로 보내준다.

카드 정보 해킹은 3가지 방법으로 이뤄진다.

범죄자들은 ‘온라인 쇼핑몰 피싱’이나 ‘금융권 홈페이지 사칭 피싱’ ‘키로그 프로그램(해킹 프로그램)을 활용한 개인컴퓨터(PC) 해킹’을 통해 카드번호, CVV 같은 카드정보를 빼낸다.

온라인 쇼핑몰 피싱은 쇼핑몰에 시중 가격보다 배 이상 낮은 가격으로 물건을 파는 것처럼 위장 광고를 낸 뒤, 구매자가 구매 절차 입력을 마치면 ‘에러’ 표시를 띄우는 방법이다. 에러 창이 뜨는 순간, 구매자의 카드정보와 개인정보가 모두 빠져나간다.

금융권 홈페이지 사칭도 마찬가지다. 국내 은행 홈페이지와 유사한 사이트를 개설한 뒤 이용자가 정보를 입력하는 순간 에러 표시를 띄운다. 키로그 프로그램은 인터넷에서 프로그램 등을 내려받을 때 PC에 자동으로 깔린다.

일단 설치되면 개인들이 키보드로 입력하는 내용이 모두 범죄자들이 지정한 특정 이메일로 전송된다. 범죄자들은 키보드 입력 내용을 분석해 카드정보 등을 알아낸다. 수사당국 관계자는 “연간 100만명의 카드정보가 해외로 빠져나가고 있다.”면서 “아이폰을 이용한 불법 카드 결제 피해자가 더욱 늘어날 것”이라고 우려했다.

김승훈기자 hunnam@seoul.co.kr