"주말에 갑자기 문자가 연달아 오길래 나중에 봤더니 구글 계정이 해킹당했는지 60만 원이 결제됐습니다. 내용을 확인하니 리니지M이라더군요. 주말이라 어떻게 할 도리가 없어서 나중에서야 통신사 전화해서 소액결제 막아놓았습니다. 검색 후 구글에 환불 신청하고 2주가량 기다리다 답변을 받았는데 신고내용을 확인할 수 없다고 환불이 불가능하다고 합니다."
"저도 두 달 전에 같은 일을 겪었습니다. 구글 공식 창구를 통해 몇 번을 신고하고 환불 요청했는데 반려 당했고 전화 상담은 아예 불가능했어요. 정말 답답하고 분하더군요."
최근 기업, 금융기관 해킹 등을 통해 다양한 개인정보가 빠져나가고 보이스피싱 등으로 인한 피해 건수도 해마다 늘고 있는 가운데 휴대전화 통신사를 통해 나도 모르는 내역이 결제되는 일이 빈번해 주의가 요구된다.
직장인 익명 커뮤니티에는 이처럼 통신사를 통해 수차례에 걸쳐 수십만 원부터 심지어 100만 원대까지 결제 도용되는 일이 발생하고 있다.
한 SK텔레콤 사용자 A 씨는 구글 콘텐츠 이용료를 명목으로 리니지M으로 49만5000원이 도용되는 피해를 겪었다고 제보를 해왔다.
구글 콘텐츠 이용료는 흔히 알고 있는 휴대전화 소액결제와는 또 다른 항목으로 구글 이메일 비밀번호만 연결해두면 구글 플레이스토어를 통해 통상 최대 50만 원까지 결제가 되도록 설정돼 있다.
A 씨는 주말에 문자 메시지가 연달아 오는 것을 보고 전화를 들어 확인했다. 문자 메시지에는 [구글 콘텐츠 이용료 결제가 완료됐습니다] 라는 안내와 함께 11만 원이 엔씨소프트를 통해 결제됐다고 돼 있었다. 처음 보는 메시지 내용에 '이게 뭐지?' 싶은 순간 또 하나의 메시지가 왔다. 몇 초 되지 않은 사이에 두 번째 결제가 이뤄졌다. 역시 11만 원이 엔씨소프트로 결제가 돼 있었다.
뭔가 단단히 잘못됐다는 것을 느낀 순간 세 번째 결제, 또 연달아 네번째 다섯 번째 결제가 이뤄졌다는 메시지가 왔고 11만원 4차례, 5만5000원. 이렇게 총 49만 5000원이 결제됐다. 5차례의 결제가 이뤄지는 데는 채 1분도 걸리지 않았다. 아이디를 도용한 가해자는 5회 째에도 11만 원을 결제하려다가 한도 초과로 결제되지 않자 4만 5000원을 결제하는 치밀함을 보였다. 통상 한도가 50만 원이었다는 알고 있었기에 가능했다. 결제 한도가 50만 원이 아니었다면 얼마나 더 큰 피해를 보았을지 알 수 없는 상황이었다.
SK텔레콤에서는 결제 한도가 초과했으니 한도를 변경하려면 설정을 바꿔 달라는 사후 메시지만 보낼 뿐 본인이 진행하는 결제가 맞는지 그 흔한 인증번호 확인조차 하지 않았다.
문제는 대부분의 휴대전화 사용자들은 핸드폰 소액결제 말고 콘텐츠 이용료 결제가 따로 있다는 것도 제대로 알지 못한다.
한 네티즌은 결제가 도용되는 상황에서 고객센터에 전화해서 소액결제를 막아달라고 요청했지만 잠시 후 또다시 결제가 되는 일이 있었다고 경험담을 전했다. 알고 보니 소액결제를 막아달라는 요청에 상담원은 소액결제 항목만 차단했을 뿐 구글 콘텐츠 이용은 가능한 상태였기 때문이다. 이는 통신사 또한 이익을 추구하는 사기업이기 때문에 고객이 요청하지 않은 결제까지 막아둘 의무는 없기 때문에 발생한다.
이 같은 피해를 막기 위해서는 자신의 소액결제 한도와 구글 콘텐츠 이용료 한도를 미리 확인하고 필요하지 않은 경우에는 이를 차단해 두는 것이 좋다. 이를 정확히 알지 못하고 통신사 고객센터를 통해 소액결제만 차단해 놓는다면 피해를 막을 수 없으므로 반드시 콘텐츠 이용까지 차단해 두는 조치가 필요하다. 고객센터와 상담할 땐 반드시 '소액결제'와 '콘텐츠 이용' 모두를 막아달라고 요청하자. 휴대전화 게임 등을 안 하는 경우 이모티콘을 산다든가 꼭 필요한 경우를 대비해 월 1~2만 원 정도의 최소한의 금액으로 설정해 두도록 한다.
비슷한 피해가 속출하다 보니 유튜브 등에는 휴대전화를 통해 개인정보 지키는 방법이 다양하게 소개돼 있다.
유튜버 '버미쌤'이 추천하는 4가지 방법은 간단하면서도 꼭 필요한 정보지키는 방법이니 알아두면 좋다.
첫 번째 개인정보 보호 설정이다. 톱니바퀴 들어가서 개인정보 보호 탭을 눌러 꺼야 할 설정은 진단데이터 보내기와 마케팅 정부 수신이다.
진단데이터 보내기는 제조사에는 도움이 되지만 개인정보 함께 넘어갈 수 있어서 꺼두는 게 좋다고 전했다.
아울러 '위치정보 설정'으로 가서 설정 창 위에 '앱 권한'을 검색한 후 위치설정에 들어가서 항상 허용됨 사용 중에만 위치정보가 설정되도록 하자.
티맵, 내비게이션 같은 앱 외에 24시간 위치 추적을 허용할 필요가 없는 앱은 '앱 사용중'에만 체크를 해 둔다.
다음으로 'MMS 자동수신 차단' 기능도 필요하다.
장문의 문자가 왔을 때 멀티미디어 문자로 주고받는 기능인데 보통 긴 문자가 올 경우 자동으로 받기로 설정돼 있다.
최근 이슈가 된 문자 사기나 보이스피싱(전화금융사기)이 점점 교묘해지고 있어서 이미지 파일에 해킹 프로그램을 보내기도 한다. 나한테 필요한 MMS 문자만 받게 설정해야 한다.
문자메시지 창에서 우측 상단 점 세 개 눌러서 추가설정에 들어가 멀티미디어 메시지 들어가서 내용 바로 보기 해제해 주면 된다.
네 번째는 '계정 2단계 설정'이다.
귀찮다는 이유로 계정 로그인 할 때 비밀번호 입력하는 것으로만 보안을 유지하는 경우가 있다.
이 설정을 해두면 내가 내 아이디로 로그인 했을 때 '누가 로그인을 시도했습니다. 본인이 맞나요' 라고 안내를 한다.
간단하지만 말로 설명하면 복잡할 수 있는 위 내용은 유튜브에서 '버미쌤'을 검색한 후 '이게 켜져 있으면 내 정보 밤새 다 빠져나갑니다! 휴대폰 설정 4가지 무조건 꺼 놓으세요' 콘텐츠를 통해 확인할 수 있다.
최근 이 같은 계정 도용 피해는 대부분 주말에 발생한다.
구글 고객센터는 전화도 어렵고 통신사 고객센터도 분실 등 경우만 연결되기 때문에 이를 악용한 것으로 추측된다.
특히 구글 계정 도용은 피해 사실을 확인한 뒤에 신고 과정도 여간 까다로운 게 아니다. 피해 결제 건수가 10건이든 20건이든 일일이 건건 별로 통신사에서 받은 ID를 입력해서 신고해야 하며 그 대답이 오는 것도 2주가량 소요된다. 답이 올 경우에도 "피해를 확인할 수 없다"거나 "정보가 부족하다"고 올 뿐 환불이 바로 이루어지지 않는 경우가 많다. 컴퓨터 사용이 익숙지 않은 이들에게는 구제가 하늘의 별따기와도 같다.
통신사는 이에 대해 "우리는 결제 대행만 할 뿐 환불은 구글을 통해서만 가능하다"고 한다.
A 씨는 엔씨소프트 고객센터에도 메일을 보내 "계정을 도용당했다. 환불을 도와달라"고 했지만 2주 후 돌아온 답은 "회사에서 도움드리는 계정 도용 피해는 제3자가 고객님의 계정으로 무단으로 접속해 발생한 비정상적인 아이템 이동 등에 대해서만 가능하다"고 답했다.
이러는 사이 A 씨는 환불이 언제 될지도 알 수 없는 상황에서 50여 만원의 휴대요금을 납부해야만 했다.
자신도 모르는 사이에 일어나는 구글 계정 도용을 막기 위해서는 여러 계정을 쓰고 있는 경우 계정을 간소화하고 비밀번호를 수시로 바꿔주는 것이 좋다.
특히 피해 발생 시에는 자신의 계정 중 어떤 계정이 도용된 것인지 확인하고 통신사에 g로 시작하는 수십 자리의 숫자 ID를 받아둔다. 이 ID를 준비하고 포털사이트에 '승인되지 않은 거래'를 검색하면 신고 페이지로 바로 연결할 수 있다.
엔씨소프트의 리니지와 같은 MMORPG(대규모 멀티 플레이어 온라인 롤 플레잉 게임)는 실제 경제처럼 수요와 공급의 균형으로 가격이 결정되고 유저 간의 아이템 거래가 활발하므로 도용도 빈번하다. 현금화가 바로 가능하기 때문이다.
다양한 제재에도 불구하고 아이템 거래 사이트에서 수많은 거래가 진행되고 있어, 모든 사기 피해를 방지하기 어려운 게 현실이다.
엔씨소프트 측은 "가입해 결제한 경우 정상적으로 로그인된 계정이므로 도용 당한 건지 확인할 방법이 없다"면서 "아이디 도용으로 결제된 사실이 확인돼 환불될 경우에도 구글 측이 환불 처리를 진행하는 과정에서 회사 측에 어떠한 사유로 환불이 되는지 정보를 주지 않고 있다. 따라서 계정 삭제는 피해자가 직접 요청할 경우 처리가 가능하다"라고 밝혔다.
아울러 "게임 화면에 다이아를 현금화할 수 없다고 계속 공지하는 등 노력하고 있으며 적발될 경우 이용 제재를 하고 있다"면서 "이용자들도 PC방 등 공용 PC에서 로그인할 때 간편 로그인 정보가 남지 않도록 주의하는 등 개인정보 보안에 주의해 피해를 보지 않길 바란다"라고 당부했다.
승재현 형사정책연구원 연구위원은 "개인이 철저하게 자신의 개인 정보를 보호하고, 소액결제 및 구글 콘텐츠 구입 한도를 설정해 놓는 것이 최선의 방법이다"라면서 "구글 측에서 소비자의 구매로 이익을 얻고 있다면 소비자 보호 시스템을 마련하는 것 또한 기업의 의무가 아닐까 생각한다"고 밝혔다.
승재현 연구위원은 "AI 기술 발달로 인해 평소 구글 콘텐츠를 이용하지 않는 사용자가 비정상정으로 게임 아이템 등을 연속적으로 구매하는 경우 이를 감지할 수 있다"면서 "구매 당사자에게 문자 등으로 미리 알려 정당한 구매가 맞는지 확인 후 결제가 이루어질 수 있도록 구글이 사전 인증 절차를 마련하는 게 필요해 보인다"고 강조했다.
이미나 한경닷컴 기자 helper@hankyung.com
관련뉴스