구글 콘텐츠 '소액결제' 보안 허술 해킹 피해 속출

신용카드 번호 등록한 계정 도용 게임 아이템 구입비 빼가는 수법

휴대폰 게임을 즐겨하는 직장인 이모씨(24)는 5월30일 게임 아이템을 구입하려고 구글 계정에 신용카드 번호를 등록했다. 구글의 휴대폰 콘텐츠 시장 '플레이스토어'는 카드를 등록해야 애플리케이션과 게임, 영화 등을 살 수 있다. 은행처럼 번거로운 인증 절차도 없어 안드로이드폰 사용자 대부분은 카드를 등록한다.

이씨는 이날 구글 결제로 5000원짜리 게임 아이템 1건을 샀다. 다음날 오후 휴대폰에 불이 났다. 결제 안내가 11차례나 날아왔다. 누군가 이씨 계정을 도용해 16만원어치의 게임을 구입한 것이다. 이씨는 "구글 서비스센터에 전화하니까 '은행에 말해 취소하라'고 하더라"고 전했다. 그는 은행에 사정사정해 두 달 뒤에야 환불 받았다.

이씨는 "거대 포털이 제공하는 서비스라 안전하다고 생각했는데, 이런 일이 벌어져 황당했다"고 말했다.

인터넷 사기 피해 커뮤니티 등에는 '구글 해킹' 피해 사례가 지난해 말부터 최근까지 30건 이상 올라왔다. 사례 수집에 나선 서울 남대문경찰서 관계자는 "구글이 피해자들에게 어떤 정보를 수집했는지, 피해가 얼마나 있는지 따져볼 것"이라고 말했다.

보안 전문가들은 포털만의 책임은 아니라고 했다. 다만 제대로 된 보안조치가 없는 결제서비스는 문제라고 했다. IT 보안업체 '하우리' 최상명 보안연구센터장은 "은행 OTP(One Time Password·일회용 비밀번호 생성) 같은 인증 절차 강화가 필요한데, 구글의 노력은 부족했다"고 말했다. 구글은 2011년 일회용 비밀번호를 다시 입력하는 '2단계 인증'을 시행했다. 선택사항이라 피해자들은 이런 방법이 있다는 사실을 몰랐다.

최근 페이스북, 카카오톡 등 사회관계망서비스(SNS) 기업들이 금융서비스를 시작하며 피해 가능성은 더 커지고 있다. 최 센터장은 "피해 발생 전에 보안 대책을 충분히 마련해야 한다"고 말했다.

<박용하 기자 yong14h@kyunghyang.com>