피싱 당했는데..티몬은 "주말엔 전화 안받아요"
지난 토요일, 한가로운 주말 오후를 보내고 있던 60살 김 모 씨. 휴대전화에는 카카오톡 보이스톡으로 부재중 전화 2통이 걸려왔습니다. 김 씨의 아들이었습니다.
아들이 전화 대신 보이스톡을 할 이유가 없어서 처음엔 의아해했는데, 프로필 사진을 보니 아들이 맞았습니다. 보이스톡을 다시 걸었는데 받지 않았고, 대신 카톡 메시지가 왔습니다.
이쯤 되면 짐작이 가시겠죠? 메시지를 보낸 건 아들이 아니라 메신저 피싱 사기범이었습니다. 사기범은 김 씨에게 우선 원격제어 앱을 깔라고 했습니다.
친절하게 앱 설치 요령을 메시지로 보내주기도 했고, 시간이 오래 걸리자 나중엔 짜증을 내기까지 했답니다.
원격제어 앱이 깔리고 '허용' 버튼을 누르면서 김 씨의 휴대전화는 사기범 손아귀에 완전히 넘어가게 됐습니다. 김 씨가 손 쓸 도리가 없게 된 겁니다.
사기범들은 '문상' 그러니까 문화상품권을 사야 한다며 소셜커머스인 티몬 앱을 깔고 김 씨의 명의로 회원 가입을 했습니다.
이후 결제를 해야 한다며 김 씨에게 신용카드 앞면과 뒷면을 사진을 찍어 보내고, 비밀번호도 알려달라고 했습니다.
김 씨는 결국 신용카드 6장의 사진과 비밀번호를 보내줬고, 이 중 2장에서 8차례에 걸쳐 194만 원어치의 상품권이 결제됐습니다.
여기까지 걸린 시간은 5분밖에 되지 않았습니다. 결제되면 상품권의 일련번호인 핀 번호가 문자로 전송되는데, 사기범들은 핀 번호는 물론 카드사 결제 문자도 즉시 삭제하는 치밀함도 보였습니다.
현행법상 신용카드 1장으로 상품권을 구매할 수 있는 한도는 월 100만 원 이내. 신용카드로는 돈을 더 빼내기 힘들어지자, 급기야 편의점에 가서 현금을 뽑아 상품권을 사라고 말했습니다.
김 씨는 그때야 뭔가 이상하다는 걸 깨달았고, 아들과 직접 통화하고 나서야 피싱 사기를 당했다는 걸 알았지만 소용이 없었습니다.
최근 유행하는 메신저 피싱에, 상대방 휴대전화를 마음대로 조작할 수 있는 원격제어 앱, 여기에 문화상품권까지.
신종 피싱 사기 수법이 총 망라된 이번 사건, 사전에 막을 방법이 정말 없었을까요? 피싱 사기범들이 어떤 보안상 허점을 노렸는지 차근차근 살펴보겠습니다.
① 티몬은 주말에는 전화를 안 받는다.
김 씨는 피싱 사기라는 걸 알자마자 곧장 경찰에 신고했습니다. 상품권이 결제된 신한카드와 삼성카드에도 전화해 거래 정지를 시켰습니다.
하지만 카드사들은 상품권 결제에 대해선 취소 권한이 없다며 가맹점인 티몬에 문의하라고 했습니다.
통상 인터넷으로 문화상품권을 결제하면 해당 휴대전화로 식별번호의 일종인 18자리의 핀 번호가 전송됩니다.
해당 핀 번호를 상품권 발행사 홈페이지에 입력하면 해당 금액만큼 충전되는데, 이게 일부라도 사용되면 환불은 불가능합니다.
이 때문에 1분 1초가 급한 상황. 하지만 분통 터지는 일이 일어났습니다. 티몬 고객센터가 전화를 받지 않은 겁니다. 이유는 단순했습니다. 주말과 공휴일은 쉬기 때문입니다.
상품권 발행사인 컬쳐랜드와 해피머니도 같은 이유로 통화가 되지 않았습니다. 그렇게 김 씨와 가족들의 속은 주말 이틀 동안 시꺼멓게 타들어 갔습니다.
지난 8일 통화해 확인해보니 돈은 이미 모두 사용된 뒤였습니다. 당연히 티몬은 환불해줄 수 없다고 했습니다.
② 카드앱은 원격제어앱을 제대로 차단하지 못한다.
이번 사건에 쓰인 원격제어앱을 이용한 피싱 범죄는 범행 기간도 길고 피해액도 더 큽니다. 자신도 모르게 휴대전화를 마음대로 조종해 계좌에 있는 돈을 몽땅 털어갈 수 있기 때문입니다.
이와 관련해 KBS는 지난달 9시 뉴스([KBS 뉴스 9] 오픈 뱅킹 시작됐는데…‘원격제어 피싱’에 손놓는 은행들)를 통해 이런 피싱 범죄의 위험성과 보안 대책에 손을 놓고 있는 시중은행을 고발했습니다.
당시 금융감독원은 지난 8월부터 시중은행 18곳에 '원격제어앱 탐지·차단' 기술 도입을 권고했지만, 이 중 7곳만 운영하고 있다고 밝혔습니다.
하지만 카드앱은 은행앱과 달리 금감원에서 아예 정확한 현황조차 파악하지 못하고 있었습니다.
취재 결과, 이번 사건에 사용된 삼성카드앱에는 원격제어앱 차단 기술이 없었습니다. 삼성카드 관계자는 "연내 도입을 목표로 하고 있는데, 늦어도 내년 초엔 원격 제어 차단 기술을 도입할 계획"이라고 밝혔습니다.
신한카드앱에는 원격제어앱 차단 기술이 적용됐는데 조건이 붙었습니다. 원격제어앱이 감지돼도 고액 결제일 경우만 한해서만 카드앱이 종료되도록 한 겁니다.
하지만 이번 사건의 피싱 사기범들은 최대 27만 원씩 3차례 나눠서 결제하는 바람에 이런 대비책도 소용이 없었습니다.
③ 문화 상품권은 지연 인출 제도가 없다.
티몬의 상품권 상품 문의 게시판에 가보면, 지난해 8월부터 현재까지 올라온 게시글 5백30여 개 중에서 피싱 관련 글이 드러난 것만 130개였습니다.
피싱 피해를 당했다며 환불을 요청하는 글부터, 티몬의 안일한 대응을 성토하고 예방 대책을 요구하는 글까지 다양합니다.
티몬은 관련 피해가 늘고 있단 사실은 알고 있다면서도, 시스템적으로 원천 차단할 방법은 없다고 말했습니다.
상품권 결제 페이지에 '피싱 사기를 주의하라는' 안내문을 내걸고 있고, 시각 효과를 강화하는 작업을 하고 있다고 말했습니다.
피해가 계속되면서, 100만 원 이상 송금되면 30분 동안 ATM기에서 인출이 지연되는 지연 인출제도처럼, 핀 번호 입력과 사용에 시간차를 둬야 한다는 주장도 나오고 있습니다.
하지만 상품권 발행사인 컬쳐랜드는 부정적인 반응을 보였습니다.
이 관계자는 "일부 범죄 피해를 막겠을 순 있겠지만, 다수 이용자가 불편을 겪을 수 있고 영업 손실도 우려돼 시간차를 두는 건 현실적으로 어렵다"고 말했습니다.
④ 메신저 피싱을 원천 차단하지 못한다.
이 관계자는 상품권 피싱 사기는 개인 정보 유출로 인한 메신저 해킹에서 시작되는 만큼, 플랫폼의 보안을 강화하는 게 근본 해결책이 될 수 있다고 강조했습니다.
경찰도 올해 다음 카카오에 대화창에 '상품권'이란 키워드가 나오면 경고 메시지가 자동으로 뜨는 시스템 도입을 건의했는데, 진척이 없는 것으로 알려졌습니다.
카카오 관계자는 "경찰이 관련 시스템 도입을 건의한 건 맞다면서도 세부적인 내용은 확인해줄 수 없다"고 했습니다.
그러면서 "메신저 피싱을 막기 위해 기술적이고 정책적인 방안들을 모색하고 있다"고 덧붙였습니다.
김민철 기자 (mckim@kbs.co.kr)
Copyright © KBS. 무단전재 및 재배포 금지.