침해사고/위협동향

리니지 한 적도 없는데··· 미승인 결제 피해 확산 구글은 ‘나몰라라’

이종현
리니지M 결제가 이뤄졌다는 내용의 메일. 피해자는 리니지M을 해본 적이 없다.
리니지M 결제가 이뤄졌다는 내용의 메일. 피해자는 리니지M을 해본 적이 없다.
[디지털데일리 이종현기자] 엔씨소프트의 모바일 게임 ‘리니지M’ 결제 피해가 잇따라 확인되고 있다. 여러 차례 결제가 이뤄진 피해자가 있는 한편 수차례의 시도 중 한 번만 결제된 경우도 있다.

1일 구글 계정 해킹으로 모바일 게임의 미승인 결제 피해가 다수 발생했다. 그간 간간히 발생해온 인앱 결제 피해가 최근 들어 집중됐다는 목소리가 나온다.

피해는 구글 계정의 아이디, 패스워드 유출이 계기가 된 것으로 보인다. 제3자가 구글 플레이스토어 계정으로 접속해 결제 수단에 자동으로 등록돼 있는 휴대폰, 카드 등의 결제를 진행하는 방식이다. 커뮤니티 등에서는 고객센터가 운영되지 않는 새벽 시간대에 피해가 집중되는 것으로 전해진다.

22만원짜리 아이템부터 11만원, 3만3000원 등 다양한 금액대의 상품의 구매 시도를 한다. 하루에 걸쳐 이뤄지는 것이 아니라 며칠간 나눠서 결제를 시도한다.

미승인 결제 피해를 입은 한 피해자의 경우 10월 16일, 31일에 결제 시도가 이뤄졌으나 이는 차단됐다. 그러나 11월 1일 시도한 결제는 승인됐다. 구글의 부정결제 차단 시스템이 작동하지 않았다.
수차례, 각기 다른 금액으로 시도된 결제 시도.
수차례, 각기 다른 금액으로 시도된 결제 시도.

문제는 구글의 소극적인 대처다. 미승인 결제를 환불하는 절차는 디지털 친숙도에 따라 어렵게 느껴질 수 있다. 평소 모바일 게임을 하는 이용자라면 어렵지 않게 환불 절차를 진행할 수 있겠으나 스마트폰에 익숙지 않은 고령층이라면 결제가 된 것도 인지하지 못할 수 있다.

최근 관련 피해자가 증가하거나 줄었는지, 유사한 부정결제 시도 중 차단되는 경우와 승인되는 경우의 차이는 무엇인지, 어떤 유형의 방지책을 마련했는지 등을 묻는 질문에 구글 측은 “설명할 내용이 없다”고 답했다.

미승인 결제를 환불받기 위해서는 구글 고객센터에 환불요청 절차를 진행해야 한다. 신고 양식서를 제출 후 해결을 기다리면 된다. 편차가 있으나 환불에는 2주가량의 기간이 소요되는 것으로 전해진다.

보안업계 관계자는 이와 같은 피해를 예방하기 위해서는 구글 계정에 대한 보안을 강화해야 한다고 조언한다. 여러 서비스의 아이디, 패스워드를 동일하게 유지하는 경우 어느 한 곳의 데이터 유출이 피해를 키울 수 있는 만큼 서로 다른 아이디, 패스워드 사용을 권고했다. 2차인증의 사용도 유용하다는 설명이다.

이와 함께 미승인 결제 피해 확인은 구글 플레이스토어의 주문내역을 통해 확인하는 것이 안전하다고 부연했다. 그는 “결제내역 문자메시지를 사칭한 스미싱 공격도 자주 이뤄진다. 문자메시지 내 인터넷주소(URL) 클릭은 지양하는 것이 좋다”고 조언했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널