소액 인터넷 결제(1회 30만원 이하) 방식인 ‘안심클릭’과 ‘안전결제’의 허점을 이용해 인터넷에서 억대의 물품을 구입해 현금화한 일당이 경찰에 붙잡혔다.
경찰청 사이버테러대응센터는 13일 타인의 ID와 비밀번호로 인터넷 쇼핑몰과 카드사 등에 접속해 카드번호를 알아낸 뒤 인터넷 결제를 통해 1억8,000만원 상당의 물품을 구입한 혐의(여신전문금융업법 위반 등)로 추모(23ㆍ무직)씨를 구속하고 김모(43ㆍ여)씨를 불구속 입건했다.
경찰에 따르면 추씨 등은 우선 검색엔진을 사용하거나 인터넷 곳곳을 돌며 다른 사람의 ID와 비밀번호 등 8만건의 접속정보를 수집했다.
이들은 네티즌 대부분이 하나의 ID와 비밀번호로 여러 사이트를 이용한다는 사실에 착안해 확보한 접속정보로 인터넷 쇼핑몰과 결제대행회사, 카드사 홈페이지에 들어가 부분적으로 표시된 신용카드 정보를 모아 16자리 카드번호를 조합해 냈다. 쇼핑몰 매출전표에선 앞 12자리, 카드사에선 뒤 4자리의 카드번호를 알아내는 식이다.
이들은 번호를 알아낸 신용카드의 결재방식이 인증서와 비밀번호로 거래하는 ‘안전결제’일 경우엔 이미 확보한 ID와 비밀번호로 인증서를 재발급 받았다.
인터넷 뱅킹은 ‘공인 인증서’를 재발급 받으면 기존 인증서는 무효가 되지만 안전결제 같은 인터넷 신용카드 결재에 필요한 ‘비공인 인증서’는 여러 개가 발급된다는 사실을 악용한 것이다. 인증서 방식이 아니고 비밀번호만 입력하면 되는 ‘안심클릭’은 접근이 더 쉬웠다. 실패할 경우엔 다시 타인의 접속정보를 이용해 카드번호를 조합하는 수고를 아끼지 않았다.
조사결과 추씨 등은 올해 3월부터 최근까지 알아낸 55개의 카드번호로 물품이나 게임 아이템을 구입한 뒤 현금화하는 수법으로 1억8,000만원을 챙겼다.
경찰 관계자는 “안전결제와 안심클릭은 인터넷뱅킹과 달리 비밀번호 오류입력에 대한 횟수 제한이 없어 무제한으로 비밀번호를 입력해볼 수 있다”며 “가능한 다양한 ID와 비밀번호를 사용하는 게 이 같은 피해를 줄일 수 있는 한 방법”이라고 말했다.
고찬유 기자 jutdae@hk.co.kr
기사 URL이 복사되었습니다.
댓글0