국내에서 소비자 동의 없이 챗GPT 유료 멤버십이 결제되는 사고가 잇따라 발생했다. 해킹 등으로 유출됐거나 도난당한 카드 정보가 악용된 사례로 추정된다.
22일 업계에 따르면 현재까지 파악된 국내 '챗GPT 프로' 무단 결제 의심 건수는 총 858건이다. 챗GPT 프로는 월 이용료가 29만9000원인 고가 요금제로, 집계된 피해 금액만 약 2억5600만원에 달한다.
이번 피해는 신용카드 결제 알림 문자를 받았다는 글이 온라인에 잇따라 올라오면서 알려졌다. 피해자들이 받은 문자에는 가맹점이 전자지급결제대행(PG)사인 '나이스정보통신'으로 표시됐고, 실제 사용 내역은 인공지능(AI) 서비스 챗GPT의 고가 요금제 결제라는 공통점이 있었다.
피해자들의 항의와 민원이 이어지자 챗GPT 운영사인 오픈AI와 국내 PG사인 나이스정보통신 등은 결제 취소와 환불 조치를 진행했다. 이후 추가 피해는 확인되지 않은 것으로 전해졌다.
이번 무단 결제 사고는 오픈AI 자체 해킹보다는 도난당했거나 유출된 카드 정보가 결제에 악용됐을 가능성이 큰 것으로 보인다. 피해 결제는 나이스정보통신의 온라인 결제 서비스인 나이스페이를 거쳐 오픈AI의 챗GPT 유료 요금제를 결제하는 방식으로 이뤄졌다.
해외 온라인 가맹점 상당수는 카드 번호와 유효 기간, 보안 코드(CVC) 등 기본 카드 정보만 입력하면 결제가 가능하다. 도난·유출된 카드 정보만으로도 결제가 시도될 수 있는 구조다.
전문가들은 PG사를 통한 결제 구조가 피해 인지를 늦춘 것으로 보고 있다. PG사는 카드사와 직접 계약하기 어려운 업체를 대신해 결제 업무를 중개한다. 이 때문에 PG사를 이용한 결제에서는 카드 명세서나 결제 알림에 실제 서비스명 대신 PG사명이 가맹점명으로 표시되는 경우가 많다.
이번 사고에서도 결제 내역에 챗GPT나 오픈AI가 아닌 '나이스정보통신'이 표시되면서 소비자가 어떤 서비스에서 결제가 이뤄졌는지 파악하기 어려웠다. 사고 직후 오픈AI와 나이스정보통신은 결제 시 나이스정보통신과 오픈AI 또는 챗GPT가 함께 표시되도록 가맹점명을 변경했다.
PG사 결제가 카드사의 이상 금융 거래 탐지 시스템(FDS)에서 뒤늦게 포착될 수 있다는 지적도 있다. FDS는 결제 금액, 시간, 업종, 거래 패턴 등을 종합해 이상 거래를 탐지하는 시스템이다. 그러나 실제 결제처 정보가 충분히 드러나지 않으면 특정 가맹점에서 반복되는 이상 징후를 파악하는 데 시간이 걸릴 수 있다는 것이다.
한편 이번 같은 신용카드 도용이나 부정 사용 피해는 예방과 사후 조치를 통해 줄일 수 있다. 여신금융협회 소비자지원센터의 '분실·도난으로 인한 피해 예방 및 대응 방법'에 따르면 고객은 카드를 발급받는 즉시 카드 서명란에 직접 서명하고, 비밀번호를 철저히 관리해야 한다. 서명하지 않은 카드가 도난 후 사용됐을 경우 카드 소유자가 책임의 전부 또는 일부를 부담할 수 있다.