나도 모르게 내 비밀번호로 결제…피해 잇달아
구글 "시스템 해킹은 아냐. 피싱 등에 의한 도용"
지문, 홍채인식보다는 2단계 인증 설정 권고
유출된 개인정보가 구글에서 도용되며 눈 깜짝할 사이 수십만원에서 수백만원이 결제되는 피해사례가 끊이질 않고 있다. 특수문자를 포함한 비밀번호도 뚫리기 십상이어서 사용자 인증을 한 번 더 요구하는 ‘2단계 인증’을 설정하는 등 보안 수준을 강화해야 한다고 전문가들은 조언한다.
직장인 A(28)씨는 지난 9일 갑자기 50만원이 결제됐다는 문자 알림에 깜짝 놀랐다. 자신이 하지도 않은 모바일 게임에서 휴대폰 소액결제 방식으로 11만원씩 네 번, 이어 5만5000원까지 총 다섯 차례에 걸쳐 돈이 나간 것이다.
A씨는 곧장 통신사에 문의했지만 돌아온 답변은 "구글에 문의하라"였다. 애플리케이션(앱) 마켓 구글플레이스토어에서 결제된 것이지 통신사는 게임사와 구글 사이에서 결제 대행만 한다는 이유에서다. 결국 A씨는 구글의 안내를 받아 환불 요청서를 작성해 구글에 자료를 제출했다.
A씨뿐만 아니라 본인 동의 없이도 결제되는 피해가 계속 발생하며 "구글이 해킹당한 것 아니냐"는 지적이 제기되기도 한다. 그러나 구글코리아 관계자는 "구글 시스템이 뚫린 게 아니라 피싱이나 개인정보 유출 등에 의한 도용으로 보인다"며 "오래된 사기 결제 피해 유형 중 하나로 한국이 가장 심각한 공격 대상 국가다"라고 했다. 특정 공격 방법에 의해 다른 곳에서 노출된 비밀번호가 구글 계정에 등록된 결제 수단에도 쓰인다는 것이다.
사기성 결제 피해를 본 경우 구글은 ‘미승인 청구 양식’을 작성한 뒤 구글에 접수하면 환불을 받을 수 있다고 설명하고 있다. 구글은 또 "가장 간단하며 확실한 방지책은 지문이나 홍채 인식을 설정하기보다는 구글 계정에 2단계 인증을 켜는 것이다"라고 했다.
2단계 인증이 활성화되면 구글 계정에 로그인할 때마다 로그인된 스마트폰으로 인증 코드를 요구하게 된다. 계정과 비밀번호가 유출됐다고 해고 계정 주인이 직접 소유한 기기를 통해 인증해야만 접속할 수 있게 되는 것이다.
다만 일부 이용자들 사이에서는 구글이 환불 조치에 소극적으로 대처하고 있다는 비판이 제기되기도 한다. 신청서에 기재된 내용이 부실해 반려당하거나 처리 지연으로 한 달 넘게 기다려야 하는 경우도 발생하는 것으로 알려졌다.
현재 구글에 환불 요청을 했을 때 뜨는 안내문을 보면 ‘신종 코로나 바이러스 감염증(코로나19) 예방 조치로 지원팀 규모를 축소해 운영하고 있다’며 ‘이로 인해 응답이 지연될 수 있다’고 하고 있다. 또 미승인 구매를 조사하는 데 보통 12일가량 걸린다고 한다.
지난해 국정감사 기간 때도 국회 과학기술정보방송통신위원회 더불어민주당 간사인 조승래 의원이 "구글에서 보다 적극적으로 나서야 한다"고 지적하기도 했다. 조 의원에 따르면 피해자들이 대만 등 해외 접속한 이력과 사용하지 않은 기기의 로그인 기록 등을 증거로 제시했는데도 구글이 환불을 거부했다고 한다. 본인 외 가족이나 친지, 지인이 사용했을 수도 있다는 이유에서다. 구글코리아 관계자는 "환불 민원은 최대한 신속하게 처리될 수 있도록 힘쓰겠다"고 했다.