스미싱 피해, 왜 LG유플러스 소액결제만 많았을까

휴대폰 결제 스미싱, 다른 개인정보 있어야 가능
LG유플러스 휴대폰 소액결제 한도 제일 높아
홈페이지 아이디 생성도 여럿 가능
스팸 필터링 강화, 결제한도 보수적 운영 고민해야

등록 2017-02-09 오후 5:07:07

수정 2017-02-10 오전 9:46:54
가 가

[이데일리 김현아 기자] 쿠팡이 어제(8일) LG유플러스 소액결제 사용을 중지하면서 스미싱 피해 사례를 분석해 보니 94%가 LG유플러스를 통해 이뤄졌다고 발표했다.

30여건의 피해 사례가 발생했는데, LG유플러스 가입자가 94%, KT가 6%, SK텔레콤이 0%라는 것이다.

LG유플러스 역시 같은 날 자사 소액결제 서비스 이용에 대해 월 50만원으로 돼 있던 한도 상향 정책을 잠정 보류하면서 최근 발생하고 있는 휴대폰 소액결제 스팸 사기 피해 증가때문이라고 밝혔다.

▲쿠팡 로고

▲LG유플러스가 자사 홈페이지에서 밝힌 공고문 원래 번호이동 가입자에 대한 소액결제 한도를 상향해주려 했지만 이를 잠정 보류했다.

휴대폰 결제 스미싱 사건은 왜 LG유플러스 휴대폰 소액결제에서만 주로 발생했을까.

지난해 12월부터 피해 사례가 잇따르자 수서경찰서, 경기지방경찰청 등이 수사하고 있다.

정확한 원인은 경찰 수사 결과가 나와야 알 수 있지만, 해커의 표적이 되기에 다른 회사들보다 LG유플러스 정책이 유리했기 때문이라는 평가가 나온다.

또한, 다른 플랫폼들보다 더 빨리 환불해주는 쿠팡의 친고객적인 환불 정책도 타깃이 됐다는 지적이다.

휴대폰 결제 스미싱, 다른 개인 정보 있어야 가능

이 사건은 휴대폰으로 SMS 문자를 보내 위장 사이트로 끌어들인 뒤 가입자가 클릭하면 악성코드를 심어 휴대폰을 장악하고, 해커가 이미 획득한 개인 정보 등을 활용해 쿠팡에서 소액결제를 한 뒤 현금으로 돌려 받는 방식으로 이뤄졌다.

한 보안 전문가는 “해커가 무작위로 전화번호를 뽑아서 스미싱 문자를 보내는 게 아니다”라면서 “스미싱 문자를 클릭해도 휴대폰만 악성코드에 장악될뿐 실제로 소액결제가 이뤄지려면 이름과 생년월일 같은 개인정보를 알아야 한다”고 말했다.

해커가 LG유플러스나 쿠팡의 고객센터를 해킹하지 않았다면 중국 등에서 LG유플러스 가입자 정보를 획득했을 가능성이 있는 것이다.

전화결제 업계 관계자는 “LG유플러스의 경우 홈페이지에서 가족아이디 등으로 가입이 가능했고, 한 가입자가 다수의 아이디를 만들 수 있는 등 다른 통신사와 다른 정책이 있다”고 말했다.

LG유플러스는 이런 문제를 막기 위해 유심인증(유플러스 소액결제 앱)이라는 보안 강화 결제 서비스를 내놓았지만 아직은 확산이 많이 이뤄지지 않았다.

실제로는 깡, 현금 환불 빠른 쿠팡이 타깃

쿠팡이 다른 모바일 쇼핑몰보다 더 고객친화적으로 환불시스템을 운영한 것도 해커의 타깃이 됐다. 해커는 소액결제를 한 뒤 현금으로 되돌려 받는 방식을 취했는데 쿠팡은 결제후 취소 시 즉시 환불 정책을 썼기 때문이다.

쿠팡 관계자는 “아직 피해 사례가 적지만 LG유플러스 소액결제를 차단한 것은 고객 보호를 위한 조치”라고 설명하면서 “LG유플러스 통신 가입자라도 신용카드 결제 등 다른 결제 수단은 사용할 수 있다”고 말했다.

스팸 필터링 강화, 결제 한도 보수적 운영 고민해야

휴대폰 결제 스미싱 사건은 스팸을 제대로 차단하고 휴대폰 결제 한도를 보수적으로 운영하면 왠만큼 막을 수 있다.

실제로 이번에 거의 문제가 없었던 SK텔레콤이나 KT의 경우 LG유플러스보다 보수적으로 휴대폰 소액결제를 운영하고 있다.

SK텔레콤의 경우 소액결제 한도를 3개월까지는 5만원, 4개월차부터는 15만원, 5개월이후부터 30만원으로 운영하는데 반해, LG유플러스는 결제한도를 50만원으로 높였다.

하지만 이번에 스미싱 피해 사건이 터지자 어제부터 현재 쓰고 있는 결제한도에서 상향되지 않게 했다. 또 번호이동 가입자에 대한 소액결제 한도도 상향하려던 데에서 60일(두달)이후 30만원으로 유지하기로 했다.

SK텔레콤 관계자는 “가입시 휴대폰 결제 비밀번호를 설정하게 하거나 3회선 이상 개통은 한번 더 확인하는 우리와 달리 LG유플러스는 번호이동 가입자에 대해 결제한도를 높여주는 등 더 느슨한 정책을 갖고 있다”고 말했다.

한편 이번 사건이 발생한 피해자는 사이버수사대에 피해사실을 신고하고 전화결제협회에 팩스로 사실확인서를 보내면 2주이내에 환불받을 수있다.

환불된 금액에 대해선 현재 구조로는 결제대행(PG) 회사가 책임지게 돼 있다. 이번 사건의 PG는 KG모빌리언스와 다날이다. LG유플러스는 지난해 쿠팡과 PG계약은 끊었다.