"나흘만 투자하면 7백 배 수익" "10만 원만 넣으면 7천만 원을 벌 수 있다"
일확천금을 꿈꾸는 사람들을 꾀는 사기꾼의 요설 같지만 이게 현실로 나타났다.
-먼저 명문대 컴퓨터 공학과를 졸업한 27살 김모씨, 경력 6년의 프로그래머다. 이전부터 아시아권에 출장 다니는 일이 잦았는데 그러다 같은 일을 하는 중국 국적의 프로그래머 이모씨를 알게 됐다. 자주 보진 못해도 이 둘은 수년째 연락을 주고 받는 사이였다. 그런데 2013년 연말, 중국에서 이씨가, 한국에 있는 김씨에게 부탁을 해왔다. 한국 인터넷 결제 시스템의 허점을 찾아달라는 것이었다.
왜 그랬을까 마는, 김씨는 이씨 부탁을 받고는 곧바로 분석에 들어갔다. '파로스'라는 공개된 웹 분석 프로그램을 이용했다. 그리고는 얼마 지나지 않아 결제 과정의 취약점을 찾아내 이를 이씨에게 전달했다. 이씨는 이 내용으로 작업을 시작했다.
-이씨는 우선 유명 게임아이템 거래 사이트에 접속해 상품권 10만원어치로 사이버캐시를 충전(결제)했다. 이를 곧 자신의 계좌(실은 대포계좌)로 출금했다. 그리고는 상품권 결제를 취소했다. 원래는 취소가 안 됐어야 정상이나 김씨로부터 전달받은 허점을 이용해 가능하게 만들었다. 핵심은 가맹점과 카드사 사이의 결제서비스를 대행해주는 결제대행업체(Payment Gateway), 그리고 결제 승인번호였다.
-가맹점에서 카드나 상품권 등으로 결제를 하면 '결제 승인번호'가 부여된다. 결제대행업체가 이를 받아 카드사 등으로 전달하는 식으로 결제가 진행된다. 또 결제 취소할 때도 이 승인 번호에 대해 취소하겠다고 전달한다. 역시 대행업체를 거친다. 이 번호는 해당 가맹점마다 부여되는 고유 번호다.
예를 들어 A 카페에서 결제했을 때 결제 승인번호 '123456'이 부여된다면, 결제대행업체는 123456 번호가 승인됐다고 전달되면 A 카페 결제구나 하고 자동으로 안다. 또 123456를 취소한다는 통보가 오면 A 카페 결제가 취소됐구나 하고 역시 자동으로 인식하게 된다.
-김씨가 찾아낸 허점은 이러했다.
결제 승인과 취소는 해당 결제에 대한 승인번호를 근거로 이뤄지는데 결제대행업체는 승인번호만으로 어떤 가맹점의 결제인지 알 수 있기 때문에 어디서 보냈는지는 확인하지 않는다는 것이다. 그런데 만약 A 가맹점을 통해 결제 승인을 해놓고 그 승인번호는 B 가맹점에서 취소한다면? A 가맹점도, B 가맹점도 모르고 결제대행업체만 뒤늦게 알게 된다는 게 김씨의 결론이었다.
-이씨는 이를 이용해 결제와 취소를 반복했다. 결제는 아이템 거래 사이트에서, 취소는 한 어학원 사이트를 이용했다. 결제한 뒤 사이버머니를 다시 빼냈다면 취소가 안돼야 정상이나 그 승인번호에 대한 취소가 이뤄졌다. 오프라인에서라면 말도 안되는 일이지만, 온라인이라 결제대행업체를 통해 승인번호를 매개로 이뤄졌기에 가능했다. 그렇게 이씨는 결제와 취소를 840차례 반복해 7천만 원가량을 챙겼다. 단돈 10만원으로 700배 장사를 한 것이다.
이씨는 김씨에게 허점을 알려준 대가로 10% 정도인 700만 원을 지급했다.
-경찰은 첩보를 받고 7개월에 걸친 수사 끝에 김씨를 붙잡았다. 그러나 중국에 있는 이씨의 소재는 파악하지 못했다. 중국 공안과 공조를 통해 이씨를 쫓고 있다고 한다.
거의 1년 전인 2013년 12월, 경찰은 인터넷 결제 정보를 조작해 44억 원을 챙긴 일당을 붙잡았다. 이들도 인터넷 거래의 허점을 파악해 이용했다는 데에서 이번 사건과 공통점이 있다. 그때는 게임 아이템 거래 사이트나 인터넷 쇼핑 사이트 등에서 주문할 때 금액을 결제금액과 다르게 바꾸거나, 플러스를 마이너스로 바꿔 오작동하게 하는 식의 수법을 썼다. 이를테면 천원짜리 인터넷 상품권을 구입하고는 10만원짜리를 산 것처럼 바꾸거나 하는 것이었다.
-경찰은 이때까지만 해도 인터넷 결제에서 주문이나 결제할 때 그 과정의 허점을 노리는 범행이 많았는데 이에 대한 대비나 단속도 집중되다보니 범죄자들의 표적도 바뀌고 있다고 설명했다. 그래서 자신들이 이용할 수 있는 허점을 찾아 분석하고 그러다가 결제 취소 과정의 허점을 찾아내 범행에 이용한 것이다.
-허점이 노출됐던 결제대행업체들은 보안 패치를 새로 깔아 그 허점을 다 보완해 현재는 안전하다는 입장이다. 하지만 과연 그 허점 외에 다른 취약점은 없을까? 사용자 편의를 위한다면서 몇번만 클릭하면 쉽게 결제될 수 있는 서비스들이 이미 적용됐거나 선보일 준비를 하고 있다. 다소 편리해질 수는 있겠으나 그렇게 진화하는 서비스만큼 위험성도 높아지는 게 아닌가 싶다.