뉴스

[취재파일] CJ몰 명의도용 결제 사기 사건…범인은 누구?

[취재파일] CJ몰 명의도용 결제 사기 사건…범인은 누구?
대한민국을 혼란에 빠트린 카드사 정보 유출 사태 와중에 또 한번 국민들의 불안감을 부채질 하는 사건이 터졌습니다. 대형 인터넷 쇼핑몰인 CJ몰에서 명의 도용에 의한 결제 사기 피해가 속출한 겁니다.

포인트 결제 사기?...현금 같은 포인트 사용 노려

CJ몰에서 명의를 도용당해 결제 사기를 겪었다는 피해자분과 제가 처음 통화를 했을 때 언뜻 이해가 잘 가지 않는 부분이 있었습니다. ‘내 포인트를 누군가 도용했다’는 부분입니다.

솔직히 저는 물건 구매금액이나 카드 사용금액의 0.1%씩 주는 그런 포인트를 말씀하시는 줄 알고 ‘포인트를 도용했으면 그게 과연 얼마나 되겠어?’라고 생각했던 게 사실입니다.

그런데 CJ의 원 포인트는 다르더군요. CJ 계열 브랜드 예컨대 CGV나 뚜레주르 같은 곳까지 동일 아이디, 동일 비밀번호 체계이기 때문에 이런 곳에서 받은 포인트가 축적되기도 합니다. 하지만 CJ 원포인트는 1포인트=1원, 즉 10만 포인트는 10만원으로 현금처럼 쓸 수 있기 때문에 포인트를 따로 구매하는 분들이 많았습니다. ‘그냥 카드나 현금으로 사지 왜 굳이 포인트를 사서 쓰냐’는 의문이 들었습니다. 역시 다 이유가 있더군요. 포인트를 5%-10%까지 할인 받아 구입할 수 있는 기회가 많다고 합니다. 예를 들어 10만 포인트를 사는데 10% 할인을 받으면 9만원에 살 수 있는 겁니다. 이 10만 포인트를 CJ몰에서 현금과 똑같이 사용할 수 있으니 수십만원 어치씩 포인트를 구매해 쌓아놓고 계시는 분들이 많았습니다. 이름이 포인트지 사실상 현금이나 다름 없는 겁니다. 범인이 이를 특성을 잘 알고 CJ몰을 노린 것 같다는게 보안전문가들 말입니다.
CJ몰
피해자 여러분과 통화해보니 피해 유형이 비슷했습니다. 기본적으로 범인이 피해자의 아이디와 비밀번호를 이용해 로그인했습니다. 그리고 CJ몰에서 모바일 상품권을 몰래 결제했고 이 상품권을 가로채 현금화 한 것으로 추정됩니다. 5만원에서부터 30만원까지 피해금액도 다양했습니다. 1월 20일 오전까지 신고된 의심건수만 180여건에 이른다는 게 CJ몰을 운영하는 CJ오쇼핑의 설명입니다.

CJ 몰 스마트폰 앱의 허술한 보안 공략

원래 CJ몰에서 결제하게 되면 와야 하는 ‘휴대전화 인증 문자’가 오지 않았고, 구입된 모바일 상품권 문자도 들어오지 않았다고 피해자들은 말합니다. 그래서 본인은 피해를 입은 사실을 모를 수 밖에 없었다는 겁니다. 보안전문가들에게 의견을 물었더니 CJ몰 스마트폰 앱이 갖고 있는 허점이 악용된 것이라는 설명이 대부분이었습니다. CJ몰 이용자들이 PC를 통해 홈페이지에서 물건을 구매하는 것과 스마트폰 앱으로 구매하는 것에는 한 가지 차이가 있었습니다. 즉 홈페이지에 로그인해 물건을 살 경우에는 본인 휴대전화로 인증문자가 날아옵니다. 예를 들어 ‘123456’ 같은 이런 인증번호를 결제할 때 넣어야하는 겁니다. 그러나 스마트폰 앱인 ‘CJ MALL'앱을 이용해 포인트 결제를 할 경우 이런 안전 장치가 전혀 없었습니다. 아이디와 비밀번호만 알아내 접속하면 현금처럼 쌓여있는 포인트를 누구나 마음대로 사용할 수 있었던 겁니다.

또 모바일 상품권을 구입할 때 받을 전화번호를 따로 지정할 수 있게 한 점도 악용됐습니다. 즉 제 아이디와 비밀번호로 로그인해 10만원 짜리 모바일 상품권을 샀는데, 상품권 일련번호가 포함된 그 문자가 저한테 오지 않고 제 친구에게 갈 수 있도록 전화번호를 지정하는 기능이 있는 겁니다. 모바일 상품권이 가도록 범인이 지정한 제3의 전화번호는 여러 가지였는데요. 일부는 결제 피해 직후 없는 번호로 나오는 것을 보니 이른바 ‘대포폰’으로 추정됩니다. 또 일부 전화번호는 그냥 평범한 일반인의 것으로 나타나기도 했습니다. 이런 경우는 이미 이분의 휴대전화를 스미싱으로 감염시켜 놓고 중간 기착지로 삼은 다음 모바일 상품권을 보내 가로채기 한 것 같다는 게 경찰 설명입니다. CJ몰측도 대부분의 피해 건수가 스마트폰 앱을 통해 도용당한 것으로 파악하고 있다면서 범인이 이런 맹점을 잘 알고 파고든 것 같다고 말했습니다.   

또 한가지 특이한 점은 일부 피해자들의 피해형태에 선물하기 기능이 이용된 것으로 보인다는 겁니다. CJ 원 포인트에는 ‘선물하기’라고 해서 자신의 포인트를 누군가에게 지정해 선물할 수 있는 기능이 있습니다. 받는 사람의 동의는 필요 없습니다.
CJ몰
13만원어치의 본인 포인트를 가진 피해자가 있었는데요. 피해 전날 누군가 모르는 가입자들로부터 1만, 2만 이런 식으로 선물하기 포인트가 들어왔고 범인은 15만 포인트를 채워 결제를 해버렸다는 겁니다. 즉 소액 포인트를 보유한 사람들의 아이디와 비밀번호까지 도용해 포인트를 한 곳으로 모은 뒤 고액 결제로 한꺼번에 사용해버렸다는 이야기입니다. 드러난 피해자 외에 이런 식의 숨겨진 피해자가 더 있을 것으로 추정할 수 있는 대목입니다. 또 범인이 상당한 숫자의 가입자 아이디와 비밀번호 데이터를 갖고 있다고 의심해 볼 수도 있습니다.  

13일만의 사과....고객 책임?

수십만원의 재산이 한꺼번에 날아가 황당해 하는 피해자들의 마음에 다시 한번 찬물을 끼얹은 것은 CJ 오쇼핑의 아쉬운 대응입니다.
CJ몰
최초 피해신고 접수가 1월 8일쯤인데 13일 뒤인 21일 오전에야 CJ 오쇼핑 명의의 안내문이 홈페이지에 게재됐습니다. 명의도용 결제피해 고객들에게 죄송하고 비밀번호를 바꾸는 게 좋겠다는 내용이었습니다. 하지만 피해자들은 최초 피해사실을 CJ측에 알렸을 때 ‘당신 외에 다른 피해사례가 없다. 당신 휴대전화가 스미싱 당해 일어난 일 같으니 직접 경찰서에 신고하라’는 답변을 받았습니다. CJ몰이 초기부터 이런 사례가 있었다는 사실을 알리고 비밀번호 변경을 하는 게 좋겠다는 권유를 했다면 추가 피해는 상당히 줄일 수 있었다는 게 피해자들이 분통을 터트리는 이윱니다.

또 한 가지 피해자들을 화나게 한 것은 ‘고객 휴대전화가 스미싱 당해 일어난 일로 보이니 고객 책임이다’는 식의 초기 대응입니다. 사실 많은 가입자의 아이디와 비밀번호를 범인이 어떻게 확보했는지는 아직 밝혀지지 않았습니다. 경찰에 피해자들의 신고가 접수된 지 얼마 안됐기 때문에 앞으로 수사를 통해 밝혀져야 할 부분이죠. 이렇게 정보유출의 경위가 명확히 밝혀지지 않았는데도 ‘고객 책임’으로 몰아갔다는 게 피해자들의 주장입니다. CJ측은 관련 서버를 ‘자체 점검’한 결과 서버가 뚫린 흔적이 없었기 때문에 그렇게 설명했다는 입장인데요. ‘사내 관리팀의 자체 점검’만으로 ‘문제없음’이라고 결론 내리는 것은 좀 성급한 게 아닐까요?

특히 ‘고객 휴대전화에 악성코드가 깔려 있을 가능성이 크다’는 CJ측 설명에 많은 피해자들이 직접 경찰 사이버수사대에 신고하기까지 했습니다. 그런데 일부 피해자들은 ‘경찰서에서 직접 내 휴대전화를 조사해봤는데 악성코드가 없는 것으로 나왔다’며 황당해 하고 있습니다.

또 일부 인터넷 기사에는 “경찰청 사이버수사대가 해킹이 아닌 휴대전화 스미싱 피해일 가능성이 크다는 중간 조사결과를 CJ오쇼핑에 전했다”는 내용까지 나왔습니다. 피해자들은 수사에 이제 착수했는데 무슨 중간 조사결과가 나오냐며 반박했는데요. CJ 오쇼핑측에 확인해 보니 이런 기사가 나온 건 1월 20일인데 CJ측의 정식 수사의뢰가 된 건 1월 21일 이었습니다. 수사의뢰를 하기도 전에 중간수사결과가 나온 황당한 경우가 된 거죠. CJ측 설명은 당초 1월 20일 오전에 서울 모 경찰서에 수사의뢰를 하러 갔지만 ‘피해자 본인이 의뢰해야 한다’는 경찰 설명에 20일에는 정식 의뢰를 못했다고 합니다. 그래서 CJ측 직원중에도 같은 피해를 입은 사람 명의로 21일에야 정식 의뢰는 했다고 합니다. 어쨌든 피해자들의 반발에 CJ 오쇼핑이 ‘고객 개인 휴대전화 스미싱 외에 명의도용 가능성도 배제하지 않는다’고 한발 물러서긴 했습니다. 하지만 정확한 원인이 나오기도 전에 고객 책임으로 성급히 대응한 점은 매우 아쉽습니다.

범인은 누구 ? 피해보상은?

앞서 살펴본 것처럼 이번 사건의 범인은 CJ몰 결제 시스템을 속속들이 파악하고 허점을 찾아 악용했습니다. 또 상당수의 가입자 데이터 베이스를 갖고 있는 것으로 추정됩니다. 게다가 미리 모바일 상품권을 빼낼 중간 기착지로 여러 개의 전화기를 갖춰놓고 순식간에 빼내간 다음 , 역시 신속하게 현금화한 것으로 보입니다. 상당히 많은 준비를 했고 치밀하게 움직였다고 볼 수 있습니다. 또 고객 정보를 도용해 접속한 아이피 주소가 여러 개고 일부는 중국으로 나온다는 경찰측 설명으로 미뤄보아, 추적을 피하기 위해 여러 단계를 거쳤을 가능성이 높습니다. 범인이 한명이 아니고 여러명일 가능성도 있어보입니다.

CJ오쇼핑측은 아직까지 피해자 보상여부에 대해 구체적으로 논의하지 않고 있다고 설명했습니다. 피해자들은 그러나 결제 시스템의 허점을 파고든 범죄인만큼 피해보상은 당연하다고 주장하고 있습니다. CJ측은 일단 경찰 수사결과를 기다려보고 보상여부를 결정한다는 입장인데 통상 이런 사건의 경우 수사 결과가 나오기까지 꽤 많은 시간이 걸립니다. 어떤 식으로든 화난 피해자들의 마음을 풀어주는 방법이 있었으면 좋겠습니다. 참고로 CJ몰을 운영하는 CJ오쇼핑의 2012년 매출액은 1조 773억원이고 당기순손익은 1,226억원에 이릅니다(방송산업 실태조사 보고서. 2013년 미래창조과학부 발간)

특히 CJ는 CGV와 뚜레주르 등 30여개 계열 브랜드의 고객 계정을 하나로 통합하는 CJ 원 아이디 정책을 펴왔습니다. 하나의 아이디를 탈취하면 다른 여러 서비스에도 마찬가지로 접속할 수 있습니다. 이런 CJ 원 아이디 가입자는 이미 1,500만명을 넘어섰고 저도 그중에 한명입니다. 추가 피해가 없도록 대비를 잘 해줬으면 합니다.    
Copyright Ⓒ SBS. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지

많이 본 뉴스

스브스프리미엄

스브스프리미엄이란?

    댓글

    방금 달린 댓글
    댓글 작성
    첫 번째 댓글을 남겨주세요.
    0 / 300

    댓글 ∙ 답글 수 0
    • 최신순
    • 공감순
    • 비공감순
    매너봇 이미지
    매너봇이 작동 중입니다.