MTN NEWS
 

최신뉴스

[이슈+]'쿠팡 스미싱' 그후...피해보상 길 열려, 쿠팡 향한 원성은↑

이대호 기자

thumbnailstart

[머니투데이방송 MTN 이대호 기자]
[앵커멘트]
연말과 연초에는 택배거래가 참 많죠? 택배를 기다리는 즐거움도 크고요. 그런데 지난 얼마 전 스마트폰으로 택배조회를 눌렀다가 큰 낭패를 본 사람들이 많습니다. 바로 스미싱 피해자들인데요.
이대호 기자가 지난달부터 쿠팡 스미싱 관련 보도를 계속 해왔는데, 오늘은 그 뒷이야기를 정리해보겠습니다. 이대호 기자!

[기사내용]
앵커1) 쿠팡 스미싱 관련 내용을 모르시는 분들을 위해서 이게 어떤 사건이었는지 먼저 정리를 해볼까요?

기자) 나도 모르는 사이에 내 스마트폰으로 온라인 쇼핑사이트에서 소액결제가 이뤄졌고, 범인은 이를 바로 현금으로 되찾아갔다면 어떨까요?

지난해 12월과 지난 1월 집중적으로 벌어졌던 스미싱 내용입니다.


스미싱(SMS+Fishing)은 스마트폰 문자메시지를 이용한 전자금융결제 사기를 말하는데요.

'택배조회, 돌잔치 초대장, 결혼식 청첩장, 무료쿠폰' 등을 사칭한 문자메시지를 보내 인터넷 주소(URL)를 누르도록 하고, 걸려들면 스마트폰에 악성코드를 심어 개인정보와 문자메시지 등을 탈취해 휴대전화 소액결제 등의 금융피해를 발생시키는 것을 말합니다.


앵커2) 그런데 사실 기존에도 스미싱 범죄는 적잖이 있었는데, 이번 건은 '신종 스미싱'으로 화제가 됐어요. 차이점이 뭔가요?

기자) 범죄조직의 최종 목적은 '돈'을 버는 것이죠.


과거에는 범인들이 남의 휴대전화 소액결제로 온라인에서 구매한 물품을 오프라인으로 배송 받아서 장물아비 등을 통해 현금화 하는 수법을 썼습니다. 그러다보니 현금화 과정에서 검거되는 경우가 좀 있었고요.

그 후에는 현금성이 좋은 '상품권'이나 '게임머니, 게임아이템' 등을 구매하는 쪽으로 갔어요. 대면 없이 온라인에서 팔아버리기 좋으니까요.

그런데 이런 식의 스미싱 피해가 많아지니까 온라인 쇼핑몰들은 상품권 등 현금성 있는 품목의 소액결제를 막았습니다.

그러다보니 범죄조직들은 새로운 사업 아이템(?)을 찾아야 했던 거죠.

그들의 먹잇감이 된 것이 바로 쿠팡의 '즉시 현금환불' 서비스였습니다. 쿠팡은 취소된 핸드폰 소액결제 금액을 계좌에 바로 입금을 해줍니다. 즉, '소액결제 깡'이 가능한 거죠.

그것도 누구의 통장인지 가리지 않고, 넣어달라는 통장으로 넣어줍니다. 가입할 때 입력한 이름 석자와 통장 명의자만 같으면 되는데요. 그런데 쿠팡 사이트에서는 가짜 이름과 가짜 이메일 주소, 가짜 전화번호로도 얼마든지 가짜 아이디를 만들 수가 있습니다.

그러니까 범죄조직이 대포통장 몇개 구해놓고, 스미싱을 통해 개인정보와 결제인증번호 문자메시지만 확보하면 얼마든지 쉽게 현금화 할 수 있는 환경인거죠.


앵커3) 이번 범죄는 특히 쿠팡과 LG유플러스를 통한 사례가 주를 이뤘는데요. 그 과정을 정리해 보자면요?

기자) 범행 수법을 너무 자세히 설명하면 모방범죄를 일으킬 우려가 있으니, 여러분이 알아두셔야 할 과정만 요약을 해드리겠습니다.

참고로, 당시 악용됐던 LG유플러스의 경우 MTN 보도 직후 시스템을 개선했다는 점 말씀드립니다.


① 택배조회 등을 가장한 문자메시지를 무작위로 대량살포 한다.

② 인터넷주소 URL을 터치한 사람 스마트폰에 악성코드가 심어진다.

③ 쿠팡에서 소액결제 한도 50만원 이내로 쇼핑을 한다.

④ 악성코드를 깔아둔 사람 전화번호로 소액결제를 한다.
(결제인증번호 문자메시지는 범인에게만 보이고, 실제 고객에게는 가지 않는다. 이번 범죄에서는 주로 LG유플러스가 이용됐다.)

⑤ 만약 고객이 소액결제를 차단해뒀거나 한도를 매우 적게 설정해뒀을 경우 LG유플러스 홈페이지에서 개인정보를 이용해 아이디를 추가 가입한다. LG유플러스 홈페이지에서는 추가 가입한 아이디로 소액결제 차단해제와 한도증액이 가능했다.
(현재는 정책 변경됐음)

⑥ 결제 완료 후 즉시 '부분 취소'를 한다. 그 후 남은 금액까지 모두 취소한다.
(예, 한도가 50만원인 소액결제 때 30만원만 부분 취소하면 30만원부터 입금해준다. 일반적 카드거래에서는 부분 취소 후에도 남게 될 금액(20만원)을 먼저 추가 결제하고, 50만원 전액을 취소하는 방식. 그러나 소액결제는 한도가 50만원이어서 추가 선결제가 불가능. 따라서 부분 취소시 해당 금액을 그냥 현금 환불 처리함.)

⑦ 쿠팡에서 소액결제시 등록한 대포통장으로 입금을 받는다.


앵커4) 말씀하신 것처럼 LG유플러스는 시스템을 바로 보완했어요. 그런데 쿠팡 측의 태도는 많은 이들의 공분을 불러왔다고요?

기자) 쿠팡은 여전히 범죄조직이 악용하고 있는 '현금 즉시환불' 정책을 고수하고 있습니다.

통신사와 결제대행사(PG)들이 추가범행 우려를 들어 여러차례 쿠팡에 "현금환불을 중단해달라"고 공식 요청했지만, 쿠팡은 어찌된 영문인지 이에 응하지 않고 있습니다.

때문에 여전히 쿠팡을 통해서는 스미싱을 통한 현금화가 가능한 상황입니다. 쿠팡이 LG유플러스 소액결제(SMS 인증 방식)를 차단했지만, 다른 통신사를 통한 스미싱이 충분히 가능하기 때문입니다.


특히 쿠팡이 문제를 인지한 뒤에도 조치에 나서지 않는 사이, 추가 피해를 당한 사람이 있는 것으로 확인됐습니다.

LG유플러스는 스미싱 사건을 인지하고 지난달 23일 쿠팡 측에 '현금환불 중단'을 1차로 요청했는데요. 쿠팡은 이를 거절했습니다. 그리고 바로 그날, 쿠팡을 통해 한 사람이 47만원어치 소액결제 피해를 당한 것으로 확인됐습니다.

이같은 문제 때문에 통신사들과 결제대행사들은 쿠팡에 모든 소액결제 서비스를 중단할 수 있다고 압박하고 있습니다.


앵커5) 쿠팡이 이렇게 사고 예방에 무관심한 건 왜일까요?

기자) 쿠팡이 소액결제를 통해 얻을 것은 많고, 잃을 것은 없기 때문이라는 지적이 나옵니다.


쿠팡의 매출 중 소액결제를 통한 비중은 10%대 중반 정도로 업계에서는 보고 있는데요. 이 정도면 수천억원대에 달하는 매출입니다.

쿠팡의 최대 강점은 '로켓'으로 대변되는 속도전이죠. '즉시 현금환불' 정책 또한 속도와 편의성을 강조하는 쿠팡이 내세운 고객 가치 중 하나라는 거죠.

반면, 소액결제 스미싱에 따른 고객 피해보상은 대부분 결제대행사(PG)들이 하게 됩니다. 그러니까 쿠팡은 아무리 스미싱이 창궐해도 경제적으로 손해볼 것이 없는 거죠.

신종 스미싱 루트가 쿠팡에 열렸지만, 쿠팡은 아무런 책임을 지지 않고, 재발방지 대책도 세우지 않고 있는 것이 현실입니다.


앵커6) 쿠팡이 그래도 뭔가 대책을 세워야 하지 않을까요?

기자) 쿠팡의 공식적인 답변은 "경찰 수사가 진행 중인 사안임으로 관련 내용을 언급할 수 없다"는 게 전부입니다.

일부 경찰 수사에도 비협조적이어서 피해자들의 원성을 사고 있습니다.

울산 중부경찰서에 사건을 신고한 한 피해자는 쿠팡 측이 경찰의 압수수색 영장에도 불구하고 관련 자료를 제공하지 않아 자신의 사건은 경찰청 집중수사에서도 배제됐다고 알려왔습니다.

또한 쿠팡은 LG유플러스로부터 소액결제가 차단되기 하루 전(8일), 자신들이 먼저 LG유플러스 소액결제(SMS 방식)을 차단했다며 보도자료를 뿌리기도 했는데요.

이를 두고 피해자에 대한 도의, 협력업체들에 대한 상도의를 져버린 과도한 언론플레이라는 비난을 받기도 했습니다.



앵커7) 피해자들은 어떻게 되는 건가요? 피해 보상을 받을 수 있는 건가요?

기자) 과거에 게임머니를 구입한 스미싱 범죄의 경우 그건 온라인상에 남아 있으니 환불 절차를 통해 피해 구제가 가능했는데요.

그런데 이번에는 범인들이 쿠팡에서 현금을 받아 가버렸다는 특수성이 있어서 피해보상이 요원했습니다.

그런데 사태가 커지자 LG유플러스와 결제대행사(모빌리언스, 다날)들이 피해보상을 약속했습니다.

경찰에 피해신고를 하고 '사건사고사실확인원'을 발급받아 결제대행사나 휴대폰/ARS결제 중재센터(http://spayment.org/)에 제출하면 2주 이내에 보상 처리를 받을 수 있게 됐습니다.


앵커8) 스미싱 피해를 당하지 않으려면 어떻게 해야 할까요?

기자) 가장 중요한 것은 문자메시지에 담긴 인터넷 주소 URL을 절대 터치하지 않는 것입니다. 겉보기에는 www. 뒤에 유명한 회사 이름을 적어 넣어서 믿을만한 사이트로 보일 수도 있는데요. 그런데 이같은 인터넷 주소는 얼마든지 변조가 가능합니다.


지인의 전화번호로 청첩장 URL이 왔다고 해도 의심해봐야 합니다. 상대방 스마트폰이 해킹을 당해 스미싱 수단으로 악용됐을 수 있기 때문입니다.

돌잔치, 결혼식 청첩장이라는 이름으로 URL이 왔다면 직접 전화를 해서 확인하는 것이 가장 안전합니다.

택배조회, 세금환급, 무료쿠폰. 우편물 등을 확인하라는 문자가 온다면 그냥 무시하는 게 상책입니다. 진짜 궁금하다면 직접 애플 앱스토어나 구글 플레이스토어에 들어가서 관련 기관 정식 애플리케이션을 다운받아 조회하는 것이 좋습니다.

오늘은 스미싱 위주로 설명을 해드렸는데요. 보이스피싱도 마찬가지입니다.

은행, 우체국, 검찰, 경찰, 세무서 등 그 어떤 기관도 전화로 주민번호나 보안카드 비밀번호, 계좌비밀 번호 등을 절대 물어보지 않습니다. 이런 정보를 묻는다면 그냥 보이스피싱이라고 생각하시고 전화를 끊어야 합니다.

사실 많은 사람들이 이 정도는 상식이라고 생각하고 있는데요. 그런데 의외로 우리 주변에서 이런 사기에 속아 넘어가는 사람들이 적지 않습니다. 주변 어르신들, 전자금융을 잘 모르시는 분들에게 한번쯤 주의할 점을 상기시켜 드리는 것이 필요해보입니다.

머니투데이방송 이대호 (robin@mtn.co.kr)

(영상편집:김지애, CG:정은지)

머니투데이방송의 기사에 대해 반론·정정추후 보도를 청구하실 분은 아래의 연락처로 연락주시길 바랍니다.

고충처리인 : 콘텐츠총괄부장 ombudsman@mtn.co.kr02)2077-6288

MTN 기자실

경제전문 기자들의 취재파일
전체보기

    Pick 튜브

    기사보다 더 깊은 이야기
    전체보기

    엔터코노미

    more

      많이본뉴스