“설마, 이 앱도?” 진화하는 사기 앱

‘동문회 장소 약도야! www.’ ‘연말정산 환급 해드려요’
클릭하는 순간 29만원 소액결제 피해… 자고나면 새 수법… 올 543건 신고
전문가 “소액결제 방식 대폭 개선을”

‘카페베네 어플(애플리케이션·앱)을 설치하면 커플 커피 2잔이 공짜.’

2월 5일 오전 서울 종로구에 사는 직장인 하모 씨(33)는 이런 문자를 받았다. 하 씨는 호기심에 링크된 주소를 클릭했다. 앱이 자동으로 설치됐지만 아무런 내용도 없었다. 하 씨는 싱거운 일이라며 앱을 지우고 이 일을 잊고 지냈다.

하지만 다음 달 휴대전화 사용영수증을 보고 깜짝 놀랐다. 명세서에는 29만 원이 결제돼 있었다. 하 씨가 설치한 앱은 거짓정보가 담겨 있던 악성 앱이었다.

이처럼 최근 앱을 이용한 소액결제 사기가 극성을 부리고 있다. 거의 매일 새로운 수법의 사기 앱이 등장하면서 피해자가 속출하고 있다. 앱 사기는 대부분 휴대전화 소액결제 제도의 허점을 노리고 자행되고 있지만 정부는 소액결제 제도의 문제점에 뒷짐만 진 채 방관하고 있다.

2월 5일부터 나흘간 579명에게 악성 앱을 설치하게 하고 소액결제로 1억7000만 원을 가로챈 혐의로 9일 서울 혜화경찰서가 구속한 김모 씨(29)는 문자 발송업체 직원이다. 그는 ‘법원 등기가 발송되었습니다’ ‘앱 실행 속도 관련 최신 업그레이드’ 등의 사기문자를 대법원 등기소나 삼성전자서비스센터 대표번호를 사용해 보냈다. 이 앱은 소액결제를 할 때 전송되는 인증번호 문자를 중간에 가로채는 기능이 있었다. 김 씨는 가로챈 인증번호로 넥슨이나 넷마블 같은 대형 인터넷 게임사이트에서 아이템을 구입한 뒤 이를 되팔아 돈을 챙겼다. 앱 서버는 홍콩에 있었다.

이런 사기는 한 달 한도인 30만 원까지는 인증번호만으로 결제가 가능한 소액결제 제도의 허점을 이용해 이뤄진다. 방법은 하루가 다르게 ‘진화’하고 있다. ‘소액결제가 됐다’는 휴대전화 문자메시지를 보낸 뒤 해당 번호로 항의 전화를 해온 고객으로부터 구두로 인증정보를 빼내 소액결제를 유도하던 방식은 이미 과거의 수법.

이제는 앱 자체에서 인증정보를 빼내거나 인증번호 입력 절차를 없앤 앱까지 등장했다. 한국인터넷진흥원(KISA)에 따르면 지난달 말까지 신고된 악성 앱은 543개에 이른다. 올 1월 55건이었던 악성 앱은 2월에 124건으로 125% 증가하더니 3월에는 207개가 적발됐다. 이는 지난해 10월 악성 앱 3개가 신고된 것에 비해 크게 증가한 수치다. KISA에 따르면 지난해 10월까지 신고된 악성 앱은 주로 공공기관 사칭이나 커피브랜드, 영화관 무료쿠폰을 가장해 악성 앱 설치를 유도했지만 최근에는 지인의 청첩장 및 돌잔치 초대장, 동창회 모임, 택배기사 등으로 사칭 형태가 다양화되고 있는 추세다.

김승주 고려대 정보보호대학원 교수는 “간편한 결제를 위해 몇 가지 수단만으로 소액결제를 가능하게 하자 해커들이 이 같은 허점을 파고든 것”이라며 “소액을 결제하더라도 공인인증서를 사용하게 하는 등 소비자들이 결제방식을 스스로 선택할 수 있게 해야 한다”고 지적했다.

김준일 기자 jikim@donga.com