주의! 구글플레이 계정 도용으로 순식간에 거액 인앱 결제된다?

인게임 재화로 수십만원 결제... 빠른 신고와 예방이 중요

이소현(민초) 2020-04-23 18:16:31

"이거 뭐야, 왜 통신사에서 갑자기 결제됐다는 문자가 오지?"

어느 날과 다를 바 없는 아침, 직장인 A씨의 폰에는 알 수 없는 문자가 와 있었다. 통신사 소액결제로 수십만 원이 빠져나갔다는 문자였다. A씨는 당황해서 통신사에 전화해 보지만 통신사에서는 구글플레이에, 구글플레이에서는 통신사에 전화하라는 답변을 받았다. 몇 차례의 전화 끝에 겨우 주문번호로 결제를 취소할 수 있었다.

이런 식으로 구글플레이 계정에 알 수 없는 소액결제(구글플레이 스토어 기준 '콘텐츠이용료')가 청구되는 사례가 계속 나오고 있다. 주로 MMORPG의 게임 재화가 결제되는 방식이다. 몇 년 전부터 발생한 이런 피해는 단순히 해당 게임의 잘못으로 보긴 힘들다.

순식간에 수십에서 수백만 원의 피해가 발생할 수도 있는 해킹 소액결제 사례가 어떤 원리로 이루어지는지, 왜 유독 MMORPG 장르에 많은지, 어떻게 피해를 막을 수 있는지 알아보았다.

# 플레이 해 본 적도 없는 게임에서 결제가 됐어요!

플레이어가 결제했는데 재화가 들어오지 않았다거나, 계정을 해킹당해 소유하고 있던 재화가 사라졌다는 사연은 인터넷에서 자주 찾아볼 수 있다.

그러나 서문의 사례는 이와 다르다. 사용자가 설치도 안한 게임에서 갑자기 결제됐다고 알림이 온다. 게임의 계정이 해킹된 것도, 게임 프로그램상의 오류도 아니고 구글플레이 스토어 계정 자체가 도용된 것이다.

피해 사례는 주로 모바일 게임을 통한 소액결제의 형태로 발생한다. 도용한 구글플레이 계정으로 게임을 설치하고 인게임에서 사용되는 재화나 아이템을 결제하는 것이다. 소액이라고 해도 여러 차례 결제가 되면 순식간에 수백만 원으로 피해가 불어날 수도 있다.

게임에서 신청하지 않은 소액결제가 이루어진 내역 (출처: 온라인 커뮤니티)

한 모바일 MMORPG에 달린 댓글 (출처: 구글플레이 스토어)

# 왜 유독 MMORPG에서 이런 피해가 많지?

이런 사례는 여러 장르의 모바일 게임에서 발생하고 있지만 유독 MMORPG에서 많이 보인다. MMORPG가 보안에 신경을 쓰지 않기 때문일까? 하지만 위에서도 말했듯이 피해는 플레이하지 않은 게임에서도 발생하기 때문에 '게임의 계정'이 아니라 '구글플레이 계정'이 도용된 것으로 추정된다.

그럼에도 MMORPG에 피해가 많은 이유는 게임 특유의 경제 시스템에서 찾을 수 있다. MMORPG는 게임의 많은 장르 중에서도 가장 현실과 닮아있다. 실제 경제처럼 수요와 공급의 균형으로 가격이 결정되고 유저 간의 아이템 거래가 활발하다. 특히, 한국에서 많은 MMORPG는 매출 순위 상위권을 차지하고 있어 인게임 재화의 수요도 매우 높은 편이다.

가장 중요한 것은 '현금화' 여부다. 모두가 알다시피 이런 소액결제 사기의 최종 목적은 현금이다. 인게임 재화는 하나의 수단으로, 해당 재화가 현금화될 수 있는지가 중요하다.

게임사도 이런 피해 이야기를 모르는 것은 아니다. 그들도 현금 거래를 시도하거나 광고하는 계정을 제재하는 방식으로 비슷한 사기 피해를 막기 위해 노력하고 있다. 한 게임사는 디스이즈게임과의 통화에서 "피해사례를 몇 차례 접수 받았고 게임 운영 정책과 플랫폼 업체 정책에 따라 환불 조치를 진행하고 있다"라면서 "부정 행위자를 찾기 위해 수사 기관과 협조 중이다"라고 말했다.

하지만 이런 제재와 수사에도 아이템 거래 사이트에서 수많은 거래가 진행되고 있어, 모든 사기 피해를 방지하는 것은 현실적으로 어렵다.

현거래를 제재하고 있는 <리니지2m> 운영정책

# 그래서 피해를 어떻게 복구받을 수 있나? 예방 방법은?

소액결제로 피해를 입었을 경우에 가장 중요한 것은 신속한 반응이다. 너무 늦기 전에 해당 고객 센터 등에 빠르게 신고해야 한다. 전화가 어려울 경우, 구글 홈페이지(바로가기)에서 신고할 수 있다.

가장 좋은 것은 구글플레이 스토어 고객센터를 통해 계정 결제 내역을 확인하고 취소 요청을 하는 방법이다. 이를 위해서는 결제가 진행된 구글 계정을 알고 있어야 한다.

하지만, 문제는 자신이 알지 못하는 계정이 있을 수도 있다는 점이다. 예를 들어 오래전에 안드로이드 폰을 구매해 기억하지 못하거나, 핸드폰을 구매했던 대리점에서 계정을 대신 만들어 아예 알 수 없는 경우다. 계정을 찾으려고 해도 생성 당시에 등록했던 핸드폰 번호와 이메일을 알지 못하면 불가능하다.

계정을 알 수 없을 때에는 통신사나 카드사와 연락해 취소할 결제의 주문 번호를 받고 구글플레이 고객센터에 신고하면 된다. 다만, 이 경우에는 구글플레이 측에서 확인이 필요해서 결제 취소까지 시간이 걸린다.

구글플레이 스토어의 승인되지 않은 청구 신고 페이지

계정 도용을 예방하기 위해 몇 가지 조치를 취할 수 있다. 첫째로 구글에서 제공하는 2차 인증을 설정하는 방법이다. 2차 인증을 설정하면 계정에 새로 로그인할 때마다 휴대폰으로 전송되는 인증 코드를 입력해야 한다. 누군가 내 비밀번호를 알아도 계정에 로그인할 수 없게 만드는 것이다.

결제를 원천 차단하는 방법도 있다. 통신사에 따라 구체적인 액수에는 차이가 있지만 통신사를 통한 소액결제 자체를 막거나 한도를 낮출 수 있다.

아직까지 구글플레이 계정 도용으로 인한 MMORPG 인앱 결제의 정확한 수법과 피해 규모는 드러나지 않았다. 본인이 사용하지 않은 것이 확인된 경우 환불을 받을 수 있겠지만, 절차가 복잡하고 시간이 소요된다는 점에서 이용자의 각별한 주의가 요구된다.