시사위크=이미정 기자 “A씨는 평소 자주 이용하는 B해외 직구 사이트 결제정보 페이지에 카드정보를 등록했다가 낭패를 봤다. 본인도 모르는 사이에 C해외 온라인 쇼핑몰에서 20만 달러가 결제돼 있는 사실을 확인했기 때문이다. 카드정보를 암호화하는 국내와 달리 일부 해외 온라인 가맹점은 암호화 단계 없이 직접 정보를 결제 처리한다. 이러한 허점 때문에 해킹에 노출됐고 카드정보가 유출돼 부정사용 피해를 입은 것이다.”

◇ 피싱·해킹에 의한 카드정보 유출 피해 ↑

최근 해외 직구사이트와 온라인 쇼핑몰에서 피싱·해킹에 의한 카드정보 유출로 부정사용 피해를 입은 사례가 증가세를 보이고 있다.

금융감독원(이하 금감원)에 따르면 관련 민원은 2022년 1분기 104건→2분기 141건→3분기 99건 → 4분기 303건 순으로 늘고 있는 추세다. 이에 금감원은 13일, 관련 피해 유형과 사례를 알리고 주의를 당부하는 소비자경보를 발령했다.

주요 피해 유형을 살펴보면 우선 피싱 결제창을 통한 카드정보 유출 사례가 늘고 있다. 사기범은 일부 보안이 취약한 온라인 쇼핑몰에 피싱 결제창을 삽입해 카드정보 등을 탈취한 후 불법 유통하거나 부정사용하는 수법을 쓰고 있다. 

해외 온라인 가맹점 등에서 해킹·피싱에 의해 카드정보가 유출되는 사례도 있다. 금감원은 “해외 온라인 가맹점은 국내와 달리 카드정보를 암호화하지 않은 상태에서 사이트 내 저장하여 결제 처리하는 사례가 많아 해킹 등에 의한 카드정보 유출 위험에 노출되고 있다”고 설명했다.

해외 유명 사이트로 오인하도록 사칭·가짜앱을 설계 후 앱마켓에 등록하는 사례도 있다. 사칭·가짜앱 다운로드 시 카드정보 입력을 유도하는 피싱 결제창을 삽입해 정보를 유출하거나, 인앱 결제(In-app Purchase) 방식으로 자동 결제가 되는 피해가 발생한 것으로 알려졌다. 소비자 피해 사례 중엔 ‘챗GPT’ 앱을 사칭한 앱에 카드정보를 등록했다가 부정사용 피해를 입은 경우도 있었다. 

◇ 사칭앱까지 기승… “과도한 정보 요구시 주의해야”

금감원 측은 “카드번호 등 과도한 개인정보 입력을 요구하는 경우 일단 의심해야 한다”며 “온라인 쇼핑몰, 앱마켓에서 카드 결제 시 주민등록번호, 카드 비밀번호 등 과도한 정보를 입력하도록 요구한다면 의심하고 이를 거절해야 한다”고 당부했다. 또 “카드 결제 시 주민등록번호 전체 숫자, 카드 비밀번호 네 자리 등을 모두 입력하도록 요구하는 경우는 없다”고 덧붙였다. 

또한 금감원 측은 “해외 직구 사이트 등 해외 중소형 온라인 가맹점은 국내와 달리 카드정보가 암호화되지 않는 경우가 많아 해킹 위험에 노출될 수 있다”며 “본인 카드정보를 결제 페이지에 저장하는 행위는 삼가야 한다”고 강조했다. 다만 “해외 온라인 가맹점 결제 전 카드회원이 카드사 앱 등을 통해 미리 해외 온라인 거래용 가상카드를 발급받고 일정기간 동안 사용하면 안전하다”고 덧붙였다. 

금감원은 온라인 쇼핑 후 카드정보 피싱 등이 의심되는 경우 카드사에 즉시 카드 정지 및 재발급을 신청해야 한다고 당부했다.