결제·취소액 같으면 가맹점 확인 안해
경찰, 주범인 조선족 프로그래머 추적
10만원짜리 모바일 상품권으로 결제와 취소를 반복하며 7,000만원을 챙긴 프로그래머가 경찰에 적발됐다.
경찰청 사이버범죄대응과는 온라인 결제대행 시스템의 허점을 조선족에게 알려줘 범죄에 이용하게 한 프로그래머 김모(27)씨를 컴퓨터 등 사용 사기 혐의로 불구속 입건했다고 6일 밝혔다.
경찰에 따르면 김씨는 지난해 말 과거 홍콩 출장 때 알게 된 30대 중반의 조선족 프로그래머 이모씨로부터 우리나라 온라인 결제 체계의 취약점을 알려주면 일정 대가를 지불하겠다는 제안을 받았다.
국내 온라인 결제 방식은 결제대행사(PG)가 은행, 신용카드사 등 결제기관과 인터넷 가맹점 사이에서 수수료를 받고 결제를 대신해 주는 구조. 김씨는 연구 끝에 결제대행사가 결제 취소 요구를 받았을 때 실제 결제가 이뤄진 가맹점과 취소 요청을 한 가맹점이 같은 곳인지 확인하지 않는다는 사실을 알아냈다. 즉, 인터넷 가맹점에서의 결제ㆍ취소 정보는 결제대행사를 통해 결제기관으로 전달되는데 다른 가맹점에서 취소해도 액수만 동일하다면 별도의 확인 절차가 없었던 것이다.
이씨는 김씨로부터 이런 정보를 듣고 올해 3월 한 게임사이트에 10만원짜리 온라인 문화상품권을 등록해 사이버머니를 구입했다. 결제가 승인돼 문화상품권의 잔액은 0원이 됐지만 이씨는 결제 취소 웹페이지가 인터넷에 노출된 한 어학원사이트를 찾아내 결제 정보를 변조한 다음, 허위로 취소 요청을 해 원금을 돌려받았다. 어학원사이트를 통해 결제를 취소할 때마다 문화상품권에는 10만원이 다시 적립됐다. 이씨는 이런 식으로 결제와 취소를 반복해 7,000만원을 빼돌렸다. 김씨도 이씨에게 정보를 건넨 대가로 수익의 10%인 700만원을 받아 챙겼다.
경찰은 중국 국적인 이씨의 소재를 중국 공안과 공조해 추적하고 있다. 경찰 관계자는 “해킹 없이도 온라인 결제대행 시스템의 허점을 악용한 신종 범죄”라며 “지금은 결제대행사들이 보완조치를 완료해 이 방법이 통하지 않는다”고 말했다.
한국일보
포토뉴스
[필수입력] 닉네임
[필수입력] 인증코드
왼쪽 박스안에 표시된 수자를 정확히 입력하세요