수수료 30% 떼가는 구글…보안은 '나몰라라'

인앱결제 '해킹 주의보'

리니지M 접속도 안했는데
계좌서 수백만원 자동 결제
작년 초부터 유사 사례 속출
콜센터 닫아 항의조차 못해

구글 "아이디 분실한 개인 잘못"

사진=게티이미지뱅크

지난 3월 7일 오후 5시께 낮잠을 자던 정모씨(31)의 스마트폰에 30초 간격으로 알림이 울렸다. 계좌에서 3만3000원씩 현금이 빠져나갔다는 ‘구글페이먼트’ 결제 내역 알림 문자가 잇따라 오고 있었다. 놀란 정씨는 다급하게 고객센터에 전화했지만 “코로나19로 구글페이먼트 콜센터를 운영하지 않습니다”라는 기계 음성이 들려왔다. 정씨는 계좌에 있던 600만원을 다른 통장으로 옮겼지만, 이미 다섯 번에 걸쳐 총 16만5000원을 털린 뒤였다. 구글은 남아 있던 3300원까지 빼내갔다.

◆작년부터 피해 사례 속출

구글의 결제 시스템 구글페이먼트 부정 결제 사건이 최근 속출하고 있다. 구글페이먼트는 구글 플레이스토어를 통해 다운받은 앱에서 이용자가 결제할 때 사용하는 ‘인앱결제’ 수단이다. 구글은 이 같은 해킹 사고가 잇따르는데도 피해 방지 시스템을 마련하지 않고 콜센터 운영조차 하지 않는 등 소비자 대책을 방치하고 있다. ‘안전한 결제 생태계를 만든다’는 명분으로 인앱결제에 30% 수수료를 꼬박꼬박 떼가고 있는 구글에 대한 비판이 거세지고 있다.

구글 플레이스토어 부정 결제 피해를 본 정모씨의 계좌 출금 내역. 1~2분 단위로 동일 금액이 반복돼 결제됐다. /피해자 정씨 제공

피해자 정씨에 따르면 당시 구글페이먼트로 다중접속역할수행게임(MMORPG) ‘리니지M’의 게임 화폐인 ‘다이아’ 구매 결제가 이뤄졌다. 다이아는 현금화하기 쉬운 게임머니여서 범인이 이를 노린 것으로 추정된다. 정씨는 리니지M을 다운받은 적도 없고, 게임에 접속하거나 계정을 만든 기록도 전혀 없다. 그는 “생전 해보지도 않은 게임 명목으로 돈이 빠져나가니 너무 당황스러웠다”고 토로했다.

온라인에는 비슷한 수법에 당했다는 게시글이 지난해부터 꾸준하게 올라오고 있다. A씨는 지난해 2월 구글페이먼트를 통해 약 30분간 총 58만원의 금액이 빠져나갔다. B씨도 같은 방법으로 지난해 4월 총 110만원의 금액을 편취당했다. 경찰 관계자는 “최근 구글페이먼트로 리니지M 다이아를 샀다는 사례가 빈번하게 접수되고 있다”며 “피해자 한 명이 최대 200만원을 편취당하는 등 적지 않은 피해가 발생하고 있다”고 했다.

◆피해 방지에 손 놓은 구글

구글의 미온적인 대응이 이 같은 반복적인 피해 발생에 한몫하고 있다는 비판의 목소리가 커지고 있다. 인앱결제 수수료로 관련 매출의 30%를 가져가는 구글이 보안 관리에 책임을 져야 한다는 지적이다. 그럼에도 구글은 코로나19를 이유로 콜센터까지 닫아놓고 있다. 당황한 피해자들이 눈앞에서 돈이 빠져나가는 걸 보면서도 멈춰달라고 요청할 곳이 없는 상황이다.

구글은 이에 대해 “안드로이드 시스템이 해킹당하거나 정보가 유출된 것은 아니다”며 “계정이 도용된 것으로 추정되기 때문에 구글 아이디를 분실한 개인에게 책임이 있다”고 해명했다. 일각에선 구글이 사건을 은폐한다는 의혹까지 제기한다. 모바일 결제 때는 단순히 아이디와 비밀번호뿐만 아니라 기기정보나 인증서 등 추가적인 보안 수단도 적용되기 때문이다. 정보기술(IT) 업계 관계자는 “리니지M 사용 기록이 전혀 없는 이용자들이 피해를 본 점 등을 미뤄보면 구글페이먼트 시스템이 해킹당했을 가능성을 배제할 수 없다”고 말했다.

허술한 사고 대응이 도마에 오른 가운데 구글이 정부의 수수료 규제 이후에도 편법을 동원해 과도한 수수료 부과를 지속하려는 움직임을 보여 비판은 더욱 거세지고 있다. 구글은 작년 시행된 ‘인앱결제 강제 금지법’(전기통신사업법 개정안)에 따라 제3자 결제 방식을 허용하면서도 아웃링크를 활용한 외부 결제는 금지했다. 업계 관계자는 “구글이 자체 결제수단 관리는 허술하게 하면서 인앱결제를 강제하고 있다”고 지적했다.

구민기 기자 kook@hankyung.com