온라인 쇼핑몰 내 피싱·해킹에 의한 카드정보 유출로 부정사용 민원이 증가하고 있다.
2022년 1분기에 104건에서 2분기에는 141건, 3분기에는 99건이었다가 지난해 4분기에는 303건으로 급증했다.
최근에는 유명사이트 사칭앱까지 성행하는 등 카드정보를 불법 탈취해 유용하는 신종 사기수법들이 지속 출현하고 있다.
특히, 해외 인터넷 암시장에서 국내카드 회원정보가 불법 유통·판매되는 사례가 지속적으로 발생하고 있는 만큼 소비자의 경각심 제고가 중요하다.
금융감독원과 금융보안원 및 카드사의 공조체계 하에 금보원은 다크웹 등에서 불법 유통중인 카드정보를 카드사에 전달해 부정결제 시도를 차단토록 지원하고 있으며, 금감원은 카드사가 소비자 보호조치를 차질 없이 수행토록 지속적으로 지도중이다.
■온라인 쇼핑몰에 피싱 결제창을 삽입…카드 정보 등 탈취
사기범은 일부 국내 온라인 쇼핑몰 내 카드 결제 과정에서 실제 결제창과 유사하게 꾸며진 피싱 결제창을 해킹 등을 통해 삽입했다.
소비자가 지속적인 카드 결제를 위해 카드정보 등 개인정보를 모두 입력해야 하는 것처럼 착각하도록 설계해 카드정보 등을 탈취한다.
요구하는 정보는 카드번호, 유효기간, CVC, 주민등록번호, 신용카드 비밀번호 등이다.
사기범은 입력된 카드회원 개인정보를 탈취해 불법 유통하거나, 일부 국내외 온라인 가맹점·중고마켓 등을 통해 부정사용했다.
■해외 온라인 가맹점 해킹·피싱
해외 온라인 가맹점은 국내와 달리 카드정보를 암호화하지않은 상태에서 사이트 내 저장해 결제 처리하는 사례가 많아 해킹 등에 의한 카드정보 유출 위험에 노출돼 있다.
■해외 유명 사이트로 오인케 하고 사칭·가짜앱 설치 유도
사칭·가짜앱 다운로드 시 카드정보 입력을 유도하는 피싱 결제창을 삽입해 정보를 유출하거나, 인앱 결제(In-app Purchase) 등 방식으로 자동결제가 되는 피해 발생하고 있다.
한 소비자는 오픈AI가 개발한 챗GPT를 사용해보기 위해 구글플레이에서 '챗GPT'를 검색하고 제일 상단에 있는 앱을 다운로드 받았다.
앱을 이용하려고 하니 회원가입에 필요한 카드번호와 이메일 등 정보를 입력을 요구했고, 이를 입력하자마자 카드 결제가 이뤄졌다.
'챗GPT'는 아직 공식 앱이 출시되지 않았고, 다운받은 해당 앱은 '채팅GPT'로 정상적인 서비스가 되지 않는 사칭앱임을 확인됐다.
금감원은 소비자들에게 다음과 같은 주의사항을 당부했다.
■카드 결제 시 과도한 개인정보 요구시 의심
일부 온라인 쇼핑몰에서 해킹 등을 통해 교묘하게 피싱결제창을 삽입해 카드정보를 유출하는 피해 사례가 증가하고 있다.
온라인 쇼핑몰, 앱마켓에서 카드 결제 시 주민등록번호, 카드비밀번호 등 과도한 정보를 입력하도록 요구한다면 의심하고 이를 거절해야 한다.
카드 결제 시 주민등록번호 전체 숫자, 카드 비밀번호 네자리 등을 모두 입력하도록 요구하는 경우는 없다.
■해외직구 시 카드정보를 사이트 저장 말아야
일부 해외 중소형 온라인 가맹점에서는 결제된 카드정보를 암호화 하지 않아 해킹·피싱 등의 위험에 노출돼 있다.
■‘해외 온라인 거래용 가상카드’ 사용
해외 온라인 거래용 가상카드는 일회성으로 사용하고 폐기되므로 유출 위험에도 안전하다.
국내 카드사가 발행한 해외용 국제브랜드사(VISA, Master, AMEX 등) 제휴카드를 소지한 국내카드 회원을 대상으로 카드사 앱 또는 홈페이지를 통해 신청가능하다.
카드번호, 유효기간, CVC가 임의로 생성된 가상카드가 발급되며, 소비자가 사용 기간 및 횟수, 한도액을 설정할 수 있다.
■쇼핑 후 카드정보 피싱 등이 의심되면 즉시 카드 정지·재발급 신청
카드정보 유출 의심이 있는 경우라면 불편하더라도 반드시 카드 사용정지·재발급 받아 부정사용 가능성을 근절해야 한다.
해킹 등 부정한 방법으로 얻은 신용카드 등의 정보를 이용한 부정사용에 대해서는 카드사가 전액 보상한다.
[컨슈머치 = 전향미 기자]