이른 새벽, 평소보다 조금 일찍 눈이 떠졌다. 습관처럼 휴대전화를 확인하던 순간, 낯선 결제 알림 문자들이 눈에 들어왔다. 내가 결제한 기억이 전혀 없는 내역이었다. 잠이 덜 깬 상태였지만, 문자를 읽는 순간 등골이 오싹해졌다.
급히 아이폰 앱스토어에 들어가 '구입 내역'을 확인했다. 화면에는 내가 전혀 알지 못하는 모바일 게임의 결제 시도가 남아 있었다. 11만 5천 원 상당의 유료 아이템. '대기 중', '청구 오류'라는 문구가 반복해서 표시돼 있었다.
다행히 통신사 소액결제 한도를 낮게 설정해 둔 덕분에 실제 결제는 완료되지 않았다. 말 그대로 '미수'로 끝났다. 하지만 안도의 한숨을 내쉬기까지는 시간이 필요했다. 이 결제 시도는 단 한 번이 아니라, 여러 차례 반복된 흔적이 있었기 때문이다.
사진 속 기록은 분명했다. '4,000 다이아', '앱 내 구입', '총 미지불 금액 115,000원'. 그리고 "현재 지불 방법에 문제가 있습니다"라는 경고 문구.
필자는 이 게임을 설치한 적도, 결제를 시도한 적도 없다. 누군가 내 애플 계정에 접근해 결제를 시도했을 가능성을 의심할 수밖에 없는 상황이었다.
▲애플 앱스토어 앱 내 결제 내역 캡처 화면.이중 인증이 적용된 계정임에도 불구하고 정체를 알 수 없는 기기에서 결제가 시도된 정황이 확인됐다. ⓒ 최호림
이중 인증까지 해놨는데
더 황당했던 건 그 다음이었다. 나는 애플 계정에 이중 인증까지 설정해 둔 상태였다. 보안을 이유로 아이폰을 사용해 온 만큼, 기본적인 보호 장치는 모두 적용해 두었다고 생각했다.
혹시나 하는 마음에 애플 계정 관리 페이지에 접속해 로그인 기록을 확인했다. 그 순간 또 한 번 놀랄 수밖에 없었다. 내 계정에 전혀 알 수 없는 기기가 로그인된 기록이 남아 있었기 때문이다.
표시된 이름은 '모** 맥스튜디오(Mo***** Mac Studio, MacBook Air 13인치)'. 내가 사용한 적도, 소유한 적도 없는 기기였다.
이중 인증까지 설정된 계정에, 내가 모르는 기기가 '신뢰 기기'로 등록돼 있었다는 사실은 단순한 부주의나 우연으로 치부하기 어려웠다.
▲애플 계정에 등록된 기기 정보 화면.필자가 소유하지도, 사용한 적도 없는 ‘Mo***** Mac Studio(MacBook Air 13인치)’가 신뢰 기기로 등록돼 있었다. 이중 인증이 설정된 계정임에도 불구하고 정체불명의 기기가 계정에 접근한 정황으로, 보안 관리 체계에 대한 의문을 남긴다. ⓒ 최호림
나만의 문제가 아니었다
불안한 마음에 관련 사례를 찾아보기 위해 웹 검색을 해봤다. 놀랍게도 비슷한 피해를 호소하는 글들이 적지 않게 눈에 띄었다.
피해 금액은 몇 만 원에서, 많게는 수백만 원에 이르기까지 다양했다. 공통점은 대부분 본인이 인지하지 못한 상태에서 애플 계정이나 앱 결제가 이뤄졌다는 점이었다. 일부는 이중 인증을 설정해 두었음에도 피해를 입었다고 했다.
여기서 한 가지 의문이 자연스럽게 떠올랐다. 이 같은 계정 침해와 결제 피해가 최근 잇따라 발생한 국내 통신사의 개인정보 유출 문제와 무관한 일일까 하는 점이다. 개인정보가 한 번 외부로 흘러나간 뒤, 어떤 경로로 어떻게 악용되는지는 이용자 입장에서 확인하기 어렵다.
하지만 더 큰 문제는 이런 사고가 발생했을 때, 책임을 명확히 져야 할 주체가 보이지 않는다는 점이다. 애플은 단순 플랫폼 제공자이고, 통신사는 통신 인프라 제공자이며, 결제 과정에는 카드사나 결제대행사가 관여한다. 그러다보니 정작 피해를 입은 이용자가 도움을 요청할 수 있는 창구는 분절돼 있다.
플랫폼은 "비밀번호 관리 책임은 사용자에게 있다"고 말하고, 통신사는 "결제는 앱스토어 영역"이라며 선을 긋는 행태가 반복되고 있다. 그 사이에서 이용자는 어디에 문제를 제기해야 할지조차 모르며 혼란에 빠지고, 경우에 따라 2차 피해까지 입는다. 이용자에게 모든 책임을 전가하는 구조 속에서 보안 사고가 반복될 수밖에 없는 이유다.
'
미수'로 끝났다고 안심할 수 있을까?
물론 내 경우 이번 결제가 실제로 이뤄지지는 않았다. 그러나 이중 인증이 설정된 계정에 외부 기기가 로그인되고, 반복적인 유료 결제 시도가 발생했다는 사실만으로도 문제는 충분히 심각하다.
▲이른 새벽, 내 스마트폰으로 낯선 결제 알림 문자들이 도착해있다. ⓒ 최호림
앱스토어 결제는 클릭 몇 번이면 이뤄진다. 소액결제 한도를 설정해 두지 않았다면 피해는 이미 현실이 됐을지도 모른다.
그렇다면, 이런 상황을 겪었을 때 이용자는 어떻게 대응해야 할까?
만약 필자와 유사한 결제 시도나 계정 침해 정황을 발견했다면 즉각적인 대응이 필요하다. 우선 애플 계정 비밀번호를 변경하고, 로그인된 기기 목록을 확인해 의심스러운 기기는 모두 제거해야 한다. 기기 변경 등으로 더 이상 사용하지 않는 오래된 기기도 함께 정리하는 것이 바람직하다. 이중 인증 설정 여부를 재확인하고, 불필요한 결제 수단은 삭제하는 것이 안전하다. 통신사 소액결제는 차단하거나 최소 금액으로 설정해 두는 것이 사실상 필수에 가깝다.
아울러 실제 금전 피해가 없더라도 경찰청 사이버범죄 신고시스템을 통해 신고할 필요가 있다. 결제 시도 기록과 로그인 내역은 '미수 사건'으로도 접수가 가능하다. 이러한 신고가 누적돼야 유사 범죄 수법을 추적하고, 제도적 보완을 요구할 근거가 된다.
이제 완벽한 보안은 존재하지 않는 세상이 됐다. 그만큼 우리는 더 이상 개인의 주의력만으로 개인정보를 지킬 수 없는 시대를 살고 있다.
"조심했어야지"라는 말은 피해자에게 가해지는 또 다른 폭력이자, 시스템의 책임 회피를 정당화하는 무책임한 변명에 불과하다. 기술이 진보할수록 위협은 더욱 정교해졌고, 개인이 감당할 수 있는 한계를 이미 넘어섰다. 이제 보안은 개인의 선택 문제가 아니라, 사회가 함께 책임져야 할 안전망의 문제로 직시해야 한다.