휴대전화 요금 내역서 다시 보자

무료 회원 가입처럼 속이거나 SMS에 악성코드 심어 몰래 빼가는 소액결제 피해자들 속출
고객센터 등 통해 결제 차단해야

휴대전화 번호와 주민등록번호를 입력해 본인 인증을 거쳐 서비스 대금을 내는 휴대전화 결제 시장은 2013년 기준 3조원 규모로 커졌다. 그러나 이용자의 동의를 받지 않고 휴대전화 결제를 하는 피해 사례가 속출하고 있다.정용이

휴대전화 요금 내역을 꼼꼼히 보지 않는 당신. 눈 뜨고도 코 베였을지 모른다. 휴대전화 이용자들은 신용카드가 없어도, 매달 30만원까지 ‘외상 거래’가 가능하다. 휴대전화 번호와 주민등록번호를 입력한 뒤, 본인 인증을 거치면 결제 끝. 대금은 휴대전화 요금과 함께 정산된다. 이러한 결제 방식을 이용해 누군가 몰래 돈을 빼갔다는 하소연이 끊이지 않는다.

2000년 시작된 휴대전화 결제의 법률상 명칭은 ‘통신과금서비스’다. 서비스 초기 1만5천원이던 휴대전화 결제 한도액은 2000년대 중반 10만원으로 올라갔다. 휴대전화 결제 상한선이 30만원으로 굳어진 건, 온라인에서 30만원 이상을 결제할 경우 공인인증서가 필요하기 때문이다. 정부는 최근 공인인증서 의무사용 금액을 50만원 이상으로 올리는 방안을 추진 중이다. 휴대전화 결제 한도액도 높아질 가능성이 있다. 개인정보 유출 문제가 심각한 우리 사회에서, 금융거래가 쉬울수록 보안 위협은 클 수밖에 없다.

첫 결제 뒤 자동결제는 알려주지 않아

직장인 황아무개(40)씨는 최근 휴대전화 요금 내역서를 떼어보곤 충격에 휩싸였다. 2013년 4월부터 12월까지 사용하지도 않은 서비스 이용료로 매달 3만원 안팎의 요금이 결제됐다. 이미 28만여원이 통장에서 빠져나간 상황이었다. 지난해 4월은 휴대전화 단말기 할부 기간이 끝날 즈음이었다. 매달 내던 할부금이 빠진 탓에 결제 대금이 합산된 휴대전화 요금 총액은 여느 달과 다르지 않았다. 더구나 피해 사실을 알게 된 12월 전까진, 결제 사실을 통보받지 못했다. 그의 요금 명세서를 보면, 영화 사이트 등을 운영하는 콘텐츠 제공업체(CP) 10군데가 결제를 청구했다. 상호와 서비스명이 달랐던 업체 몇 곳은, 알고 보니 한 회사였다. 이들은 ‘자동결제’(별도의 해지 요청이 없을 때까지 본인 인증 거치지 않고 결제) 방식으로 매달 1만6500원 또는 1만9800원을 청구했다. 지난해 4월 첫 피해가 발생한 o사이트에 들어가봤다. 회원 가입 버튼을 누르자, 주민등록번호와 휴대전화 번호, 인증번호 입력창이 떴다. 휴대전화 결제 과정을 무료 회원 가입처럼 둔갑시켜놓은 것이다. 인터넷 포털 사이트에 해당 사이트를 검색해보니, 결제 피해를 입었다는 하소연을 쉽게 찾을 수 있었다. o사이트를 운영하는 업체명은 지금도 계속 바뀌고 있다. 휴대전화 결제를 이용하는 악덕 업체들에 대한 관리가 제대로 되지 않는다는 방증이다.

황씨는 o사이트에 가입한 적이 없다고 호소했다. 개인정보 낚시 통로인 ‘무료 이벤트’에도 참여하지 않았다. 명의가 도용됐거나, 업체 간 합병 과정에서 개인정보가 통째로 넘어갔을 가능성이 있다. 업체들은 개인정보 이전 사실을 이용자에게 통보해야 하지만, 이러한 절차가 제대로 지켜지지 않는 경우가 많다.

다날·모빌리언스 등 결제대행업체(PG)들은 휴대전화 결제 내역을 문자메시지로 전송해준다. 그런데 첫 결제 뒤 이뤄지는 자동결제에 대해선 문자메시지를 전송하지 않는다. 결제 완료 메시지를 다른 메시지처럼 오인하게 하는 경우도 있었다. 지난해 8월 광주지방경찰청 사이버수사대는 영화 관련 사이트를 운영하면서 무료 회원 가입인 것처럼 속여 개인정보를 수집한 뒤 13만여 명으로부터 매달 1만6500원씩 총 66억여원을 자동결제 방식으로 가로챈 업체 대표를 붙잡았다. 범행을 도운 결제대행업체 직원은 결제 사실을 피해자들이 알지 못하도록, 결제 완료 메시지에 ‘초특가 대박 이벤트’ 문구를 넣어 스팸 메시지인 것처럼 위장했다.

취소와 환불 신용카드보다 어려워

안드로이드 스마트폰에서 자주 발생하는 피해 유형은 ‘스미싱’이다. 스미싱은 문자메시지(SMS)를 이용해 개인정보를 낚는다(Phishing)는 의미다. 휴대전화 번호, 주민등록번호 등 개인정보를 확보한 이들은 휴대전화 결제를 통해 게임머니나 상품권을 구입해 저렴한 가격으로 되팔아 현금을 얻으려 한다. 이러한 범행을 위해 인증번호 메시지와 결제 완료 메시지를 가로챌 수 있는 악성코드를 휴대전화에 심으려 한다. 악성코드는 주로 문자메시지 속 단축 URL을 통해 유포된다.

40대 직장인 김아무개씨는 지난해 ‘[법원] 등기발송하였으나 전달불가(부재중)하였습니다. 조회 http://tr.im’이란 문자메시지를 받았다. URL을 누르자 ‘파일을 찾을 수 없다’는 안내 화면으로 넘어갔다. 그러는 동안 휴대전화에 악성코드가 설치된 것이다. 김씨 모르게 게임머니 13만원어치가 결제됐다. 악성코드를 품은 단축 URL 메시지는 택배 배송 조회, 결혼식 약도 안내, 교통범칙금 조회, 건강보험공단 무료 암검진, 카드대금 조회, 장성택 사망 동영상 보기, 송년회나 신년 인사 등으로 다양화되고 있다. 서울시내 일선 경찰서 사이버수사팀 관계자는 “스미싱으로 공인인증서를 빼내 피해를 입는 경우도 있다”며 “스마트폰을 활용한 디도스 공격(특정 시스템에 대량의 유해 트래픽을 전송해 서비스를 방해하는 것)도 우려된다”고 밝혔다.

1

휴대전화 결제의 취소와 환불은 신용카드보다 어렵다. 황씨는 28만원을 돌려받기 위해 미래창조과학부 웹사이트를 통해 민원을 넣고, 휴대전화·ARS 결제중재센터에 중재를 요청했다. o사이트 운영사는 3개월치 결제금만 돌려주겠다는 주장을 굽히지 않고 있다. 사단법인 한국전화결제산업협회 조용태 사무국장은 “서비스 사용 내역이 아예 없는 경우, 수수료를 포함해 전액 환불 요청을 하고 있다”며 “본인 인증 기록이 있을 땐 결제대행업체나 이동통신사에 지급된 수수료까지는 환불받지 못할 수도 있다”고 말했다. ‘스미싱’ 피해를 당한 김씨는 환불을 받는 데 두 달이나 걸렸다. 경찰서에 가서 진정서와 진술서를 작성하고, 사건·사고 접수사실확인원을 발급받아 다시 이동통신사에 보내는 과정을 거쳤다. 휴대전화 결제 과정에서 콘텐츠 제공업체는 결제대행업체에 대금 일부를 수수료로 지불하며, 결제대행업체는 요금 청구를 대신하는 이동통신사에 수수료를 준다. 휴대전화 결제 과정에서 이동통신사와 결제대행업체도 수수료 수익을 올리고 있지만, 무단 결제 피해를 예방하거나 피해 소비자를 구제하는 데 소극적이다. 지난해 한국소비자원 소비자분쟁조정위원회는 스미싱으로 인해 25만원의 휴대전화 결제 피해를 입은 사건에 대해 “이동통신사는 피해자 동의 없이 결제 한도를 설정해 손해액이 커지게 했으며, 인증번호를 관리하는 결제대행업체는 불법 결제 패턴을 차단하기 위한 조치를 다하지 못했다”며 콘텐츠 제공업체뿐 아니라 이동통신사와 결제대행업체에도 배상 책임이 있다고 판단했다.

통신과금서비스 ‘미신청’ 선택도 필요

지난 10여 년간 휴대전화 이용자들은 통신과금서비스에 자동 가입돼 있었다. 미래부는 지난해 9월부터 ‘신규 가입자’가 동의한 경우에만 통신과금서비스를 이용할 수 있게 했다. 계약을 체결할 때 통신과금서비스 ‘미신청’을 선택해야 결제가 차단되는데, 대리점에서는 이러한 내용을 충분히 설명하지 않는다. 기존 이용자들은 고객센터나 홈페이지 등을 통해 결제 차단을 하거나 한도 금액을 하향 조정할 수 있다. 이동통신사는 휴대전화 결제 과정에서 비밀번호를 추가로 입력하도록 하는 안심결제서비스를 도입했다. 이러한 서비스를 이용하려면 따로 가입 절차를 거쳐야 한다. SKT와 LGU+에선 무료, KT에선 유료(월 990원)다.

박현정 기자 saram@hani.co.kr