나도 모르는 결제되는 구글 플레이 계정 탈취 예방법은?

최근 구글 플레이스토어 계정 해킹으로 금전적 피해를 봤다는 사례가 다수 접수됐다. 구글 플레이 계정을 해킹당할 경우 해커가 계정에 등록한 결제 수단을 이용해 실시간으로 금전 피해를 입힌다는 점에서 정신적·물질적 피해가 막심하다.

이런 해킹은 어째서 일어날까. 당했을 때 어떻게 대처해야 할까. 어떻게 예방할 수 있을까.

 

인터넷 상에서 해킹 피해 사례를 살펴보면, 해커 대부분은 엔씨소프트의 리니지2M와 넥슨의 V4 등 매출 상위권에 있는 국산 다중접속역할수행게임(MMORPG) 게임에서 결제를 했다.

해커는 피해자의 앱 마켓 계정을 탈취해 카드, 휴대전화 등 등록된 결제 수단으로 손쉽게 인앱 결제를 진행한다. 피해 사례를 살펴보면, 적게는 수십만원, 많게는 수백만원에 이르는 금액을 몇 분에 걸쳐 순식간에 결제한다. 큰 금액을 한번에 결제하기보다는 소액을 여러 번에 나눠 결제하는 식이다.

과거 특정 경로로 노출된 피해자의 로그인 정보가 다크웹이나 암시장에서 거래되면서 해커가 해당 정보로 피해자 구글 계정을 탈취했을 수 있으며, 해커는 다수 로그인 정보를 한꺼번에 얻은 후 자동화 시스템으로 접근 가능한 로그인 정보만 추려 공격을 시도하기에 피해가 빠르게 확산할 수 있다.

금전 피해를 입기 전 구글 계정에 수상한 로그인 시도를 한 흔적이 있다는 메일을 받은 사례도 많은데, 이 경우 해커가 가짜 메일을 피해자에게 보냈을 수도 있으며, 해당 메일에서 링크를 클릭해 비밀번호를 변경했다면 그 정보가 해커에게 전달돼 해킹에 악용됐을 가능성도 있다.

 

만약 해커가 결제를 하고 있는 상황에서 피해 사실을 알아챘다면, 가장 먼저 해야 할 일은 해커가 이용하는 결제 수단을 담당하는 카드·통신사에 연락해 추가 결제를 막고 해킹된 계정의 비밀번호를 바꾸는 것이다. 현재 사용하는 계정이 아니라 과거에 사용하던 계정일 수 있으므로 꼼꼼히 살피는 것이 좋다.

이후 피해 금액을 환불 받기 위해서는 거래일로부터 120일 이내에 구글 플레이에서 제공하는 미승인 구매 신고 페이지 양식에 맞게 피해 사실을 알려야한다. 구글 플레이 측은 "미승인 청구 사례 중 특히 계정·결제 수단 도용 등 사기성 결제는 사실 여부가 확인된다면 결제를 취소할 수 있다"고 밝혔다. 단 가족, 친구 등이 이용자 계정으로 결제한 경우와는 환불 절차가 다르다.

 

이러한 피해 사례는 구글 플레이 플랫폼 계정 해킹 탓에 발생하는 문제가 대부분이므로 게임사에서 직접적인 도움을 받기는 어렵다.

 

구글 플레이 측은 자사 고객센터의 글을 통해 미승인 거래 피해를 차단하기 위해 이중 보안을 사용하는 방법을 상세히 안내했다. 계정에 등록한 결제 수단은 삭제하고, 되도록 구매시 추가 인증을 하도록 설정할 것을 권했다.

보안 업계도 이같은 피해를 사전에 예방하기 위해서는 보안 습관을 생활화해야 한다고 조언한다. 계정 로그인시 이중 인증이나 일회용 비밀번호(OTP)를 사용하는 등의 추가 로그인 절차를 마련하는 것이 일례다. 두 번 로그인하도록 절차만 마련해도 해커의 해킹 절차가 복잡해지기에 다수 해킹을 막을 수 있다. 비밀번호를 수시로 바꾸는 것도 사소하지만 중요한 보안 수칙이다.

수상한 전조가 있다면 계정 보안에 한 번 더 주의를 기울이는 것이 해킹을 예방할 때 중요하다.

출처 : [세이프 스마트폰] 수백만 원 나 몰래 결제… 구글 플레이 계정 탈취 예방법은