구글 플레이 스토어 무단 결제 사례

오늘 말씀드릴 내용은 저도 예전에 비슷한 경험을 해본 적이 있는 구글 플레이 스토어 무단 결제 사례입니다. 게임에서 내가 직접 결제를 한거면 몰라도 다른 사람에 의해서 무단 결제가 되면.. 심지어 내가 쓰지도 않는 캐시템에 내 돈이 빠져나갔다면 당연히 열이 받죠. 일단 구글 플레이 스토어에서 무단 결제가 일어나는 과정에 대해 소개드리고, 이를 막기위한 방법인 2단계 인증에 대해 말씀드리겠습니다.

​

먼저 이 무단 결제 사례 과정을 말씀드리기 전에 저희가 보통 뉴스에 접했던 소액 결제 사기와 다른점을 알려드려야 할 것 같은데요. 소액 결제는 스마트폰만 가지고 있으면 본인 명의로 한 달에 100만원까지 신용결제를 할 수 있고, 구매 비용은 다음달 스마트폰 청구서에 합산되서 결제되는 서비스입니다. 이번에 설명드릴 구글 플레이 스토어 무단 결제와는 조금 다른게 스마트폰 요금 자체에 합산되서 청구가 된다는 점이죠. 기회가 된다면 소액 결제 사기도 이후에 한 번쯤 다뤄보겠습니다.

​

안드로이드 폰에서는 구글 플레이 스토어를 이용해서 필요한 앱이나 게임을 설치하고 있죠. 그런데 보통 게임을 하시는 분들 중 많은 분들이 게임 내 결제(인앱 결제)를 위해 이 구글 플레이 스토어에 카드나, 간편결제 등의 결제 수단을 미리 등록해두고 이를 통해서 결제를 하고 있습니다. 이게 소액 결제와 다른게 스마트폰 요금에 합산되는게 아닌 컨텐츠 이용료라고 해서 별도로 빠져 나갑니다. 만약에 페이코나 카카오페이와 같이 간편결제로 저장을 해놨으면, 간편결제에 등록된 카드로 돈이 빠져나가겠죠. 즉 내가 직접 내 스마트폰에서 게임 결제를 하지 않더라도, 구글 계정만 있으면 다른 스마트폰에서 게임 결제가 가능하다는 말입니다.

​

그럼 생각해보면.. 위의 과정으로 보아 이는 구글 계정이 유출되었을 때 가능한 시나리오가 되겠죠. 하지만 "페이스북 개인정보 유출 사례"처럼 구글 자체가 공격을 당해서 개인정보가 유출되었다기 보다는, 다른 사이트에서 개인정보가 유출되서 이런 사건이 발생했을 가능성이 높습니다. 이미 "개인정보를 이용한 크리덴셜 공격"으로 소개드린 바 있죠. 간단하게 다시 말씀드리면, A와 B라는 사이트에 각각 같은 계정의 아이디와 비밀번호로 가입을 했을 때, 해커가 A 사이트를 해킹하여 획득한 아이디와 비밀번호로 B 사이트에 로그인하는 공격이다..라고 생각하시면 됩니다.

​

실제 이와 같은 사례가 너무 빈번해서 아이디와 비밀번호로 로그인하는 것 외에 추가로 인증을 하는 2단계 인증 또는 2차 인증이 나오게 됩니다. 이 2단계 인증은 단순히 말해서 아이디와 비밀번호로 로그인하는 것 외에 스마트 기기로 추가적인 인증을 해서 계정을 보호하는 겁니다. PC 브라우저에서 특정 사이트에 아이디와 비밀번호로 로그인하고, 또 다시 인증 창이 뜨는데 스마트폰의 네이버 앱에서 접속을 허용하겠냐는 창이 뜨고 확인을 눌러야 로그인되는.. 즉, 로그인한 사람이 2단계 인증을 설정한 스마트폰의 소유자인지를 확인하는 방법이죠. 이미 네이버와 구글에서는 2단계 인증을 제공하고 있는데요. 저도 네이버에서 해외 IP에서 접속을 했다는 메일을 받고 나서 급하게 2단계 인증을 설정했습니다.

 

타인에 의한 구글 플레이 무단결제, 어떻게 막을 수 있나

뭔가 소개시켜드린 내용에 비해 대응 방법은 엄청 간단한데요. 사실 저렇게 쉽게 막을 수 있지만 많은 사람들이 '설마 내가 당하겠어..?'라는 생각으로 하지 않고 있습니다. 그러다가 소 잃고 외양간 고치는 것처럼 해킹을 당한 뒤에야 부랴부랴 등록을 하죠. 예전에 넥슨 아이디가 해킹된 이후에야 OTP 인증을 걸어놓은 저처럼 말이죠.. 이 글을 읽으시는 분들 중 2단계 인증을 하지 않으신 분들이 있다면 빨리 설정하시길 바랍니다. 오늘 말씀드릴 내용은 여기까지 입니다. 그럼 여기까지 쓰도록 하죠. 감사합니다.