“애플 30% 싸게 사세요”… 신용카드 정보 턴 해커였다

中 해킹 조직, 중소 쇼핑몰 공격
7100개 카드 번호·이름 등 유출
애플제품 산 후 환불해 현금화
“검증되지 않은 온라인몰 주의”

“신용카드를 도난당한 것도 아닌데 쓴 적도 없는 175만원이 결제됐어요. 애플 스토어에서 아이폰을 샀다는 문자였어요.”

중국 해킹 조직이 국내 쇼핑몰을 공격해 7100개에 육박하는 신용카드 정보를 빼낸 사실이 드러났다. 해당 조직은 해킹한 신용카드 정보를 악용해 고가의 물건을 구입한 뒤 환불하거나 중고로 되파는 수법으로 거액을 챙긴 것으로 드러났다.

금융보안원은 2022년 9월부터 최근까지 국내 5000개 온라인 쇼핑몰을 분석한 결과 49개 사이트에서 7089개 신용카드 정보가 해킹 조직의 손에 들어갔다고 22일 밝혔다. 신용카드 고객의 이름과 카드 번호, 비밀번호, 주민등록번호 등 민감한 12개 정보가 고스란히 해킹 조직에 넘어갔다.

금융보안원은 이 조직이 범죄 자금을 현금화하는 과정에서 주로 아이폰, 애플워치 등 애플의 제품을 이용했다고 밝혔다. 중고 가격이 잘 떨어지지 않아 현금화하기도 쉽다는 이유에서다.

중국 해킹 조직은 보안이 취약한 국내 중소 쇼핑몰을 노렸다. 금융보안원에 따르면 해킹당한 49개 쇼핑몰은 모두 특정 회사가 제작한 쇼핑몰 플랫폼을 사용했다. 이들은 결제 과정에 ‘피싱 페이지’를 끼워 넣는 수법을 썼다. 해당 페이지를 통해 이들은 피해자들의 신용카드와 비밀번호 등 개인정보를 고스란히 빼냈다.

카드 수천 개의 정보를 확보한 해킹범들은 중고 거래 플랫폼 등에 애플 제품울 비롯한 전자 제품을 시세보다 30% 정도 저렴하게 판다는 글을 올렸다. 물건을 사겠다는 사람이 나타나면 조직의 계좌로 현금 입금을 유도하고, 확보한 카드 정보를 바탕으로 다른 쇼핑몰에서 전자 제품을 사 구매자에게 보낸 뒤 돈을 챙겼다.

통상 카드 해킹 조직은 다크웹(암호화된 웹사이트망)을 통해 카드 정보를 건당 약 3달러(약 4100원) 정도에 팔았지만 이들은 부정 결제를 통해 건당 현금 수백만 원을 챙겼다.

경찰청과 공조 수사 중인 금융보안원은 최대 600억원 가까운 피해가 있을 수 있다는 입장이다. 금융보안원은 “경찰과 공조해 피해를 줄였지만 국내 쇼핑몰 보안을 강화해야 한다. 제작사와 운영자의 협력이 필요하다”고 밝혔다. 카드업계 관계자는 “검증되지 않은 온라인 쇼핑몰 구매를 주의하고 결제 과정에 평소와 조금이라도 다른 페이지가 뜬다면 즉시 결제를 중단해야 한다”고 말했다.

강신 기자