애플 '소액결제' 피해 이중인증 안 한 휴면 계정 노렸다

애플계정 무단결제 시스템 침해 아냐…'환불 조치'
이중인증 의무화 이전계정·스스로 해제 계정 피해 추정

FILES-GERMANY-US-INTERNET-TECHNOLOGY-EARNINGS-APPLE-TARIFF ⓒ AFP=뉴스1

(서울=뉴스1) 김민석 기자 = 애플 계정을 무단으로 탈취해 소액결제 피해(게임 머니 구매 후 탈취) 사건과 관련 장기간 방치된 상태의 계정인 것으로 확인됐다.

피해 계정들은 공통적으로 이중 인증(2FA)이 적용되지 않은 상태였다. 애플은 피해 고객 대상으로 콘텐츠 결제액 환불 조치를 진행 중이다.

18일 업계에 따르면 애플 계정 무단 결제 피해 계정 상당수는 오랫동안 사용하지 않은 휴면 계정이었던 것으로 파악됐다.

휴면 계정 중에서도 이중 인증 의무화 이전 생성된 계정 또는 이용자 스스로 이중 인증을 해제한 경우로 추정됐다.

애플은 자사 시스템이 침해된 정황은 없다고 결론 내리면서 피해 고객에게는 환불 조치를 진행하고 있다.

현재 애플은 애플 ID 로그인 시 비밀번호뿐 아니라 등록된 기기에 전송되는 6자리 인증 코드를 추가로 입력해야 하는 이중 인증을 운영하고 있다. 지문 인식(터치ID)과 얼굴 인식(페이스ID) 등 생체인증 기술도 활용하고 있다.

경찰에 따르면 피해 사례는 8월 말에서 9월 초 사이에 집중적으로 발생했다. 이동통신사 3사 피해자들이 포함된 것으로 알려졌다.

서울경찰청 관계자는 "일선서 접수한 애플 콘텐츠 결제 피해 사건 중 일부를 넘겨받아 수사할 예정"이라며 "피해자 조사 등 초동 조치 후 서울청 사이버수사과로 이관해 신속 수사하겠다"고 했다.

ideaed@news1.kr

<용어설명>

■ 이중 인증
이중 인증(2FA·Two-Factor Authentication)은 계정이나 서비스에 로그인 시 비밀번호에 추가 인증 수단을 요구하는 보안 기능이다. 비밀번호가 유출되더라도 본인만이 가지고 있는 인증 수단 없이는 계정 접근이 불가능해져 무단 침입 위험이 크게 줄어든다.

■ 생체인증
생체인증 기술은 지문 인식(터치ID)·얼굴 인식(페이스ID)·홍채·안구(옵틱ID) 등 다양한 방식을 포함한다. 생체인증 시스템은 이용자의 신체 정보를 기반으로 기기의 잠금 해제나 결제 인증, 앱 접근 등 각종 인증 과정을 대체한다.