온라인 결제시스템 취약성 이용 '10만원으로 7000만원 빼돌린 20대 전문 프로그래머' 검거

아주경제 장윤정 기자= 온라인 결제시스템의 취약성을 이용해 7000만원의 부당이득을 취한 20대 명문대 출신 컴퓨터 프로그래머가 경찰에 붙잡혔다. 

해킹 등 불법적인 사이버공격이 아닌 온라인결제시스템의 취약성을 분석해 활용한 범죄로, 향후 온라인결제시스템 보완이 시급한 것으로 지적되고 있다. 

경찰청 사이버범죄대응과는 컴퓨터 등 사용사기 혐의로 프로그래머 김모(27) 씨를 불구속 입건하고 또 다른 프로그래머 중국인 이모 씨를 기소중지했다고 6일 밝혔다.

경찰에 따르면 김씨는 컴퓨터와 온라인 카드결제가맹점 간의 송·수신 통신정보를 분석해 온라인 결제과정에서 결제대행사가 결제승인 업체와 취소요청 업체가 동일한지를 확인하지 않는다는 취약점을 발견, 이를 이씨에게 알려주고 그 대가로 700여만원을 받은 혐의를 받고 있다.

관련기사

• 충남경찰, 대학교와『세이프-캠퍼스』구축
• 디지털포렌식, 첨단 수사에 활용 ... POS 등 해킹 범인 검거

우리나라 온라인 결제 시스템은 신용카드사 등 결제기관과 인터넷 가맹점 사이에 결제·지불 기능을 제공하고 수수료를 받는 결제 대행사가 끼어 있는 형태다.

김씨는 결제 대행사가 온라인 결제 취소 요청을 받았을 때 취소 요청을 하는 가맹점이 당초 결제가 이뤄진 가맹점과 동일한 곳인지 제대로 확인하지 않는 경우가 있다는 사실을 알아냈다.

현실 세계라면 물건을 사지도 않은 고객이 반품을 요구하는 것을 가게 주인이 모를 리 없지만, 온라인 공간에서는 결제 업무를 제3자인 대행사가 하는 데다 결제와 관련된 내용도 숫자로 이뤄진 코드에 불과해 엉뚱한 가맹점에서 취소 신청을 해도 대행사나 가맹점은 즉각 알기 어렵다는 것이다.

김씨는 이런 정보를 이씨에게 전달했고, 이씨는 올해 1∼3월 모 게임 아이템 사이트에서 10만원짜리 온라인 문화상품권을 내고 사이버 머니를 충전했다가 현금화해 빼낸 후 모 어학원 사이트를 통해 결제를 취소하는 방법으로 840여회에 걸쳐 약 7000만원을 편취했다.

결제 대행사는 어학원 사이트에서 발생한 결제가 취소된 줄로만 알고 있었지만 어학원에서는 애초 결제가 이뤄진 적이 없었으니 결국 모든 손실은 대행사에 돌아갔다.

어학원 사이트를 통해 결제를 취소할 때마다 10만원짜리 상품권은 되살아났고, 이씨는 똑같은 방법으로 범행을 되풀이했다.

결국 10만원짜리 온라인 문화상품권으로 결제했다 취소하기를 되풀이해 7000만원을 만든 셈이다.

경찰조사결과 김씨는 명문대 출신의 프로그래머 경력 6년차로 결제대행사 홈페이지에 게시된 설치 매뉴얼을 분석해 결제 절차상 취약점을 추측해낸 것으로 밝혀졌다. 

경찰은 중국인 공범 이씨의 행방을 쫓기 위해 중국 관계당국과 공조수사를 벌이고 있다. 또 전문 프로그래머에 의한 전자금융거래 사기에 대처하기 위해 관계기관 대책회의를 열어 온라인결제의 기술적·절차적 취약점을 설명하고 보완을 당부했다.

[자료= 경찰청 사이버범죄대응과 ]