쿠팡 수백만원 결제 피해…언제 어떻게? 예상 시나리오는

(서울=뉴스1) 김민수 기자 = 쿠팡에 등록된 카드에서 수백만 원이 무단 결제됐다는 제보가 나오면서 카드 정보가 외부에서 탈취·악용됐을 가능성이 제기되고 있다.

3일 업계에 따르면 가장 유력하게 거론되는 가능성은 카드번호·유효기간 등 카드 자체 정보가 이미 다른 경로에서 유출돼 온라인 결제에 악용됐을 경우다.

올해 통신사와 카드사 등에서 대규모 정보 유출 사고가 잇따르며 공격자가 확보한 정보가 누적된 상태이고, 이 정보가 범행에 활용됐을 가능성이 제기된다.

공격자가 만약 기존에 이메일과 아이디, 비밀번호를 확보했다면 피해자의 쿠팡 계정에 접속했을 수 있다.

다만 결제창에 노출되는 피해자의 카드번호는 일부가 마스킹 처리돼 있어 전체 숫자는 확인할 수 없다. 이 역시도 공격자가 이전에 유출된 정보를 조합해 온전한 카드번호를 알아냈을 수도 있다.

실제 다크웹에서는 카드번호·유효기간·CVC·소유자 이름이 포함된 정보가 지속해서 거래되고 있으며, 과거 유출된 카드 정보가 수년 뒤 다시 범죄에 악용되는 사례도 적지 않다.

금전피해 원인으로는 수기입력 결제가 거론된다. 일부 소매점·주점·특수업종에서는 비대면 주문 시 카드번호와 유효기간 등을 구두나 문자로 전달받아 단말기에 직접 입력하는 방식의 결제가 존재한다.

이 과정에서는 업종별로 CVC 확인 절차가 엄격하지 않은 경우가 있다.

사용자의 PC나 스마트폰이 악성코드에 감염돼 입력 정보를 탈취당했을 수도 있다. 키로거 기반 악성코드는 키보드 입력이나 터치 정보를 수집해 카드번호·CVC·결제 비밀번호 등을 그대로 공격자에게 전송한다.

황석진 동국대 국제정보보호대학원 교수는 "생각지 못한 수법이 사용됐을 수도 있기 때문에 조사가 어느 정도 이뤄져야 한다"며 모든 가능성을 열어놔야 한다고 말했다.

kxmxs4104@news1.kr