구글 계정도 털렸다! 안드로이드폰 보안 빨간불?

경기도 동탄에 거주하는 A(주부·47)씨는 지난해 12월 30일 오전 자신의 스마트폰에 낯선 소액결제 내역이 찍힌 것을 발견했다.

자세히 살펴보니 엔화로 특정 상품에 대한 결제가 이뤄졌다는 해외 승인 문자였다. 순간 해킹을 당했나 하는 생각이 들었지만, 집안 행사 준비로 마음이 급했던 A씨는 금세 이 사실을 잊고 일에 몰두하기 시작했다.

그렇게 하루가 지나고 이튿날 아침을 맞은 A씨는 또 다시 이상한 결제 내역이 스마트폰 문자로 날아온 것을 발견했다. 오전 5시 41~42분 사이에 총 3건이 비슷한 액수로 결제됐다는 승인 내역이었다.

사업자 표시가 'GOOGLE*SEGA'로 찍힌 것으로 볼 때 해외에 있는 누군가가 게임아이템 앱을 소액결제로 구매한 듯 했다.

A씨는 곧장 구글코리아 고객센터에 전화를 걸어 "구글 계정에 등록된 신용카드로 자신도 모르게 총 4건의 소액결제가 이뤄졌다"는 피해 신고를 했다.

그러자 고객센터 담당자는 "일단 먼저 이메일로 피해 접수를 하라"고 이른 뒤 "이번 사안은 이용자 부주의로 개인 정보가 누출돼 발생한 일이기 때문에 자신들에겐 책임이 없다"식의 답변을 내놨다.

구글코리아 측의 성의 없는 답변에 화가 난 A씨는 재차 전화를 걸어 "구글플레이를 통해 분명히 범죄가 발생했는데, 이같은 범죄 행위를 방치하는 게 구글 측의 공식 입장이냐"고 따져 물었다.

A씨가 목소리 톤을 높이자 효과는 금세 나타났다. 이날 오후 고객센터 관계자는 A씨에게 전화를 걸어 "피해를 당한 해당 계정은 즉시 정지를 시켰고, '부정결제'가 이뤄진 내역은 청구가 되지 않도록 할테니 안심하라"고 말한 뒤 "더이상의 문제 제기는 하지 않으셨으면 좋겠다"는 당부를 건넸다.

문제는 그 다음이었다. 구글코리아가 보안 문제로 차단시킨 A씨의 구글 계정이 좀처럼 복구되지 않은 것.

가족들과 함께 한동안 호주에 거주하다 국내로 돌아온 A씨는 구글에 최초 가입할 당시 사용했던 휴대폰과 다른 스마트폰을 사용하고 있었다. 따라서 휴대폰을 통한 본인 인증을 하지 못한 A씨는 오로지 이메일을 통해서만 계정 복구가 가능한 상황이었다.

A씨의 계정 정보를 수정하기 위해 구글코리아에서 보낸 이메일에는 구글 계정을 개설한 연도와 해당 월, 그리고 구글에 마지막으로 로그인한 연도와 해당 월·일을 필수적으로 기재하도록 돼 있었다.

제대로 입력하지 않으면 다음 단계로 나아갈 수 없는 구조였기 때문에 '계정 개설 연도'를 잊어버린 A씨는 계속해서 '초기 화면'으로 돌아가는 낭패를 겪고 말았다.

A씨는 재차 이메일을 보내고 고객센터에 전화를 걸어 "프로세스에 문제가 있으니 다른 방편을 알려달라"고 호소했지만, 돌아오는 대답은 "다시 웹사이트에 접속해보라"는 말 뿐이었다.

A씨는 "숫자를 세어보니 당시 16번 이상 고객센터에 전화를 했던 것 같다"며 "구글 측 전화번호를 찾는 것도 힘들었지만, 상담원과 통화를 하기 위해선 대단한 인내심이 필요했다"고 한숨을 내쉬었다.

온갖 방법을 동원해도 계정 복구가 이뤄지지 않자, A씨는 지난 3월 3일 "▲구글플레이 스토어에서 부정결제가 이뤄진 원인과 이에 대한 구글 측의 입장을 밝히고, ▲당초 '이용자의 부주의'로 치부했던 구글코리아 고객센터의 입장이 바뀐 이유, ▲범죄집단에 가까운 사업자(앱 개발사)를 방치한 이유, ▲16번의 전화통화에도 연결이 제대로 되지 않는 고객센터의 현황과 통화 회신 용량 등을 공개하라"는 내용증명을 구글코리아로 보냈다.

A씨가 '공증문서'를 통해 항의 표시를 하자, 이번엔 구글코리아도 대표이사 매튜 스캇 서처먼 명의로 된 '공식 입장문'을 보내 자신들의 뜻을 전달했다.

구글코리아는 "문의하신 '알 수 없는' 청구의 원인은 구글의 이용자 정보 유출에 의한 것이 아닌 제 3자의 계정 도용에 의한 것으로 내부적으로 확인됐다"면서 "귀하의 계정 도용 피해 건을 접수, 2016년 1월 1일 담당 팀에서 피해 금액에 대한 환불 처리와 계정에 대한 비활성화 조치를 진행했다"고 밝혔다.

구글코리아는 "문의량이 예상보다 많아 통화 연결이 쉽지 않을 수 있다. 고객 센터와 연락을 취하는 과정에서 상담원이 오해를 야기하거나 불편을 끼쳐드린 점이 있었다면 양해 말씀을 드린다"면서 "타인에 의한 복구나 추가적인 도용을 방지하기 위한 차원이므로, 다소 번거롭더라도 본인이 계정을 생성할 때 입력했었던 정보를 기반으로 정상적인 계정 복구 절차를 밟아달라"고 당부했다.

이와 관련, A씨는 "지금도 계정 복구를 하지 못해 해당 이메일을 열람하지 못하고 있다"며 "해킹을 당한 것도 기가 막힌데, 오랫동안 사용하던 이메일마저 쓰지 못하게 됐으니 생각만해도 분통이 치민다"고 토로했다.

◆ 게임 다운 받다 '구글 계정 해킹' 낭패

국내 스마트폰 이용자 중 상당수가 안드로이드 OS를 사용하면서 A씨처럼 구글 계정이 제대로 보호되지 않아 피해를 입는 이용자들의 숫자도 늘어나고 있다.

구글플레이나 유튜브 등 구글 계열 프로그램에 '구글 계정'이 다양하게 활용되면서 개인 정보가 유출될 확률도 함께 높아지고 있다는 분석이다.

전문가들은 개인 정보가 외부로 유출되는 경로는 안드로이드폰 이용자의 개인정보를 빼내기 위해 만들어진 '크래킹앱(해킹앱)'을 다운받았을 때 발생하는 경우가 대부분이라고 지적한다.

구글플레이 스토어가 상대적으로 검열 과정이 약하기 때문에 값비싼 유료 앱의 '무료 버전'으로 위장한 '크래킹앱'들이 많이 올라와 이용자들을 현혹시키고 있다는 것.

피해자들 상당수는 게임 애호가들이었다. 구글 해킹 피해 사례들을 공유하는 커뮤니티 게시판을 보면, "게임 아이템을 구입하기 위해 구글 계정을 만들고 신용카드 번호를 등록했는데 어느날 낯선 결제 안내 문자가 날아와 낭패를 겪었다"는 얘기를 많이 접할 수 있었다.

방금 제 구글 계정이 털렸습니다.

어플은 은행과 XXXX의 몇 가지 게임만 깔려 있는 순정 상태의 폰이었습니다.

30분전쯤 문자로 듣도 보도 못한 앱에서 카드 결제 내역이 슝슝, 날아오더군요. 106.00달러로요...

이게 끝이 아니라, 3분 간격으로 106.00 달러 결재가 계속 올라오는 겁니다. 이쯤에서 혼돈의 도가니..멘붕..

문자에 한 적도 없는 결제시도 문자가 와 있길래 이게 뭐지? 하고 있던 참에 마침 신용카드사에서 발빠르게 연락이 와서 해외에서 10만원 결제가 시도됐다는 얘기를 들었습니다.

방금은 또 구글메일로 "Google에서 구매를 취소했습니다" 이런 메일이 날아왔네요. 이거 해킹당한거 맞죠?

일단 구글월렛에서 카드 싹 다 빼고 g메일 비밀번호도 바꿔놓긴 했어요.

지금까지 해킹 한 번 안당하고 살았는데 오늘 처음 당했네요. 게임 계정도 아니고, 구글 계정을.. 대체 해킹은 어떻게 한 거지?

◆ "구글플레이 해킹 당해 수천달러 피해 입어"

구글 계정 해킹으로 인한 '부정결제 문제'는 '본 고장' 미국도 예외는 아니었다.

'수잔 하비(Susan Harvey)'라는 미국 여성은 "자신의 구글플레이 계정이 해킹당해 수천달러를 손해봤다"며 지난해 연방 지방법원에 소송을 제기했다.

수잔 하비는 2014년 8월경 안드로이드 스마트폰을 새로 구입한 뒤 이전에 쓰던 스마트폰에서 다운 받은 앱을 새 스마트폰으로 옮기기 위해 개인 컴퓨터로 자신의 구글 계정에 접속했다.

그런데 해당 계정에는 자신이 결제한 적도 없는 구글플레이 결제 내역이 무려 650여건이나 올라와 있었다고.

구글플레이에서 발생한 '부정 거래'는 2013년 4월부터 2014년 5월 사이에 집중적으로 일어났다. 수잔 하비는 이 기간 동안 수천달러에 이르는 돈이 자신의 통장에서 빠져나갔다고 주장했다.

수잔 하비는 "즉시 구글에 피해 사실을 알리고 환불을 요구했지만 환불 조치 등 피해 복구가 제때 이뤄지지 않았다"며 구글을 상대로 거액의 민사 소송을 제기했다.

이 사건을 최초 보도한 '블로터닷넷'은 "구글플레이에서 개인정보를 가로채는 앱이 있다는 사실이 보고된 적이 있다"며 특정 앱을 통해 개인 전화번호와 기기 고유 식별 정보 등이 유출됐을 가능성이 있음을 지적했다.