제673호 윤지원⁄ 2020.04.09 09:42:48
2주 전 금요일 밤의 일이다, 반주를 곁들인 만찬으로 시작한 주말은 달콤해야 마땅했다. 새벽 세 시에 잠을 깨운 그 전화만 아니었다면.
오밤중에 전화라니 이게 무슨 비(非) 매너인가 싶었지만, 알고 보니 고마운 전화였다. 신용카드사의 사고 예방 팀으로, 내 신용카드의 부정 사용이 염려되어 카드를 일시 정지시켰다고 했다.
내가 한창 자고 있던 새벽 두 시부터 3만 3천 원씩 열세 번에 걸쳐 42만 9천 원어치나 결제되어 있었다. 사용처는 구글플레이였고, 구매된 품목은 ‘레드 젬’이라는 것이었다.
레드 젬? 붉은 보석? 생전 처음 들어보는 단어였다. 알고 보니 넥슨에서 만든 V4라는 게임에서 사용하는 게임머니의 일종이었다.
구글 계정 해킹으로 수십만 원 피해
우리카드 사고 예방 팀은, 내가 평소 결제하지 않는 시간에, 자주 쓰지 않는 사용처에서, 평소 사용액보다 훨씬 큰 금액을, 그것도 여러 번에 나누어 한꺼번에 결제하는 행위가 무척 수상했기에, 일단 카드 사용을 정지시키고, 후속 조치를 위해 나에게 연락한 것이었다.
결제에는 카드 정보가 사용된 것이 아니라, 구글플레이 로그인 정보가 사용됐다. 해당 카드는 구글에서 서비스되는 안드로이드 어플리케이션(앱)이나 게임, 영화 등을 구매할 때 사용하도록 연결해 둔 카드였다. 구글 계정의 비밀번호를 알면, 카드 정보를 자세히 몰라도 구글 내에서 과금하는 데는 사용할 수 있다. 즉, 누군가가 내 구글 계정을 해킹해서 자신이 쓸 뭔가를 결제한 것이다.
내 구글 계정의 로그인 기록을 보니 새벽 두 시 경에 서울 근교에서 어떤 윈도우즈 컴퓨터와 안드로이드 스마트폰으로 로그인 한 흔적이 있다고 나왔다.
나와 아내는 소위 ‘앱등이’나 ‘애플빠’라고 불린다. 둘의 스마트폰과 스마트패드와 컴퓨터는 모두 애플 제품이다. 10년 전 아이폰이 한국에 처음 들어올 때부터 사용했다. 그래서 안드로이드와 윈도우즈, 삼성전자 등 타사의 OS나 플랫폼은 잘 사용하지 않게 됐다. 고양시 집에 낡은 윈도우즈 컴퓨터가 있긴 한데, 소리가 나지 않아 사용하지 않은 지 몇 달은 됐다. 마우스, 키보드 등도 아예 연결되어 있지 않다. 즉, 내가 사용하는 윈도우즈는 이 글을 작성 중인 회사 컴퓨터뿐이다.
40대 후반 남자인 나는 게임을 거의 하지 않는다. 게임을 하더라도 똑같은 동물들을 일렬로 맞추거나, 숫자의 배열에 따라 모눈을 칠해 그림을 만드는 등 혼자서 느긋하게 즐기는 퍼즐 게임만 한다. 시각적 정보가 너무 많고 순발력을 요구하는 게임은 질색이고, 스토리가 복잡하고 시간을 많이 투자해야 하는 게임은 취향이 아니며, 낯선 타인과 온라인으로 연결되어 승부하거나, 채팅하며 협동해야 하는 게임은 무섭다.
e스포츠로 발전해 세계 대회까지 열리는 스타크래프트, 리그 오브 레전드 같은 유명 게임을 구별할 줄 모를 정도로 아는 게 없다. 나에게는 아시아 각지에서 요리에 쓰는 향신료 종류보다도 더 생소한 분야다.
생소하던 게임 세계, 알고 보니 도박판 판박이?
V4라는 게임이 있다는 사실도 이번에 처음 알았다. 당연히 한 번도 해 본 적 없고, 다운받은 적도, 설치한 적도 없다. 넥슨 계정은 가지고 있다. 그런데 2000년대 중후반 이후로 로그인한 적이 없는, 휴면 상태의 계정이었다. 그 당시에도 게임은 별로 한 적이 없었는데, 무슨 게임 때문에 넥슨 계정을 만들었는지는 잊어버렸다.
리니지 같은 게임 때문에 패가망신한 사람들이 많다는 얘기는 들어봤다. 하지만 게임머니라는 게 하룻밤에 수십만 원어치씩 사기도 하는 것이라고는 상상도 못 해봤다. 하룻밤에 수백만 원을 쓰는 사람도 있다고 한다. 고가에 거래되는 아이템과 관련 있기 때문이라고 한다.
게임 안에서 카드를 얼마에 구매하네, 어쩌네 하는 복잡한 설명을 들었다. 내가 이해한 바에 따르면, 사용자가 게임 내에서 구매할 수 있는 일종의 ‘랜덤 박스’가 있다. 랜덤 박스 가격이 천 원이라면, 그 안에는 최소 천 원 가치의 게임 아이템이 들어있다. 하지만 랜덤한 확률로 고가의 아이템이 들어있는 박스가 걸릴 때가 있다. 심지어 어떤 아이템은, 정상적인 거래나 보통의 게임 활동에서는 얻을 수 없는 희귀한 아이템이다. 이런 아이템은 실제 고가의 현금 거래도 이루어진다고 한다.
만 원에 열 개의 랜덤 박스를 사면, 열 개 모두 천 원짜리 아이템뿐일 가능성이 높다. 간혹 비싼 아이템이 나오면 매우 좋겠지만, 아주 드문 일이다. 그 적은 확률을 조금씩이라도 높이고자 하는 사용자는 물량 공세에 나선다. 수십만~수백만 원어치 랜덤 박스를 사서 열어보는 것이다.
어디서 들어본 내용이다. 파칭코나 슬롯머신에 앉아, 어쩌다 한 번 나올 잭팟을 기대하며 동전을 무한정 반복해서 넣는 것과 똑같다.
도박이다. 그래서 그 많은 사람이 게임 때문에 돈을 날리고, 카드 빚을 지고 한다는 게 이해가 되었다. 게임 폐인도 그래서 생기는구나. 남의 카드 정보나 계정 정보를 해킹하는 범죄도 그래서 발생하는 것이겠구나. 나 역시 그런 배경에서 범죄 피해를 당한 거구나.
구글이 왜 내 돈을 넥슨에 주나?
그래도 이해가 되지 않는 게 있다. 난 카드 정보를 해킹당한 것이 아니라, 구글 아이디와 비밀번호가 유출된 것이었다. 그 정보로 살 수 있는 것은, 앱이건 게임이건 영화건, 구글이라는 플랫폼 내에서 사용되는 상품, 즉, 내가 등록한 내 기기에 내 계정으로 로그인해야 사용할 수 있는 것들에 국한되어야 마땅하다.
그러니 내가 다운받은 적도 없고, 하지도 않는 게임의 게임머니를, 내 계정의 결제정보로 구매가 가능한 구조가 이해되지 않는다.
심지어 구글플레이에서 거래되는 다른 상품은 대부분 아주 저렴하다. 동영상 편집앱 같은 고가의 전문가용 앱이나 대용량 고화질 게임이 아닌 한 일반 사용자가 일반적으로 구매하는 유료앱의 가격은 대부분 1~2천 원이다. 최신 영화 한 편은 비싸야 1만 원대에 그친다.
그런데 내 계정에서 접속하지도 않는 게임의 게임머니를 수십만~수백만 원어치 반복 결제하는 것이 그토록 쉽게 허용되는 시스템이라는 게 이해되지 않는다.
어쨌든 내 해킹된 구글 계정은, 넥슨의 게임머니를 대량 구매하는 데 사용됐다. 심지어 범인으로 짐작되는 일당은 다음날 새벽에도 똑같은 구매를 시도했다. 전날 일로 카드가 막혀있었길래 망정이지.
나는 검색을 통해 나와 똑같은 처지의 피해자가 생각보다 많다는 사실을 알게 됐다.
인터넷에서는 구글플레이 결제정보가 해킹되어 어떤 게임에서 거액이 결제됐다는 사연들이 매우 쉽게 검색된다. 피해 사례는 몇 년에 걸쳐 분포되어 있고, 그 게임이 나와 같은 V4인 경우도 매우 많다. 그들은 대개 나처럼 자고 있던 새벽 시간에 피해를 입었다. 그만큼 자주 발생하는 일이었고, 많은 피해자가 존재했다. 이 정도 빈도라면 구글도, 넥슨도 당연히 이러한 범죄 유형에 대해 파악하고 있을 것으로 짐작된다.
피해 반복돼도 환불 절차 개선 안 돼?
많은 피해자가 구글로부터 피해 금액을 환불받았다고 증언하고 있다. 다만 그 절차가 어떤 사람에게는 간단했고, 어떤 사람에게는 매우 복잡했다.
빨리 환불 받았다는 사람들은 공통적으로 전화로 다소 강력하게 항의하자 쉽게 환불해주더라고 밝혔다. 반면 복잡하고 어려운 과정을 거쳤다는 사람들은, 심지어 캐나다에 있는 구글의 모 부서 담당자와 국제 전화를 여러 차례 나눈 다음에야 겨우 환불받았다고도 했다. 똑같은 유형의 피해이고, 정황은 어차피 저마다 비슷하니, 나 역시 내 감정을 전화로 생생하게 전하는 것이 가장 좋은 방법이라는 결론에 도달했다,
그런데 하필 지금의 나는 구글과 전화 통화를 할 수 없는 상황이다. 구글코리아는 ‘코로나19’로 인해 고객지원팀 인력의 건강을 보호하는 차원에서 해당 팀의 인원을 축소 운영하고 있고, 그래서 아예 전화 상담 창구를 막아버렸다고 한다. 구글 고객지원센터로 전화를 하면, 선택의 여지도 없이 이러한 안내방송이 나온 후 “이해해주셔서 감사합니다”하며 일방적으로 끊어진다. 난 이해한 적 없는데.
그래서 현재 구글의 모든 고충 처리는 오직 온라인 절차만으로 이루어진다. 결제 금액 환불을 요청하는 것도 온라인 고객센터에 마련된 해당 양식에 따라야 했다. 그런데 절차에 따라 ‘미승인결제내역에 대한 환불’ 요청을 접수하니, 답변을 듣는 데 12일이나 걸린다고 한다.
이와 별개로, 각 결제 항목에 대해 일일이 이의를 (열세 번) 신청하고 환불 요청을 할 수도 있다. "어떤 경로로 결제됐는지 모르겠다"는 항목에 체크하고, 누군가 해킹한 것 같다고 상황 설명을 했다. 그런데, 구글의 환불 정책에 맞지 않아 환불해 줄 수 없다는 답 메일을 열세 통 받았다. 피해 내용을 자세히 써서 다시 접수해 봐도 마찬가지다. 이런 환불 요청은 담당하는 사람이 검토하는 건지조차 알 수 없다.
그런데 이 경우, 답변 맨 아래에는 해당 앱을 공급하는 개발자(넥슨) 측에 연락을 해보라는 팁이 달려 있었다. 그래서 넥슨에 연락을 취해봤다.
넥슨은 그나마 전화 상담이 가능했다. 그리고 상담사는 매우 친절했다. 그는 나의 상황을 이해했으며, 나의 고충에 동의하고 있었다. 하지만 넥슨이 환불해 줄 일은 아니라고 확실히 선을 그었다. 12일 걸린다는 구글의 대답을 들어본 뒤에, 환불이 안 된다고 하면 구글에 다시 환불을 요청해야 할 것이라고 설명했다.
구글은 넥슨에, 넥슨은 구글에 책임을 전가하며 나를 여기저기 뺑뺑이 돌리는 모양이다. 앞서 검색을 통해 만난 수많은 피해자 동지들 중 “환불이 결코 쉽지 않았다”며 스트레스를 호소한 사례들이 떠올랐다.
범죄로 이익 본 구글과 넥슨은 공범?
상황을 최대한 단순하게 정리해봤다.
나는 해킹당했다. 해킹은 범죄다. 나는 해킹 범죄로 인해 수십만 원 상당의 금전적 피해를 본 피해자다. 우리카드가 빠른 판단을 해 준 덕에 다행히 액수가 그 정도에서 그쳤다. 다른 피해자 사례처럼 피해 금액이 수백만 원으로 늘어날 수도 있었다.
내 범죄 피해로 인해 경제적 이익을 본 자들이 있다. 그날 새벽 서울 모처에서 윈도우즈 컴퓨터에 내 계정 정보를 입력하고, 내 구글 결제 정보로 레드젬을 산 그 해커 일당이다.
근데 이익을 본 자들은 그들만이 아니었다. 해커 일당은 내 돈으로 거래를 했다. 그날 내 카드에서 결제된 레드젬 대금은 분명히 넥슨으로 흘러갔고, 결제수수료는 구글의 주머니로 들어갔다.
도박이나 다름없는 아이템 판매 시스템을 만들어 놓고, 범죄에 의한 불법 결제가 반복되는 정황을 두 기업은 충분히 파악하고 있을 가능성이 높다. 그에 대한 방지책을 어떻게 마련하고 있는지는 파악되지 않는다. 또, 나와 같은 피해자가 전에도 많았던 것을 보면 효과적인 방지책은 아닌 것으로 보인다.
또 피해 고객에게는 환불 절차와 정책을 꼼꼼히 따를 것을 요구하면서, 책임은 서로에게 떠넘기며 열흘 넘게 기다리게 한다. 정작 고객의 범죄 피해에 따른 경제적 이익을 자신들이 받은 것에 관해서는 입을 다물고 있다. 환불이 되는 경우는 기업이 피해 고객에게 최소한의 당연한 협조를 해 주는 거고, 안 될 경우 환불이 불가한 이유는 피해 고객에게 있고. 넥슨과 구글의 이익은 유지된다.
나 역시 이대로 환불이 안 된다는 답변이 돌아온다면 복잡한 절차를 다시 거쳐야 한다. 그것 조차 안 통하면 수십만 원 피해를 보게 생겼다. 게임 고객이 아닐 뿐 아니라 게임을 즐기지도 않는데 말이다. 내가 실수로 결제한 것도 아니고, 내가 누구한테 비밀번호를 알려준 것도 아니며, 자다가 범죄 피해를 입은 건데 말이다.
범죄 피해자이며, 스트레스까지 잔뜩 받은 입장이다 보니 하필 이런 단어들만 머릿속에 떠오른다. ‘공범’, 그리고 ‘미필적 고의’가 그것이다. 십중팔구 피해의식이고, 골치아픈 과대망상인 거 안다. 그러니 제발 내 돈 돌려받고, 오해가 잘 풀렸으면 하는 바람이라는 거다.