챗GPT 29만9천원 800여명 무단결제, '간단 인증' 뚫렸다

사진=REUTERS·연합뉴스

챗GPT 29만9000원 800여명 무단결제, '간단 인증' 뚫렸다

챗GPT의 고가 요금제인 29만9000원 요금이 무단으로 결제돼 논란이 된 가운데 '간단' 해외 결제에 대한 경각심이 불거지고 있다.

22일 업계에 따르면 이달 들어 국내에서 결제된 챗GPT 프로 요금제(29만9000원)는 총 1368건, 약 4억원 규모다. 이 가운데 약 2억5000만원 상당인 858건이 이번 부정 결제 의심 사례로 분류됐다. 무려 62.7%에 달하는 수치다.

해당 의혹은 최근 온라인 커뮤니티와 사회관계망서비스(SNS)를 중심으로 정체불명의 29만9000원이 카드에 청구됐다는 피해 글이 속출하면서 의혹이 불거졌다. 이들의 결제는 모두 국내 전자결제 대행사인 나이스정보통신을 통해 처리됐으며, 최종 결제처는 챗GPT 개발사인 오픈AI로 확인됐다. 청구된 금액 역시 고가 구독 상품인 '챗GPT 프로' 국내 구독료와 동일하다.

피해자들은 챗GPT를 사용한 적이 없거나 유료 구독 서비스를 이용한 적이 없음에도 결제가 이뤄졌다고 주장했다.

보안 업계에서는 이번 사태를 다크웹이나 피싱 등으로 탈취한 카드 정보의 유효성을 검증하는 이른바 '카드 테스팅(Card Testing)' 범죄 수법으로 보고 있다. 범죄자들은 불법 유통되는 한국인의 실명·이메일 정보를 이용해 챗GPT 계정을 대량으로 생성하고 매크로 프로그램을 이용해 탈취한 카드 정보를 무차별적으로 대입하며 결제를 시도한 것으로 추정된다.

이런 일이 발생할 수 있었던 것은 오픈AI 같은 해외 온라인 가맹점 중 상당수가 카드번호와 유효기간, 보안코드(CVC) 등 입력만으로 결제가 이뤄지기 때문이다. 지문, 패턴, 간편비밀번호 등 추가 인증이 필요한 경우도 있지만, 카드사와 발급은행 판단에 따라 조건부로 적용되는 구조다.

또 전자금융감독규정에는 금융회사 또는 전자금융업자가 전자금융거래의 종류·성격·위험 수준 등을 고려해 안전한 인증 방법을 사용해야 한다는 정도의 내용만 있어 직접 카드 정보를 입력해 결제할 때 실명 확인이 의무는 아니다. 이미 실명 확인을 거쳐 발급된 인증 수단을 사용하는 결제는 대부분 별도 추가 확인 없이 처리되고 있다.

논란이 커지자 오픈AI 측은 "도난된 카드 정보가 무단 사용된 것으로 확인되어 해당 결제 수단을 비활성화했다"고 밝혔으며, 결제 대행사인 나이스정보통신 역시 의심 사례 중 700여건을 결제 취소하고 신규 카드를 통한 결제를 임시 중지한 상태다.

나이스정보통신 측은 국내법상 이런 방식에 휴대전화 본인 인증을 반드시 적용해야 하는 별도의 의무 규정이 있는 것은 아니라고 설명하며 "결제 방식은 가맹점의 서비스 운영 방식과 글로벌 결제 환경 등을 종합적으로 고려해 적용되는 것"이라는 입장이다.

'카드번호·유효기간·보안코드'만 입력하는 방식은 결제 편의성은 높지만, 이번 같은 카드 정보 유출 상황에서는 추가 인증이 있는 방식보다 상대적으로 취약하다는 지적이다. 편리한 간단 결제가 피해 규모를 키운 것.

나이스정보통신은 이번 일을 계기로 오픈AI와 협의해 본인 인증을 적용하고자 테스트 및 개발 절차를 진행하고 있다고 전했다.

여기에 PG사를 통한 결제 구조도 피해 인지를 늦추는 요인으로 꼽힌다.

PG사는 카드사와 직접 계약하기 어려운 업체의 결제 업무를 중개하는 역할을 한다. 이에 PG사를 사용하는 업체를 이용하면 카드 명세서상 가맹점명이 대부분 PG사명으로 표기된다. 이번 결제의 PG사가 나이스정보통신이었다.

이 때문에 도용 결제 벌어져도 '나이스정보통신'으로 표기돼 챗GPT와 관련된 가맹점 결제로 피해를 본 사실을 고객이 직관적으로 파악하기 어려웠다는 지적이다. 이번 논란에 오픈AI와 나이스정보통신은 결제 시 나이스정보통신과 오픈AI 혹은 챗GPT가 함께 나오도록 가맹점명을 변경했다.

PG사 결제가 카드사 이상금융거래탐지시스템(FDS)에서 탐지가 늦어질 수 있다는 문제도 제기된다. FDS는 결제 금액, 시간, 업종, 거래 패턴 등을 종합해 이상 거래를 탐지하는 시스템인데, 실제 결제처 정보가 충분히 드러나지 않으면 특정 가맹점에서 반복되는 이상 징후를 파악하는 데 시간이 걸릴 수 있다는 것이다.

이에 따라 금융 당국은 불법 유통되는 개인정보 DB에 대한 모니터링을 대폭 강화하고 범부처 공동 대응에 나서기로 했다. 금융감독원 역시 카드사들에 이상 거래 탐지 강화를 요청했다.

당국의 대응과 별개로 소비자들의 선제적인 예방 조치도 요구된다. 현재까지 확인된 사례에서는 상대적으로 체크카드와 선불카드 관련 피해가 다수 발생한 것으로 알려졌다. 자주 사용하지 않는 카드는 스마트폰 앱 등을 통해 해외 온라인 결제를 차단하거나 이용 한도를 최소 수준으로 낮추는 것이 피해 예방에 도움이 된다.

더불어 보안을 더 중시할 경우 2차 인증이 있는 결제 수단을 택하는 것이 바람직하다고 금융 당국은 조언했다. 카드 사용자도 해외 사이트를 이용할 때는 카드 번호를 직접 입력하는 방식보다는 2차 인증이 있는 각종 페이 서비스로 결제하는 게 낫다고 추천했다.

이와 함께 해외 결제를 통해 부정 사용이 많이 일어나는 만큼 카드사에서 제공하는 '해외 원화결제(DCC) 차단' 및 '해외 이용 차단'·'해외 사용 안심 설정' 등 기능을 설정해놓는 것도 도움이 된다. 카드사 홈페이지 등을 통해 출입국 정보 활용에 동의하면 입국 후 해외에서 발생하는 신용카드의 부정 사용을 방지할 수 있다.

또한 해외 유료 서비스를 이용할 때는 실제 카드 번호 대신, 카드사 앱에서 지원하는 일회용 혹은 정해진 금액만 결제되는 '가상 카드번호'를 발급받아 사용하는 방법도 추천된다.

또한 카드의 분실·도난 시 신고 접수일로부터 60일 내 발생하는 부정 사용액에 대해 보상받을 수 있다.

김소연 한경닷컴 기자 sue123@hankyung.com