구글의 ‘플레이스토어’를 통한 금전 피해가 잇따라 발생하고 있다. 엔씨소프트의 모바일 게임 ‘리니지M’의 부정결제 사례가 대표적이다. 리니지M을 설치도 안 한 사람들에게 난데없이 리니지M 결제 소식이 전해지는 방식이다.
사태의 원인은 구글 계정의 아이디, 패스워드 노출이다. 계정정보를 취득한 제3자가 결제 수단에 자등으로 등록돼 있는 휴대폰, 카드 등을 통해 결제한다. 리니지M뿐만 아니라 유료 앱 결제 등에도 활용할 수 있다.
유독 게임 결제가 많은 것은 환금성을 노린 것으로 추정된다. 리니지M은 현금을 통해 게임 내 재화인 ‘다이아’를 구매하고, 다이아로 가치가 없는 아이템을 웃돈을 주고 사는 등의 우회 현금거래가 이뤄지고 있다. 다이아를 현금으로 교환할 수 있다는 의미다.
이와 같은 피해를 예방하기 위해서는 계정보안을 신경써야 한다. 여러 사이트·서비스의 계정 아이디와 패스워드를 똑같이 쓴다면 어느 한 곳에서의 정보 유출로도 같은 정보를 쓰는 사이트·서비스 모두 유출된 것과 같은 피해를 입을 수 있다.
일일이 다른 패스워드를 입력하는 것은 보안성은 향상되나 편의성은 떨어진다. 때문에 기업들은 추가 인증(멀티팩터 인증)을 적용하는 추세다.
대표적인 추가 인증은 일회용비밀번호(OTP)다. 다만 최근에는 스마트폰이나 PC, 브라우저 자체를 인증 수단으로 삼기도 한다. 등록돼 있는 스마트폰·PC·브라우저가 아니라면 아이디, 패스워드를 입력하더라도 로그인이 되지 않는 형태다. 이 경우 편의성을 확보하면서 보안도 강화하는 효과를 누릴 수 있다.
구글과 네이버 등은 이와 같은 추가 인증을 이미 제공 중이다. 다만 기본 옵션으로 적용돼 있지는 않다. 사용자가 필요에 따라 추가 설정을 해야 한다.
계정보안과 별개로 결제의 경우 악용 가능성이 큰 만큼 다소 편의성이 떨어지더라도 별도의 인증 절차를 마련하는 것이 좋다. 사용 한도를 정해두는 등의 조치도 효과적이다.