보안 취약한 해외 쇼핑몰, 결제 과정이 단순하고 쉬워...결제 정보 저장은 ‘위험’
소비자 현혹하는 유명 쇼핑몰 ‘유사·사칭 앱’, ‘해외 결제 위장 피싱·스미싱’ 주의
안전한 해외 직구 위해서는 ‘해외 온라인 거래용 가상카드 발급’ 추천
[보안뉴스 이소미 기자] 따뜻한 봄철을 맞아 옷차림이 가벼워지면서 쇼핑을 서두르는 이들이 많아지고 있다. 특히, 온라인 쇼핑 활성화로 그 방법과 루트가 다양해지면서 전 세계 온라인 쇼핑몰을 넘나들며 자신만의 ‘워너비 아이템’을 찾는 ‘해외 직구족’도 크게 늘어났다. 무엇보다 국내에서 쉽게 구할 수 없는 제품이나 해외에서 구매하면 더욱 저렴한 가격에 구입할 수 있다는 이유로 국내 배송대행지 등을 이용해 해외 사이트에서 직접 구매하고 결제하는 방식은 이미 대중화되어 있다.
그러나 쇼핑의 즐거움도 잠시, 보안에 취약한 해외 쇼핑몰을 이용하거나 자칫 카드 결제정보 등을 습관처럼 저장해 두었다가는 개인정보를 노리는 해커들에게 공격을 받을 수 있다. 이로 인한 개인정보 및 카드정보 유출로 카드 부정 사용 및 금전적 피해가 발생할 확률이 높다.
[이미지=보안뉴스]
실제 최근 해외 직구 사이트, 온라인 쇼핑몰 등에서의 전자상거래가 급증하면서 피싱·해킹에 의한 카드정보 유출로 카드사 부정사용 민원이 증가했고, 다크웹 등에서 국내 카드 회원정보가 불법으로 유통·판매되는 사례가 지속적으로 발생하고 있다. 이에 <보안뉴스>에서는 해외 직구를 통해 ‘나만의 아이템’을 보다 안전하게 구매하는 즐거움을 만끽하기 위한 보안 예방법을 알아봤다.
개인 금융정보 탈탈 터는 유사·사칭앱 등장, 앱 다운로드 전 현혹되지 않도록 확인 또 확인
최근 해외 유명사이트와 비슷하지만 다른 유사·사칭 앱이 버젓이 앱 마켓에 등장하면서 이를 통해 개인 금융정보가 탈취되는 사례가 속출하고 있다. 소비자들은 해외 유명 사이트로 오인해 앱을 설치하게 되는데, 이 경우 실제 원하는 서비스를 정상적으로 제공받지 못할 뿐 아니라 결제정보가 해커들에게 노출되는 경우도 발생한다. 이는 안드로이드 마켓인 구글 플레이 스토어 뿐만 아니라 애플 앱스토어에서도 발견되는데, 앱 등록 규정이 상대적으로 까다로운 애플 앱스토어보다 안드로이드 마켓에 더 많이 등장하고 있다. 소비자는 앱 다운로드 전에 자신이 찾는 앱인지 먼저 확실하게 확인하고 무분별한 다운로드는 지양해야 한다.
또한, 앱을 통한 유료 서비스나 결제 진행 시 앱 마켓 사업자가 자체 개발한 시스템을 통해 결제되는 방식으로, 스마트폰에 등록된 신용카드나 간편결제 등이 사용된다. 그러나 최근 이를 악용한 ‘인앱 결제(In-app Purchase) 방식’으로 자동 결제되는 피해사례가 해외에서 발견되기도 했다.
이와 관련 금융감독원 관계자는 “국내는 아직 사례가 없지만 해외에서는 앱을 통해 입력한 정보나 데이터가 유출된 사례들이 다수 발견됐다”면서도 “정식 앱 마켓에 등록된 경우 원치 않는 결제 건에 대해서는 ‘환불’ 받을 수 있다는 점에서 등록된 앱이 피싱 피해를 입히거나 불법 앱이라고 단정 짓기는 어렵다”고 말했다.
해외결제 위장 피싱·스미싱 주의...해커들은 카드 결제 과정 중간에 ‘피싱 결제창 끼워넣기’
실제 정보 유출로 인한 해외결제 피해도 발생하고 있지만, 해외 직구 앱을 사칭한 ‘해외결제 위장 메시지’로 피싱 앱 접속을 유도하는 전통적인 스미싱 공격도 여전하다. 피싱·스미싱 공격은 기존 앱의 메뉴와 동일하게 제작해 클릭하면 로그인 페이지로 이동시켜 소비자로 하여금 정보 입력을 유도하고, 공격자의 서버로 전송해 정보를 탈취한다. 이에 소비자는 해외결제 내용과 URL이 함께 첨부되어 있다면 스미싱일 가능성이 높기 때문에 절대 URL을 클릭해선 안 된다. 이미 클릭한 후라면, 해외 직구 앱 설치 요구나 관련 앱 화면이 표출되더라도 정보를 입력해선 안 된다.
최근 발견된 수법으로 해커들이 카드 결제 과정을 해킹해 ‘피싱 결제창’을 중간에 끼워 넣어 소비자의 △주민번호 전체 뒷자리 △카드비밀번호 전체 네 자리를 요구하는 등 소비자의 개인정보 및 금융정보를 탈취한 사례가 발견됐다. 이와 같이 앱 이용 중 과도한 정보 입력을 요구하는 경우에는 즉시 진행을 중단해야 한다.
보안이 취약할수록 결제 절차도 간단...카드정보 결제 페이지 저장은 위험
전자상거래가 급증하면서 피싱·해킹에 의한 카드정보 유출로 부정사용 민원이 증가하고 있다. 특히, 보안체계가 제대로 갖춰지지 않은 해외 온라인 쇼핑몰의 경우, 카드 정보만으로 본인확인 등의 추가 인증 절차 없이 즉시 결제 처리된다. 해커들은 이같이 카드정보 암호화 과정이 생략된 허점 등을 이용해 해킹하고 탈취한 개인정보 및 카드정보를 다크웹을 통해 불법 유통 및 판매하고 있다.
이에 따라 금감원은 금융보안원·카드사와 협력해 다크웹에서 불법 유통 중인 카드 정보에 대한 부정 결제 시도를 차단하고, 카드사가 소비자 보호조치를 차질 없이 수행할 수 있도록 노력을 기울이고 있다.
해외 직구 사이트 이용 시 ‘해외 온라인 거래용 가상카드 발급’ 적극 추천
해외 직구 이용객 증가와 아울러 해외 쇼핑 피해량도 급속히 늘어나면서 카드사들은 지난 2021년부터 ‘해외직구용 가상카드 발급서비스’를 시행하고 있다. ‘가상카드’는 △카드번호 △유효기간 △CVC코드를 임의로 생성해 ‘카드정보 유출 피해’를 방지할 수 있다. 또한, 소비자가 △한도액 △사용횟수 △사용기간을 직접 지정할 수 있어 해당 기간 경과 시에는 자동으로 사용이 불가능하게 된다.
해외용 국제브랜드사(VISA, Master, AMEX 등) 제휴카드를 소지한 국내카드 회원이라면 누구나 발급받을 수 있으며, 해당 카드사 앱 또는 홈페이지를 통해 신청할 수 있다.
가상카드는 카드 결제 단계에서 며칠 간만 사용 후 폐기되는 정보들로 구성돼 혹여 해킹 등의 공격으로 정보가 유출되는 상황이 발생하더라도 그 위험을 최소화할 수 있다는 점에서 금감원에서도 적극 권고하고 있다.
이미 정보 유출 피해를 입었거나 의심된다면? 즉각 카드사에 정지·재발급 요청
온라인 쇼핑 후에 카드 정보 유출 및 피싱 등이 의심되는 경우라면 즉시 카드사에 요청해 카드 정지·재발급을 신청해야 한다. 과정이 다소 불편하더라도 피해 이후 부정사용 가능성을 근절할 수 있는 유일한 방법이다.
이미 신용카드가 부정 사용된 경우라면 카드사가 전액 보상하는 제도가 도입됐기 때문에 소비자가 피해 사실을 인지하고 카드사에 결제 취소 요청을 하면 소비자는 해당 결제액을 부담하지 않아도 된다.
카드업계 관계자는 “신뢰할 수 있는 업체가 아니라면 카드정보를 등록하는 것은 위험하다”면서, “국내 소비자라면 평소에는 ‘해외원화결제차단서비스’를 신청해 두고 필요할 때만 다시 활성화하는 것도 해외 부정 사용을 줄이는 방법”이라고 조언했다.
한편, 금감원은 지난 3월 13일 유명 해외직구 및 온라인 쇼핑몰 사이트 사칭 앱이 성행하는 등 카드정보를 불법 탈취해 유용하는 ‘신종 사기수법’이 지속 출현함에 따라 소비자 경보 ‘주의’ 단계를 발령한 바 있다.
[이소미 기자(boan4@boannews.com)]
소비자 현혹하는 유명 쇼핑몰 ‘유사·사칭 앱’, ‘해외 결제 위장 피싱·스미싱’ 주의
안전한 해외 직구 위해서는 ‘해외 온라인 거래용 가상카드 발급’ 추천
[보안뉴스 이소미 기자] 따뜻한 봄철을 맞아 옷차림이 가벼워지면서 쇼핑을 서두르는 이들이 많아지고 있다. 특히, 온라인 쇼핑 활성화로 그 방법과 루트가 다양해지면서 전 세계 온라인 쇼핑몰을 넘나들며 자신만의 ‘워너비 아이템’을 찾는 ‘해외 직구족’도 크게 늘어났다. 무엇보다 국내에서 쉽게 구할 수 없는 제품이나 해외에서 구매하면 더욱 저렴한 가격에 구입할 수 있다는 이유로 국내 배송대행지 등을 이용해 해외 사이트에서 직접 구매하고 결제하는 방식은 이미 대중화되어 있다.
그러나 쇼핑의 즐거움도 잠시, 보안에 취약한 해외 쇼핑몰을 이용하거나 자칫 카드 결제정보 등을 습관처럼 저장해 두었다가는 개인정보를 노리는 해커들에게 공격을 받을 수 있다. 이로 인한 개인정보 및 카드정보 유출로 카드 부정 사용 및 금전적 피해가 발생할 확률이 높다.
[이미지=보안뉴스]
실제 최근 해외 직구 사이트, 온라인 쇼핑몰 등에서의 전자상거래가 급증하면서 피싱·해킹에 의한 카드정보 유출로 카드사 부정사용 민원이 증가했고, 다크웹 등에서 국내 카드 회원정보가 불법으로 유통·판매되는 사례가 지속적으로 발생하고 있다. 이에 <보안뉴스>에서는 해외 직구를 통해 ‘나만의 아이템’을 보다 안전하게 구매하는 즐거움을 만끽하기 위한 보안 예방법을 알아봤다.
개인 금융정보 탈탈 터는 유사·사칭앱 등장, 앱 다운로드 전 현혹되지 않도록 확인 또 확인
최근 해외 유명사이트와 비슷하지만 다른 유사·사칭 앱이 버젓이 앱 마켓에 등장하면서 이를 통해 개인 금융정보가 탈취되는 사례가 속출하고 있다. 소비자들은 해외 유명 사이트로 오인해 앱을 설치하게 되는데, 이 경우 실제 원하는 서비스를 정상적으로 제공받지 못할 뿐 아니라 결제정보가 해커들에게 노출되는 경우도 발생한다. 이는 안드로이드 마켓인 구글 플레이 스토어 뿐만 아니라 애플 앱스토어에서도 발견되는데, 앱 등록 규정이 상대적으로 까다로운 애플 앱스토어보다 안드로이드 마켓에 더 많이 등장하고 있다. 소비자는 앱 다운로드 전에 자신이 찾는 앱인지 먼저 확실하게 확인하고 무분별한 다운로드는 지양해야 한다.
또한, 앱을 통한 유료 서비스나 결제 진행 시 앱 마켓 사업자가 자체 개발한 시스템을 통해 결제되는 방식으로, 스마트폰에 등록된 신용카드나 간편결제 등이 사용된다. 그러나 최근 이를 악용한 ‘인앱 결제(In-app Purchase) 방식’으로 자동 결제되는 피해사례가 해외에서 발견되기도 했다.
이와 관련 금융감독원 관계자는 “국내는 아직 사례가 없지만 해외에서는 앱을 통해 입력한 정보나 데이터가 유출된 사례들이 다수 발견됐다”면서도 “정식 앱 마켓에 등록된 경우 원치 않는 결제 건에 대해서는 ‘환불’ 받을 수 있다는 점에서 등록된 앱이 피싱 피해를 입히거나 불법 앱이라고 단정 짓기는 어렵다”고 말했다.
해외결제 위장 피싱·스미싱 주의...해커들은 카드 결제 과정 중간에 ‘피싱 결제창 끼워넣기’
실제 정보 유출로 인한 해외결제 피해도 발생하고 있지만, 해외 직구 앱을 사칭한 ‘해외결제 위장 메시지’로 피싱 앱 접속을 유도하는 전통적인 스미싱 공격도 여전하다. 피싱·스미싱 공격은 기존 앱의 메뉴와 동일하게 제작해 클릭하면 로그인 페이지로 이동시켜 소비자로 하여금 정보 입력을 유도하고, 공격자의 서버로 전송해 정보를 탈취한다. 이에 소비자는 해외결제 내용과 URL이 함께 첨부되어 있다면 스미싱일 가능성이 높기 때문에 절대 URL을 클릭해선 안 된다. 이미 클릭한 후라면, 해외 직구 앱 설치 요구나 관련 앱 화면이 표출되더라도 정보를 입력해선 안 된다.
최근 발견된 수법으로 해커들이 카드 결제 과정을 해킹해 ‘피싱 결제창’을 중간에 끼워 넣어 소비자의 △주민번호 전체 뒷자리 △카드비밀번호 전체 네 자리를 요구하는 등 소비자의 개인정보 및 금융정보를 탈취한 사례가 발견됐다. 이와 같이 앱 이용 중 과도한 정보 입력을 요구하는 경우에는 즉시 진행을 중단해야 한다.
보안이 취약할수록 결제 절차도 간단...카드정보 결제 페이지 저장은 위험
전자상거래가 급증하면서 피싱·해킹에 의한 카드정보 유출로 부정사용 민원이 증가하고 있다. 특히, 보안체계가 제대로 갖춰지지 않은 해외 온라인 쇼핑몰의 경우, 카드 정보만으로 본인확인 등의 추가 인증 절차 없이 즉시 결제 처리된다. 해커들은 이같이 카드정보 암호화 과정이 생략된 허점 등을 이용해 해킹하고 탈취한 개인정보 및 카드정보를 다크웹을 통해 불법 유통 및 판매하고 있다.
이에 따라 금감원은 금융보안원·카드사와 협력해 다크웹에서 불법 유통 중인 카드 정보에 대한 부정 결제 시도를 차단하고, 카드사가 소비자 보호조치를 차질 없이 수행할 수 있도록 노력을 기울이고 있다.
해외 직구 사이트 이용 시 ‘해외 온라인 거래용 가상카드 발급’ 적극 추천
해외 직구 이용객 증가와 아울러 해외 쇼핑 피해량도 급속히 늘어나면서 카드사들은 지난 2021년부터 ‘해외직구용 가상카드 발급서비스’를 시행하고 있다. ‘가상카드’는 △카드번호 △유효기간 △CVC코드를 임의로 생성해 ‘카드정보 유출 피해’를 방지할 수 있다. 또한, 소비자가 △한도액 △사용횟수 △사용기간을 직접 지정할 수 있어 해당 기간 경과 시에는 자동으로 사용이 불가능하게 된다.
해외용 국제브랜드사(VISA, Master, AMEX 등) 제휴카드를 소지한 국내카드 회원이라면 누구나 발급받을 수 있으며, 해당 카드사 앱 또는 홈페이지를 통해 신청할 수 있다.
가상카드는 카드 결제 단계에서 며칠 간만 사용 후 폐기되는 정보들로 구성돼 혹여 해킹 등의 공격으로 정보가 유출되는 상황이 발생하더라도 그 위험을 최소화할 수 있다는 점에서 금감원에서도 적극 권고하고 있다.
이미 정보 유출 피해를 입었거나 의심된다면? 즉각 카드사에 정지·재발급 요청
온라인 쇼핑 후에 카드 정보 유출 및 피싱 등이 의심되는 경우라면 즉시 카드사에 요청해 카드 정지·재발급을 신청해야 한다. 과정이 다소 불편하더라도 피해 이후 부정사용 가능성을 근절할 수 있는 유일한 방법이다.
이미 신용카드가 부정 사용된 경우라면 카드사가 전액 보상하는 제도가 도입됐기 때문에 소비자가 피해 사실을 인지하고 카드사에 결제 취소 요청을 하면 소비자는 해당 결제액을 부담하지 않아도 된다.
카드업계 관계자는 “신뢰할 수 있는 업체가 아니라면 카드정보를 등록하는 것은 위험하다”면서, “국내 소비자라면 평소에는 ‘해외원화결제차단서비스’를 신청해 두고 필요할 때만 다시 활성화하는 것도 해외 부정 사용을 줄이는 방법”이라고 조언했다.
한편, 금감원은 지난 3월 13일 유명 해외직구 및 온라인 쇼핑몰 사이트 사칭 앱이 성행하는 등 카드정보를 불법 탈취해 유용하는 ‘신종 사기수법’이 지속 출현함에 따라 소비자 경보 ‘주의’ 단계를 발령한 바 있다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
