구글 플레이스토어에서 결제 도용당한 이야기

게임이라곤 한 적 없는 내게 넥슨 V4 유료결제 내역 푸시가 왔다

여느 때와 다를 바 없었던 2020년 1월 8일 아침. 카카오뱅크 체크카드 사용내역 푸시 메시지가 스마트폰에 떴다.  

출금 112,301원 (US)GOOGLE *NEXON Korea g.co/helppay# CA” _ 오전 10시 51분 45초.

‘구글? 넥슨 코리아? 이 조합은 무엇인가? 구글 원드라이브 연간 정기 구독 외에는 결제를 걸어놓은 것이 없는데, 이건 뭔가? 내가 마지막으로 한 게임은 9년 전 앵그리버드인데?’

혼미해지는 정신줄을 붙잡고 즉시 카카오뱅크 고객센터로 연락했다.

“저는 출근해서 일하는 중이고, 게임을 전혀 하지 않는 사람인데요. 구글을 통해 넥슨 코리아로 11만 원 넘는 돈이 결제됐어요. 알아봐 주세요”

알아본 뒤 연락 주겠다는 상담원의 말을 뒤로하고, 넥슨 코리아에 연락을 했다.

“넥슨의 게임을 전혀 하지 않는 사람입니다만, 구글 플레이스토어를 통해 11만 원 넘게 결제가 됐어요. 어떻게 된 건지 빨리 좀 알아볼 수 있을까요?”

자사의 서비스와 맞물린 결제였지만, 상담원은 좋게 말하면 참 침착했고 나쁘게 말하면 강 건너 불구경하는 식으로 대답했다.

“구글 코리아에 문의하셔야겠어요. 저희가 알아봐 드릴 수 있는 게 없습니다”

약이 올랐지만 지체할 틈이 없었다. 구글 코리아 콜센터로 전화했다. 콜센터가 싱가포르에 있는지 캘리포니아에 있는지 모르겠지만, 살짝 어눌한 한국 어투를 가진 남자 상담원과 연결됐다. 계정 소유주 확인을 해야 한다며 이메일 주소를 물어봤고, 상담 내내 연락받을 수 있는 전화번호를 네 번 정도 말하게 했던 것 같다. “앞서 말한 전화번호와 같습니다”라고 답변해도 다시 한번 내 휴대폰 번호를 복창하게 하며 급해서 불타오르는 마음에 기름 붓기를 시전.

나는 호소했다. 구글 관련 결제는 클라우드 연간 정기 결제 외엔 전혀 없으며, 게임 따위는 하지 않는 아재라는 점. iOS만 사용하는 본의 아닌 '앱등이'인데, 접속 단말기는 갤럭시 S8로 확인된다는 점 등등... 기혼 아저씨라면 알 것이다. 11만 원이 있고 없고에 따라 내 삶의 질이 얼마나 출렁일 수 있다는 것을. 그 절박함은 통신선을 타고 바다 건너 싱가포르 혹은 캘리포니아 마운틴뷰로 전해졌을 터.

"저는 이런 기계 안 씁니다!"

상담원은 타인에게 구글 계정을 대여해 준 적은 없는지, 등록해 둔 신용카드를 분실하진 않았는지 등을 캐물었고, 나는 결백에 결백을 주장했다. 그는 넥슨 V4라는 앱에서 결제가 일어났다고 설명했고, 나는 안철수의 V3를 떠올렸다. 세부 구매내역은 ‘4000 레드 젬’이라고 했는데, 네이밍 한번 노잼이라고 생각했다.

통화를 하면서 노트북으로 구글 플레이스토어에 접속해 미승인 구매신고를 했는데, 10초 뒤 기계적인 답장이 돌아왔다. “환불 안 됨”

상담원에게 이 사실을 얼르고 뺨치듯 한번 더 호소했고, 그는 ‘위험분석팀(?)’과 내용을 살펴본 후 15분 안에 콜백을 주겠노라 답했다.

알파고가 슬기롭게 판정해주었는지, 나는 ‘결백’한 것으로 결론이 났고 승인은 취소됐으며 이틀 넘게 걸릴 수 있다던 환불은 세 시간 뒤에 완료됐다.

콜백 한 상담원에게 물었다. “결제한 단말기의 IP를 바탕으로 접속 위치를 추정해서 알려달라”고. 그는 수사기관이 아닌 이상 그렇게 해 줄 수 없다고 했다. 시간 낭비와 스트레스를 떠안았지만, 어쨌거나 돈은 돌려받았기에, 그리고 상담원을 닦달해봐야 뭐하겠냐는 생각에 전화를 끊었다.

구글에 로그인된 디바이스들을 일괄 로그아웃하고 패스워드를 교체했다. 등록해 둔 결제수단도 바꿨다. 의문은 남았다.

‘구글은 범인을 잡아야겠다는 의지가 있는 걸까? 피해 사실을 인지했다면 구제하는 것에서 멈추지 않고 고발을 통해 수사 의뢰를 해야 연속되는 피해를 막을 수 있는 것 아닌가?’

일단락되고 난 뒤 내게 일어났던 일의 키워드를 조합해 검색을 해 봤다. 지난가을 넥슨 V4 출시 이후 수많은 유사 피해 사례들을 어렵지 않게 접할 수 있었다. 구글은 자체 확인을 통해 환불이라는 최소한의 조치를, 넥슨은 결제 프로세스 정책 위반을 한 계정을 차단하는 조치를 해 나가는 것으로 보인다.

그들이 수사 당국에 고발 조치를 하지 않음으로써 얻을 수 있는 이익은 뭘까? 자사 보안 구조의 빈 곳을 대외적으로 공식화하지 않음으로써 창피당할 계기를 원천 차단한다던가(구글), 피해를 인식하지 못한 사용자가 클레임을 걸지 않으면 ‘꿀꺽’해서 높아진 매출에 기뻐한다던가(넥슨) 류의 단순하기 그지없는 상상을 해봤다.

지금 이 순간에도 범인은 누군가의 결제 수단을 도용하고 있겠지.