유료 AI 구독 서비스인 ‘챗GPT 프로’를 매개로 국내에서 4억원 규모의 대규모 무단 결제 피해가 발생했다. 이용자가 서비스를 구독하거나 카드를 등록한 적이 없는데도 수천 건의 고액 결제가 연쇄 승인되는 초유의 카드 도용 사태가 벌어진 것이다. 이번 사건은 쿠팡 등 최근 국내에서 유출된 대규모 실명·이메일 데이터베이스(DB)가 글로벌 플랫폼의 결제 보안 사각지대와 결합할 경우 신종 금융 범죄로 이어질 가능성을 보여주고 있다.

11일 본지 취재를 종합하면 국내 대형 결제대행사(PG)인 나이스정보통신을 통해 승인된 챗GPT 프로 요금제(연간 29만9000원) 무단 결제 건수는 총 1366건으로 확인됐다. 전체 피해 금액만 약 4억840만원 규모에 달한다. 이 중 9일까지 공식 접수된 민원은 438건(약 1억3000만원)이다. 나머지 이용자 가운데 상당수는 자신의 카드가 도용돼 고액이 결제된 사실조차 인지하지 못하고 있는 셈이다.

오픈AI와 나이스정보통신 측은 자사 시스템 해킹을 부인하며 외부에서 유출된 카드 정보가 도용된 거래로 선을 그었다. 해외 결제창 구조상 명의 확인이나 본인 인증 절차가 실종된 탓이다. 실제로 결제창에 이름과 주소를 입력하는 칸이 존재하지만 허위 정보를 입력하더라도 △카드번호 △유효기간 △CVC 딱 3가지 정보만 일치하면 필터링 없이 그대로 승인되는 구조적 허점을 노렸다는 분석이다.

그러나 보안 학계에서는 해커들이 결제 전 단계인 ‘대량 계정 생성’을 위해 쿠팡을 포함해 그동안 국내에서 유출된 실명·이메일 데이터베이스(DB)를 범죄에 활용했을 가능성을 제기한다. 최병호 고려대학교 휴먼인스파이어드 AI연구원 연구 교수는 “쿠팡 사태처럼 국내 플랫폼에서 유출돼 음지에서 거래되는 실명 개인정보는 해커들에게 거대한 보물섬과 같다”며 “설령 직접 유출된 정보에 금융 코드가 없더라도 해커들이 기존에 확보한 무연고 카드 정보들과 이 실명 DB를 연계하면 완벽한 실명 금융 정보로 완성하는 것이 원활해진다”고 지적했다. 이어 “범죄 조직이 이렇게 엮어낸 카드 DB의 금융 유효성을 테스트하기 위해 인증 장벽이 가장 낮은 챗GPT 결제창을 범죄의 실험대로 악용했을 개연성이 높다”고 경고했다.

정부는 쿠팡 사태에서 금융 정보 유출은 없었다고 선을 그었지만 한 번 유출된 방대한 실명 DB가 음지에서 다른 정보와 결합해 2차 피해로 이어질 우려에 대해서는 인정했다. 개인정보보호위원회 고위 관계자는 본지와의 통화에서 “(개인정보) 불법 유통에 대한 모니터링을 강화하고 유출 사태로 인한 2차 피해 발생 우려가 있는 만큼 관련 당국과 긴밀히 협력해 범부처 차원의 공동 대응을 하겠다”고 말했다. 사태가 커지자 나이스정보통신과 오픈AI는 취소 조치를 진행하고, 신규 등록 카드를 통한 결제 셧다운에 착수했다.

https://www.etoday.co.kr/news/view/2592599