본문 바로가기

댓글0
번역beta

Translated by kakao i

번역할 언어 선택

뷰 본문

더스쿠프

쿠팡이츠 간편결제 논란 “폰 안 만졌는데 치킨이 배달됐다”

쿠팡앱 괜찮나

64,203 읽음
댓글0
번역beta

Translated by kakao i

번역할 언어 선택

스마트폰 앱을 건드리지도 않았는데 작동했다. 앱은 혼자서 치킨 한마리와 콜라를 콕 찍어 주문한 뒤 결제까지 했다. 이 앱은 배달앱 중 하나인 쿠팡이츠다. 금융사고나 다름없는 일이 벌어졌는데도, 쿠팡은 태연하다. 황당한 일을 겪은 소비자의 문의에도 “우리 앱은 아무런 문제가 없다”는 말만 되풀이한다. 전문가들은 “악성코드 가능성이 높다”고 말한다. 쿠팡은 문제의 본질을 모르고 있는 걸까. 

출처쿠팡 제공

내가 손도 안 댄 통장에서 돈이 빠져나가거나 내가 쓰지도 않은 신용카드가 결제에 이용됐다는 문자를 받는다면 어떻게 하겠는가. 아마도 피싱(phishing) 범죄를 의심해 은행과 카드사에 신고를 하고, 당장 통장 출금과 신용카드 결제를 막아달라고 요청할 거다. 이런 요구를 받은 금융회사도 ‘즉각 대응’할 게 분명하다.

‘간편결제’도 마찬가지다. 소비자의 지갑에서 결제가 되는 건 똑같고, 간편결제에서 범죄행위가 벌어지지 말라는 법도 없어서다. 과정이 간편해진 탓에 위험성이 크면 컸지 작지는 않을 것이란 분석도 있다. 이에 따라 간편결제 시스템을 운영하는 기업도 다양한 리스크의 가능성을 검토하고, 상시 대비해야 한다.

하지만 쿠팡은 그러지 않았다. 
시계추를 7월 14일 저녁 8시 55분으로 돌려보자. 당시 산책을 잠시 멈추고 함께 포털 뉴스를 보던 김성민(가명ㆍ48)씨 부부는 쿠팡이츠에서 간편결제가 이뤄졌다는 문자를 받았다. 문자를 보낸 건 카드사였다. 확인해보니 방금 전 쿠팡이츠 앱에서 치킨 한마리와 콜라를 주문한 것으로 돼있었다. 

결제금액은 2만3000원. 중요한 건 이들 부부가 쿠팡이츠 앱을 건드리지 않았다는 점이다. 혹시 집에 있는 두 딸(고등학생ㆍ중학생)이 주문했나 생각해봤지만 아니었다. 쿠팡이츠 앱은 부부만 공유해서 쓰고 있었다.

실수로 앱을 잘못 터치한 것도 아니었다. 그랬다면 처음 듣는 치킨 브랜드에 닭 한 마리가 정확하게 주문되고, 콜라까지 추가됐을 리 없었다. 더구나 성민씨의 아내는 고기를 먹지 못해 ‘기존 치킨 주문내역’도 없었다. 

부부는 덜컥 겁이 났다. ‘누군가 내 스마트폰 앱을 맘대로 조종해 치킨 한 마리가 아니라 100마리를 주문하면 어떡하느냐’는 생각이 스쳤기 때문이었다. 부부는 곧장 쿠팡 고객센터에 전화를 걸어 상황을 설명했다. “우리는 앱을 건들지 않았어요. 어떤 오류의 가능성이 있는 건지 알아봐 주시겠어요? 불안해요.”

하지만 쿠팡이츠 고객센터 측의 답은 실망스러웠다. 그마저도 몇번이나 전화를 걸어서 얻어낸 답변이었다. 주문오류를 신고한 그날도 아니었다. “로그 기록(일종의 앱 사용기록)을 살펴보면 정상적으로 주문을 하고 결제를 한 것으로 돼 있다. 우리 앱 시스템은 아무런 문제가 없다.” 

“왜 이런 문제가 발생했는지 원인을 알려달라”고 요청했는데, 엉뚱하게도 ‘우리에겐 책임이 없다’고 답한 거였다. 더스쿠프(The SCOOP)의 취재 과정에서도 쿠팡 관계자는 “김성민씨 건은 고객의 단말기로 정상결제된 것으로 시스템 오류 등의 가능성은 없다”고 잘라 말했다. 

악성코드 가능성 높아

그렇다면 여기서 검증해 봐야 할 게 있다. 쿠팡 스스로 “쿠팡이츠 앱 시스템에 아무런 문제가 없다”고 자신할 수 있느냐다. [※참고: 쿠팡 고객센터의 대응에도 문제가 많다. 이 문제는 파트2, 파트3에서 자세하게 다뤘다.] 

전문가들은 이 문제를 어떻게 생각할까. 보안프로그램 전문가 A씨는 “악성코드에 의한 감염이 확실해 보인다”고 주장했다. “건드리지도 않았는데 앱이 작동한다는 건 원격으로 스마트폰 프로그램 전체를 다 제어할 수 있는 거나 다름없다. 이처럼 제어권을 탈취한 후 스마트폰 주인이 사용했던 방법을 그대로 베껴서 앱이 작동하도록 하는 게 악성코드의 전형적인 수법이다.” 

그럼 악성코드의 감염 경로는 알 수 있을까. A씨에 따르면 스마트폰 사용자, 앱이나 앱 개발자, 스마트폰 제조사 등 가능성은 3개다. 다만, 스마트폰 제조사에 의해 악성코드가 심어졌을 가능성은 극히 희박하기 때문에 사용자와 앱(개발자) 둘 중에 하나로 봐야 한다는 게 A씨의 주장이다. 

성민씨 부부에 적용해보면, 부부의 스마트폰이나 쿠팡이츠 앱에 문제가 있을 공산이 크다는 거다. A씨는 “쿠팡 측이 무조건 고객에게 책임을 넘기면서 ‘우리 앱에는 문제가 없다’고 말하긴 힘들다”고 말했다. 

대학 교수인 앱소프트웨어 전문가 B씨도 비슷한 견해를 내비쳤다. B씨는 상황 설명을 듣자마자 “악성코드 문제일 가능성이 굉장히 높다”고 주장했다. 근거도 비슷했다. 감염 경로 역시 A씨의 설명과 똑같이 3가지를 꼽았다.

그러면서 그는 이렇게 말했다. “이런 경우 로그 기록 같은 걸로 판단해선 안 된다. 그것만으론 문제가 있는지 없는지 전혀 알 수 없다. 악성코드가 어디서 시작된 것인지 알려면 해당 스마트폰은 물론 쿠팡이츠 앱까지 싹 뜯어보고 코드를 분석해봐야 한다.” 이에 따르면 쿠팡이츠 앱에 문제가 없다고 확신할 만한 근거는 어디에도 없다. 

문제는 쿠팡이츠 앱에서 성민씨 부부와 비슷한 일을 겪었다는 소비자가 적지 않다는 점이다. 성민씨의 말처럼 2만3000원이 아니라 수백만원어치의 주문오류가 발생했다면 심각한 문제로 비화할 가능성도 높다. [※ 참고: 쿠팡 회원 수는 약 2500만명(업계 추산)이다. 쿠팡 앱 다운로드 수는 1000만건 이상이고, 2019년 5월 시범서비스를 시작한 쿠팡이츠 앱의 다운로드 수도 100만건이 넘는다.] 

정말 쿠팡 책임 없을까

그럼에도 쿠팡 측은 “정상적인 결제여서 우린 책임이 없다”는 주장만 되풀이했다. 고객에게 무조건 책임을 전가하기 바빴다는 거다. “우리는 고객을 최우선으로 생각한다”고 주장하는 쿠팡이라면 최소한 악성코드의 가능성을 고객에게 설명하고, 이를 위한 나름대로의 해결책을 마련했어야 한다는 지적이 설득력을 얻는 이유다. 

그래야 할 당위성도 있다. A씨의 설명을 들어보자. “쿠팡이츠는 사전에 카드를 등록해놓고 나면 상품을 장바구니에 담은 다음 ‘결제하기’ 버튼을 누르는 동시에 결제가 진행된다. 같은 간편결제라 하더라도 한번 더 인증을 거치는 각종 은행 앱, 카카오뱅크 앱, 토스 앱 등과는 다르다. 고객이 더 편하다는 건데, 그건 달리 말하면 보안에 더 취약하다는 거다. 내가 편하면 해커도 편하다. 보안과 편의성은 양립할 수 없다. 사람들이 편한 걸 추구하니까 개발자들도 보안을 더 열어 놓는 거 아니겠나. 쿠팡이츠 앱의 문제는 거기서 출발하는 듯하다.”

쿠팡 측은 쿠팡이츠 앱의 문제를 정말 모르고 있는 걸까. 

김정덕 더스쿠프 기자
juckys@thescoop.co.kr

작성자 정보

더스쿠프

    실시간 인기

      번역중 Now in translation
      잠시 후 다시 시도해 주세요 Please try again in a moment