챗GPT가 카드정보 요구한다? '사칭앱 주의보'

A씨는 최근 '챗GPT'에 관심이 생겨 구글플레이에서 '챗GPT'를 검색해 가장 상단에 있는 앱을 다운로드했다. 앱을 이용하려하니 회원가입에 필요한 카드번호와 이메일 등 정보를 입력하라고 해 이를 입력하니, 카드결제가 이뤄졌다. 오픈AI가 개발한 챗GPT는 아직 공식 앱일 출시되지 않았고, 다운받은 해당 앱은 정상적인 서비스가 되지 않는 사칭앱이었다.

금융감독원은 온라인 쇼핑몰이나 챗GPT 등 유명사이트를 사칭하는 앱에서 카드정보 등 개인정보가 유출되는 사례가 늘고 있다며 소비자경보를 13일 발령했다.

금감원에 따르면 최근 해외 직구사이트나 온라인 쇼핑몰 등 전자상거래가 급증해 피싱이나 해킹에 의한 카드정보 유출로 부정사용 민원이 증가한 것으로 나타났다. 피싱과 해킹에 따른 카드정보 유출 민원은 2022년 1분기 104건에서 2022년 4분기 303건까지 늘었다.

사기범은 일부 보안이 취약한 온라인 쇼핑몰에 피싱 결제창을 삽입해 카드정보를 탈취한 후 불법 유통하거나 부정 사용하는 수법을 사용했다. 일부 국내 온라인 쇼핑몰 내 결제과정에서 실제 결제창과 유사하게 꾸며진 피싱 결제창을 삽입하는 방식이다.

소비자가 지속적인 카드결제를 위해 카드번호와 유효기간, CVC, 주민등록번호, 신용카드 비밀번호 등을 모두 입력해야 하는 것처럼 착각하게 설계해 카드정보를 탈취했다. 특히 해외 온라인 가맹점의 경우 국내와 달리 카드정보를 암호화하지 않은 상태에서 사이트 내 저장하는 만큼 카드정보 유출 위험에 더욱 노출돼 있다는 지적이다.

챗GPT와 같이 해외 유명 사이트로 오인하게 앱을 설치하도록 사칭하거나 가짜앱을 설계후 앱마켓에 등록하는 사례도 적발됐다.

금감원 관계자는 "온라인 쇼핑목이나 앱마켓에서 카드 결제 시 주민등록번호, 카드 비밀번호 등 과도한 정보를 입력하도록 요구한다면 의심하고 이를 거절해야 한다"며 "카드 결제시 주민등록번호 전체 숫자와 카드 비밀번호 네자리를 모두 입력하도록 요구하는 경우는 없다"고 설명했다.

이어 "해외 직구사이트 등 해외 중소형 온라인 가맹점은 국내와 달리 카드정보가 암호화되지 않는 경우가 많은 만큼 카드사 앱을 통해 미리 해외 온라인 거래용 가상카드르 발급받고 일정기간 동안 사용하는 방식을 활용할 수 있다"며 "카드정보 유출 의심이 있다면 불편하더라도 반드시 카드 사용정지 또는 재발급을 통해 부정사용 가능성을 없애야 한다"고 강조했다.