기획 & 캠페인
해킹으로 넷플릭스 요금 10개월간 이중결제...이용자 책임?
상태바
해킹으로 넷플릭스 요금 10개월간 이중결제...이용자 책임?
악성코드 등 메일 계정 유출로 인한 피해...보상요구 어려워
  • 최형주 기자 poetcoexist@nate.com
  • 승인 2021.02.01 07:19
  • 댓글 0
이 기사를 공유합니다

전주 덕진구에 거주하는 신 모(여)씨는 작년  3월 넷플릭스 시청 중 계정이 갑자기 로그아웃돼 이용 기간이 종료됐다고 생각했다. 며칠 후 넷플릭스 앱에 로그인했지만 계정을 찾을 수 없어 네이버 이메일 주소로 1만2000원짜리 ‘스탠다드 플랜’ 요금제에 재가입했다.

10개월 후인 지난 1월 23일 넷플릭스에서 '프리미엄 플랜' 요금인 1만4500원이 카드 결제된 사실을 알게 됐다. 다급히 넷플릭스에 연락해봤지만 자신의 개인 정보로는 결제 계정을 찾을 수 없었다.

업체 측 시스템 오류라 생각한 신 씨는 카드 결제내역을 제공하는 등 우여곡절 끝에 해킹으로 인한 피해라는 사실을 알게 됐다. 숨은 계정을 찾아 해지했지만 이미 15만원 상당의 요금이 결제된 뒤였다. 환불 가능 금액은 1월 결제요금 1만4500원 뿐이었다.

신 씨는 “해킹으로 인한 피해라고 하는데 아이피 추적 등 아무런 확인도 해줄 수 없고 요금 환불도 해줄 수 없다고 하더라. 쉽게 계정 도용이 되는 시스템을 운영한 업체의 책임은 없는 거냐”며 분개했다.
 

여러 외국인들이 신 씨의 계정을 사용하고 있었다.
여러 외국인들이 신 씨의 계정을 사용하고 있었다.

OTT서비스인 넷플릭스의 계정 해킹 피해가 빈번하게 발생하고 있다. 넷플릭스의 간소한 보안 시스템도 주요한 피해 요인이지만 정보 관리의 책임은 소비자가 온전히 부담해야 하는 구조다.

앞서 신 씨의 사례처럼 피해를 겪은 소비자들이 많고 자신의 카드번호가 넷플릭스를 통해 유출됐다고 의심되는 경우가 허다한데 피해의 직접적인 원인은 해킹이다. 이런 경우 업체보다는 소비자 과실에 무게가 실린다.

해킹의 단서는 신 씨의 네이버 이메일 계정으로 온 넷플릭스 알람에서 찾을 수 있다.

지난 2020년 3월 14일 신 씨의 계정이 미국 뉴저지에서 로그인 됐다. 다음날엔 일본 도쿄에서 로그인됐고 3월 24일부턴 기본 사용 언어가 프랑스어로 바뀌었다. 최대 4개까지 생성 가능한 넷플릭스 프로필이 알 수 없는 외국인들의 이름으로 가득했다. 해커는 해킹 계정을 지인들에게 공유했거나 되팔아 이득을 취한 것으로 보인다.

당시 해커는 신 씨의 이메일 계정 정보를 바꾸는 대담함까지 보였다. 이메일이 바뀌자 신 씨의 넷플릭스 계정도 로그아웃됐다. 신 씨가 이용권이 만료됐다고 착각하게 된 이유다. 이후 해커는 계정 요금을 스탠다드 플랜에서 프리미엄 플랜으로 바꿨다.
 

신 씨가 받은 새로운 로그인 이메일 알람
신 씨가 받은 새로운 로그인 이메일 알람
넷플릭스 요금 결제 외에 추가적인 카드부정 사용은 발생하지 않았다. 넷플릭스의 서버가 뚫렸다면 거액의 부정 사용 피해가 발생했겠지만 해커는 카드번호를 알지 못했다는 결론이다. 천만다행으로 신 씨가 해킹당한 것은 넷플릭스 계정뿐이다.

◆ 이용자 부주의+허술한 인증시스템으로 해킹 먹잇감...개인 보안 조치 필수

기업의 서버 전체가 뚫린 것이 아니라면 해킹 피해 대부분은 이용자의 보안 부주의가 원인이다. 평소 사용하는 스마트폰이나 컴퓨터에 악성코드가 감염돼 있었거나 해커가 악성코드를 심어 놓은 URL 등을 통해 개인정보를 유출 당했지만 이용자 자신은 모르는 경우다.

업체의 보안 시스템 역시 문제가 될 수 있다. 사례에서 해커는 쉽게 계정 이메일 정보와 요금제를 변경할 수 있었다. 해커가 신 씨의 넷플릭스 계정 정보를 변경할 당시엔 추가 인증이 따로 필요하지 않은 허술한 상태였다.

하지만 1차적 과실의 요인이 이용자에게 있다는 이유로 요금 등 피해보상의 책임을 넷플릭스 측으로 묻기는 어려운 상황이다. 
 

해커는 아주 간단하게 계정 이메일 정보를 변경한 것으로 보인다.
해커는 아주 간단하게 계정 이메일 정보를 변경한 것으로 보인다.

넷플릭스에 확인 결과 현재 사용되는 ‘휴대전화 SMS 추가 인증’은 2020년 12월 경 업데이트됐다. '이메일 추가 인증' 업데이트 시기 역시 비슷하다. 넷플릭스 측은 “정확한 업데이트 시점은 잘 모른다. 따로 기록하지 않았다”고 답변했다.

종합해 보면 신 씨가 해킹 당한 시점에는 넷플릭스 계정과 비밀번호만으로도 계정 세부 정보를 변경하고 요금제까지 바꿀 수 있었다는 결론이다.

또한 넷플릭스는 구글이나 네이버가 국내 이용자들을 대상으로 제공하는 '해외 IP 로그인 차단 기능'을 제공하지 않는다. 해외 IP에서 내 계정에 로그인하면 이메일 알람은 받을 수 있지만 휴대전화 알람이나 넷플릭스 측의 직접적인 차단 조치는 없다. 이메일을 매일 체크하지 않는 경우 이용자들에게 아쉬운 보안 조치다.

넷플릭스 문의 결과 "회원들의 계정을 동의없이 사용하는 상황이 발생했을 때 고객들에게 빠르게 고지하고자 이메일 알림을 전송하고 있다"며 "계정 접속이 어려운 경우엔 실시간 온라인 채팅 및 고객 콜센터를 통해 의심스러운 계정 활동을 차단하고 비밀번호를 재설정할 수 있도록 돕고 있다"고 답했다.

국내 보안 기업 스틸리언의 화이트해커 신동휘 연구소장은 “이 사례의 근본적인 원인은 계정 도용으로 소비자의 부주의한 보안 인식과 소극적 대처가 피해를 키운 걸로 보인다”며 “넷플릭스 측의 해외 로그인 차단, 2차 인증 등의 보안 서비스 제공 미비 역시 아쉬운 점”이라고 지적했다.

신 소장은 ‘해외 로그인 차단 솔루션’을 갖추지 않은 기업 서비스를 이용할 때 ▲주기적인 패스워드 변경 ▲이용 서비스 별 다른 패스워드 사용 ▲서비스가 이중 인증을 지원한다면 반드시 사용할 것 등을 당부했다.

이외에도 ▲알려지지 않은(신뢰도 낮은) 웹사이트 접속 않기 ▲메일, SNS 등의 링크를 통한 불분명한 URL, 수상한 이메일이나 파일 클릭 혹은 로그인하지 않기 ▲시스템 운영 체제, 응용 프로그램, 백신 등을 최신 버전 업데이트 ▲주기적으로 PC 백신 검사 및 상태 점검 등의 보안 수칙을 잘 지키면 계정 해킹으로 인한 피해는 예방할 수 있다고 조언했다.

[소비자가만드는신문=최형주 기자]



주요기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.