크레이그리스트 등 온라인 거래장터서 버젓이 판매

플러싱의 한인 김모씨는 이메일을 열었다가 깜짝 놀랐다. 텍사스 핏자헛 매장으로부터 리워드 포인트로 피자 주문이 완료됐다는 내용의 이메일이 도착해 있었던 것. 김씨는 피자를 주문한 사실이 없었다. 김씨는 “공짜 피자 먹을 날을 기다리며 차곡차곡 쌓은 리워드 포인트가 하루아침에 날아갔다”며 “훔칠게 없어서 리워드 포인트를 훔치는지, 정말 원망스럽다”고 말했다.

리워드 포인트를 노리는 해커들이 판을 치고 있어 주의가 요구된다.
최근 크레딧 카드 도용이나 개인 정보 도용 등에 그치지 않고, 소비자들이 알뜰하게 모아온 리워드 포인트까지 노리는 사이버 범죄가 빈번하게 발생하고 있다.

이들 해커들은 항공사와 크레딧 카드 리워드부터 호텔과 피자전문점까지 가리지 않고 리워드 포인트를 훔치고 있어 알뜰족들의 한숨 소리가 깊어지고 있다.

해커들은 개인 계정 비밀번호를 알아내는 일명 ‘무차별 대입 (brute force)’ 소프트웨어를 활용해 개인 계정에 접근, 리워드 포인트를 훔치는 것으로 알려졌다.

단시간에 여러 조합을 통해 비밀번호를 알아내는 소프트웨어를 통해, 계정에 들어간 다음 해커들은 훔친 리워드 포인트를 불법 온라인시장에서 판매하거나 호텔 숙박과 항공권 업그레이드, 피자 구입 등에 사용한다. 이외에도 업체 홈페이지에서 리워드 포인트를 직접 기프트카드나 체크로 교환, 발급받거나 비교적 가치가 높은 제품을 리워드 포인트로 구입해 크레이그리스트 등 온라인 거래장터에서 판매하고 있는 것으로 알려졌다.

해커들에게 고객들의 리워드 포인트를 털린 업체들 중에는 US에어웨이, 유나이디트에어라인, 사우스웨스트, JAL 등 대형 항공사와 힐튼 아너스 포인트, 캐피털원 등 크레딧 카드 업체들이 포함돼 있다. 아메리칸 에어라인의 경우 한번에 1만개의 계정이 해킹돼 수백만 포인트가 날아가기도 했다.

문제는 제품이나 서비스를 구입한 만큼 저절로 쌓이는 리워드 포인트의 특성상 소비자들이 관리에 전혀 신경을 쓰지 않거나 자신의 리워드 포인트가 얼마나 되는지 모르는 경우도 많다는 것. 따라서 도난을 당한 후에도 소비자 자신이 깨닫지 못하거나, 많은 시간이 지나 신고를 하기 때문에 정확한 피해 사항을 파악하는 것이 쉽지가 않다.

전문가들은 이 같은 범죄의 피해자가 되지 않기 위해서는 ▶심벌을 사용해 최대한 복잡하게 비밀번호를 만들고 ▶여러 개의 계정에 각기 다른 비밀번호를 사용하고 ▶리워드 포인트가 얼마나 남았는지 밸런스를 자주 체크하고 ▶특정 업체의 웹사이트에 '가능한한 빨리(As soon as possible)' 로그인해 계정을 확인할 것을 요구하는 이메일은 개인 정보를 노리는 것이기 때문에 첨부 링크나 파일을 클릭하지 말고 바로 지울 것을 당부하고 있다.

또한 리워드 포인트가 도둑맞았다는 것은 주소와 이름, 전화번호, 크레딧 카드 번호 등 대부분 개인 정보까지 모두 털린 것을 의미하기 때문에 피해를 입은 다음에는 즉시 업체에 연락해야 추가 피해를 막을 수 있다.

한편 매년 미국에서 사용하지 않은 채 방치되는 리워드 포인트는 480억달러치에 달한다.

<최희은 기자>