애플페이(ApplePay)가 중국에서 서비스를 시작한 지 1년여가 지났지만 현지 모바일 결제시장에 밀려 고전을 면치 못하는 가운데 후베이성 잉산 공안은 지난 4월, 16억원 규모의 사기 사건이 발생해 사기조직 20여 명을 체포했다고 발표했다.

■ 고전 면치 못하는 애플페이
애플페이는 중국에서 고전을 면치 못하고 있다. 중국 모바일 결제 시장 점유율은 시장조사전문업체인 이관국제(易観國際)에 따르면, 지난해 4분기에 알리페이(알리바바) 51.1%, 차이푸통(財付通-WeChat 페이, QQ銭包 등 텐센트) 37%이며, 애플페이는 1.88%을 차지해 개별 점유율도 기재되지 않고 기타그룹에 포함되어 있는 정도. 지난해 2월 서비스 개시 12시간 만에 3800만 장의 은행카드가 등록됐지만 그 뒤로 상승세를 이어가지 못했다.

그 이유로, 중국에서는 이미 알리페이와 WeChat 페이가 보급돼 있어 소비자는 새로운 결제 수단을 필요로 하지 않는 것. 근거리무선통신(NFC) 터치 방식인 애플페이가 QR코드를 읽어 지불하는 알리페이보다 그다지 편리하다고 느껴지지는 않는다는 것. 한편, 매장에서 NFC 리더가 필요하고, 그 투자가 장벽이 되고 있다.

또한 홍콩 ApplePay가 VISA 카드 등을 지원하는 반면 중국 애플페이는 직불카드만 지원하고있다. 신용카드 이용자가 적은 중국의 환경을 기대해 직불 카드를 중심으로 대응한 것이지만, 중국의 대표 격인 은련(銀聯) 카드조차 알리페이 등에 밀려 모바일 결제 시장의 0.83%의 점유율 밖에 차지하지 못했다.

또한 iPhone 자체의 매출이 한계점이다. 아직도 중국 시장에서도 iPhone은 고급 스마트폰으로 자리 매김하고 있다. 반면 삼성과 샤오미, 화웨이 등이 성능과 가격 면에서 압도적으로 뛰어언 기종을 투입하여 시장을 점유하다보니 iPhone은 이제 일부 애플팬 만 이용하고 있는 상황이다. 이 모든 상황이 ApplePay에게 불리하게 돌아가고 있다.

■ 도난카드 결제 금액 약 1억 5천만
이러한 상황 속에서 ApplePay를 악용한 대규모 사기 사건이 처음 발각됐다.

무대가 된 것은 텐센트(腾讯) 산하 ‘두어직파(斗鱼直播-더우위즈보)’로 동영상 전송 · 인터넷 게임 전문 사이트.

지난해 6월 두어직파 운영회사인 두어인터넷기술회사(斗魚網絡科技有限公司)가 애플 측에 정산 신청을 하자 애플은 "훔친 신용카드로 결제를 한 건이 있다"며 일부 지급을 거절했다. 이러한 문제는 여타 다른 사이트에서도 일어나고 있는 일이지만 두어직파의 경우 그 액수가 92만 위안(약 1억5천만원)에 달해 후베이성 잉산(英山)현 공안에 피해 신고를 하게 됐다 .

잉산 공안이 내정 조사를 진행하면서 이상한 움직임을 보이는 계정을 찾아냈다. 30초에서 1 분이라는 짧은 시간 동안 ApplePay로 10위안(약 1600원) 씩 10회 연속으로 충전을 계속하는 계정 여러 개를 발견했다.

고액의 금액을 움직일 경우 운영회사에 발각 되는 것을 우려해 충전하는 인원수가 가장 많은 10위안으로 충전을 반복하고 있던 것으로 보인다.

잉산 공안의 조언 아래 두어직파가 이러한 계정을 동결하자 해당 계정의 소유자가 직파에 연락을 취해오면서 조직이 모습을 드러냈다.

장시성(江西省)에 있는 대학생을 포함한 핵심조직 3명은 해외 암시장에 유출된 신용카드 정보를 구입, 그 카드를 사용하여 ApplePay에 등록하는 수법으로 결제를 해왔다.

ApplePay는 기술적으로 안전도가 매우 높다. 고객의 카드정보를 고유한 토큰으로 대체해 상품 판매자의 정보에 남아있지 않는 토큰(token)으로 결제를 한다. 이 토큰은 누출이 돼도 악용하여 결제를 할 수 없는 구조다. 또한 TouchID의 지문인증으로 결제가 진행돼 설령 iPhone 본체를 잃어버린다 해도 타인이 이용할 가능성은 매우 적다.

그러나 이것은 본인이 자신의 카드를 사용하는 경우, 이 사건처럼 다른 사람의 카드를 등록 해 버리는 경우는 이야기가 다르다.

실제로 ApplePay는 타인의 카드도 쉽게 등록을 할 수 있다. 카드의 사진을 촬영하면 카드 번호를 자동 읽어 등록이 완료된다. 이후의 본인 확인은 각 카드 회사에게 달려 있으며, 대부분은 짧은 메시지(SMS)로 인증코드를 보내 그 코드를 입력하여 카드를 이용할 수 있게 된다.

물론 카드 정보와 iPhone 본체 일련 번호, Apple ID는 연결돼 있기 때문에, 부정 이용을 하면 즉시 문제가 발생한다. 이 사건의 핵심인물 3사람은 이를 해결하기 위해 ApplePay 서비스가 시작된 애래 3 개월 동안 다양한 실험과 시도를 반복하여 자신들의 방법을 짜냈다.

iPhone은 AppleID와 iPhone 본체를 연결하는 구조로 되어 연결을 제거하면 90일간 다른 AppleID를 사용할 수 없게 된다. 따라서 3명은 대여한 iPhone을 사용해 무료 이메일 주소로 신규 취득한 AppleID를 등록한 후 불법 입수한 신용카드를 ApplePay에 등록하여 범행을 저질렀다.

또한 해외에서 유출된 신용 카드를 사용하는 것도 궁리했다. 중국 ApplePay는 은행카드(직불 카드) 밖에 지원하지 않지만, 외국인이 자국의 신용카드를 등록한 ApplePay는 중국에서도 이용할 수 있다.

직불 카드는 결제를 하면 실시간으로 은행 계좌에서 결제돼 실시간으로 발각될 수 있지만 신용카드는 발갈 되더라도 최소 1개월 후이기 때문이다.

이들은 지난해 5월부터 범죄를 저지르다 6월에 발각되자 유사한 게임 사이트로 범행 장소를 잇달아 옮겨 갔다. 이렇게 8개월 동안 6000건의 AppleID를 가지고 4000장의 유출 신용카드 정보를 사용하여 1000만 위안(약 16억원) 이상의 매출을 올렸다.

이들은 3일마다 백여 대의 iPhone을 대여하다 일손이 모자라자 20명 정도의 아르바이트를 고용했다. 이들 전원은 사기죄와 신용카드 불법 사용 혐의 등으로 기소 될 예정이다.

ⓒ 위클리 홍콩(http://www.weeklyhk.com), 무단전재 및 재배포 금지