큐리스(QRIS)는 인도네시아에서 QR 코드 결제를 용이하게 하기 위한 국가 표준 QR 코드로 인도네시아에서 널리 쓰인다.
업소마다 고유의 코드를 발급 받아 사용하는데 현장에서 적용도가 높은 편이다. 물건을 산 뒤 사각형의 QR 코드를 스마트폰으로 찍으면 손쉽게 결제가 완료된다.
이렇게 간단하다 보니 각종 범죄도 기승이다. 최근 한 남성이 모스크에서 QRIS 코드를 바꿔치기하는 모습이 찍힌 CCTV 영상이 인터넷 상에 퍼졌다.
영상 속 남성은 모스크에 비치된 헌금함에 자신이 준비해 온 QRIS 코드를 붙이고 있다. 용의자는 무함마드 이만 마하릴 루비스(Mohammad Iman Mahlil Lubis)라는 남성으로 범행 장소는 남부 자카르타 블록 M 스퀘어(Blok M Square)에 있는 누룰 이만 모스크(Masjid Nurul Iman)로 알려졌다.
그의 범행은 누룰 이만 모스크 뿐 아니라 남부 자카르타의 크바요란 바루(Kebayoran Baru)에 위치한 알-아즈하르 대모스크(Masjid Agung Al-Azhar)를 비롯해 여러 곳에서 포착되었다.
에르윈 하르요노(Erwin Haryono) 인도네시아 중앙은행 공보부장은 “디지털 결제 방식이 많은 사람들에게 편의를 제공하고 있지만, 이런 편의성이 범죄에 악용되기도 한다”고 말했다.
QRIS 코드 발급은 의외로 간단하다. 중앙은행이 승인한 결제서비스제공업체(PJP)를 통해 판매자로 등록하면 개인도 코드를 쉽게 발급 받을 수 있다. 등록 과정에서 판매자는 신분증 및 비즈니스 프로필과 같은 데이터를 포함해 지정된 요구사항을 충족해야 한다.
에르윈 부장은 결제서비스제공업체의 역할이 중요하다고 지적했다. QRIS 코드 발급 전 판매자(업소)의 데이터를 검증해야 한다는 것이다. 또한 기부금이나 헌금의 경우 거래 수수료가 면제되기 때문에 종교 단체나 사회적 기부 단체에 대한 보다 강화된 발급 기준이 필요하다고 덧붙였다.
에르윈은 QRIS 코드 관련 피해를 예방하기 위해 결제시스템제공업체는 QRIS 코드를 안전하게 사용할 수 있도록 판매자를 교육할 의무가 있으며, 판매자는 자신이 발급 받은 QRIS 코드를 주기적으로 점검해야 한다고 설명했다.
일각에서는 문제를 해결해야 할 책임이 있는 중앙은행의 안일한 대처에 대한 지적이 나오고 있다.
IT분야 전문가들은 큐리스 결제가 편리하지만 보안에 취약하다고 경고했다. QR 코드 사용은 해킹이나 복제 등의 위험이 높다는 것이다.
특히 오프라인에서 QR 코드 그림을 바꿔치기할 경우엔 파악이 더욱 어려운데, 신문 등 오프라인 출력물인 경우 변조된 QR 코드를 덧붙이기만 하면 되기 때문에 더욱 손쉽게 공격의 대상이 될 수 있다.
한편 QRIS 코드를 바꿔치기 해 수천만 루피아를 가로챈 M 이만 마하릴 루비스는 11일 결국 경찰에 체포되었다. 그가 4월 1일부터 열흘간 빼돌린 금액만 무려 1300만 루피아(약 115만원)가 넘는 것으로 알려졌다.
인니투데이 사회부
[저작권자(c) 인니투데이, 무단 전재-재배포 금지]
