이미지, 사진의 바코드도 인식해 악용할 수 있다

이미지, 사진의 바코드도 인식해 악용할 수 있다

바코드

 바코드의 시간제한

 전 간편결제나 XX페이라고 불리는 결제 시스템을 이용하지 않습니다. 지금은 지역화폐를 사용하고 있다는 점도 있지만, 제 가용가능한 전 재산이 들어있는 계좌를 페이 시스템에 선뜻 갖다붙이고 싶지 않기 때문입니다. 덕분에 오프라인이 됐든 온라인이 됐든 결제에는 실물 카드가 반드시 필요하고, 은근히 시간이 걸리는 결제 과정을 거쳐야 합니다.

 하지만, 살다 보니 실물화폐나 카드를 주고받는 것이 아니라 전자적으로 띡 결제를 하는 시스템과 인연을 맺긴 맺게 되더군요. 가장 처음은 문화상품권을 취급하는 컬쳐랜드, 두 번째는 신한금융그룹의 PayFan입니다. 두 가지 모두 오프라인에서 결제를 하려면 숨겨져 있던 바코드를 불러내거나 임시로 바코드를 형성해, 그것을 점원에게 제시하는 방식입니다.

 

 

 그런데 그렇게 끄집어낸(?) 바코드에는 시간제한이 따라붙지요. 컬쳐캐시는 5분. 페이판은 3분입니다. 이 시간이 지나면 해당 바코드는 사용할 수가 없게 됩니다. 그렇다면 바코드를 다시 생성해 내야 하지요. 그런데 이 5분, 3분이라는 시간이 길면서도 참 짧은 시간입니다. 계산하기 전에 미리 바코드를 생성해 놓으면, 계산을 기다리는 사이 제한시간이 다 돼 버리는 경우도 있기 때문입니다. 거기에 뭐가 어떻게 된 건지 앱에서 로그인 유지까지 풀려 있으면, 비밀번호와 ID 재입력부터 시작해야 함. 사람이 뒤에 있을 때 그짓을 하고 있으려면 꽤 강인한 멘탈이 필요할 것 같습니다. 그나마 은행이나 카드사 어플들은 생체인식이나 간편결제번호가 있어서 로그인이 손쉬운데, 컬쳐랜드 앱은 음…….

 바코드 결제에 익숙지 않은 저로서는 참 쓴소리 나올 때가 많습니다. 대체 왜 이렇게 번거롭게 만들어놓은 거냐, 라고 말이지요. 그랬는데, 오늘, 그 이유 중 하나를 알 수 있었던 것 같습니다.

 바코드는 이미지나 사진에서도 인식된다

 지난 달, 부모님께 백화점 상품권으로 교환할 수 있는 모바일 교환권을 받았습니다. 정확하게는 부모님이 받으신 걸 제게 토스해 주신 것인데요. 제게 카톡 이미지로 보내주셨습니다. 그런데 저는 바코드 결제만큼이나 모바일 쿠폰과도 인연이 없는 초년 중의 촌년입니다. 원본도 아니고, 이렇게 그냥 이미지만 달랑 보내줘도 쿠폰을 제대로 사용할 수 있는 것일까, 걱정스러워지더군요. 그래서 인터넷에 가르침을 구했습니다. 사진이나 이미지로 된 쿠폰의 바코드를 사용할 수 있는지.

 결과만 말하면 아무 문제 없었습니다.
 인터넷에서 찾은 글에서도 이미지, 그러니까 스샷으로 떠놓은 쿠폰을 사용할 수 있었다고 돼 있었고, 저도 오늘 이마트에서 무인교환기기에서 무사히 바코드를 인식시켜 상품권을 수령할 수 있었으니까요. 뭐, 설령 바코드는 안 된다고 해도 밑에 일련번호가 있으니, 그걸 누르면 되겠지~, 라고 생각하긴 했지만요.

 

 

 그런데 이렇게 스샷이나 사진, 이미지로 남겨놓은 바코드를 아무 문제 없이 이용할 수 있다는 것은, 내가 편리한 만큼 다른 사람도 편리하게 이용해 먹을 수 있다는 뜻이기도 하더군요. 아까, 가르침을 얻었던 인터넷의 글, 그 글이 딱 그런 케이스였습니다. 글쓴이가 모바일 쿠폰을 인터넷에 올렸는데, 웬걸. 누군가가 그 쿠폰을 쏠랑 자기 마음대로 이용했다고 하는 것이 아닌가요. 글쓴이는 나름 바코드가 악용되지 않도록 바코드에 조작도 가했는데, 결국 털리고 말았답니다.

바코드

바코드 조작

 위의 바코드는 제가 가진 컬러링북 비밀의 화원에서 잠시 빌려 왔습니다.
 쿠폰의 바코드와는 분위기가 좀 다르지만 하여간에, 바코드의 구성 자체는 동일합니다. 피해를 본 글쓴이는 인터넷에 올리면서 바코드 이미지에 굵은 줄 하나를 그었습니다. 저렇게 해 두면 바코드 인식이 안 될 것이라 생각했던 것 같습니다. 실제로 저도 펜으로 몇 번 긋고 끝낸 적이 있습니다.
 하지만 저 바코드란 녀석은 위쪽으로 0.4~5센티미터만 인식기에 닿으면 알아서 처리를 해 버린답니다. 만약 이 바코드가 금융거래나 온라인 거래용이었다면 통장 잔고나 신용카드 결제액이 무서워졌을지도 모릅니다. 자기 쿠폰은 쓰지도 못하고 남의 배만 채워줬던 글쓴이처럼 눈 뜨고 코를 베였을 듯.

 실제로, 인터넷을 좀 더 다른 키워드로 뒤져보니, 사진을 찍어 남겨놓은 이미지에서도 QR코드나 바코드를 인식할 수 있다고 나오더군요. 저도 오늘 받은 영수증에서 바코드 부분만 사진을 찍어, 그 사진의 바코드가 인식되는지 확인해 봤습니다. 그랬더니, 오오, 역시나. 영수증 실물에 맞췄을 때와 똑같은 내용이 뜨더군요. 사진으로 대충 찍은 바코드도 제대로 인식이 된다는 의미일 겁니다.

 거기까지 알게 되자, 퍼뜩 제가 예전에 블로그에 올려놓은 글이 떠올랐습니다. 신한금융그룹의 멤버십인 신한플러스에서 받을 수 있는 ‘이달의 쿠폰’을 소개하면서 혹시 몰라 쿠폰의 바코드는 모두 지워버리고 노출했었죠. 어차피 쿠폰을 쓰고 난 뒤에 작성한 글이긴 했지만, 자세로서는 아주 바람직했던 것이 아닐까 싶습니다. 그 외에도 직접적으로 ‘내 돈’과 관련된 바코드는 크기, 종류에 상관없이 일단 다 삭제해 버렸는데, 앞으로도 쿠폰이나 그런 것을 알릴 때에는 그렇게 바코드는 다 지워야할 것 같습니다. 아니면, 모자이크를 씌우라고 하는데, 개인적으로는 모자이크로 덮느니, 그냥 이미지 일부를 날려버리는 것이 더 안전하지 않을까 싶은 생각이 들지 않는 것도 아닙니다.

 역시나. 간편결제시스템을 처음 봤을 때, 저거 모든 정보는 미리 저장해놓고 비밀전호만 입력하면 되는 거, 좀 위험하지 않아? 라고 생각한 적 있는데요. 바코드라는 것은 편리하기도 한 동시에 위험하기도 하네요. 다음부터는 확실하게 지워버리든,매직이나 그런 것으로 확실하게 뭉개버리든, 포스트잍으로 붙여버리든 공개되지 않게 해야겠습니다. 왠지 모바일 전성시대, 바코드 친화시대인 요즘, 그런 위험성을 모르는 사람은 많지 않을 것 같으나,  저처럼 이제야 그 사실을 알게 되신 분들도 주의하세요~.