2023년, 필자는 매트리스 겸 소파인 아마존 스타터 카우치(starter couch)를 처분하고, 실제 소파를 구매하려 했다. 페이스북 마켓플레이스(Facebook Marketplace)에 일반 벨벳 그린 방석 겸 매트리스로 제품 카테고리를 지정하여 아마존 스타터 카우치를 판매 제품으로 등록했다. 그리고 대학생이나 최근 뉴욕으로 이사 온 주민이 비교적 저렴한 가격에 매트리스 겸 소파를 구매할 것으로 예상했다.
필자는 2023년 9월부터 판매 물품으로 등록한 제품 문의를 여러 차례 받았다. 하지만 문의자 대부분 사기꾼으로 의심되는 이들이었다. 문의자 대부분 페이스북 메신저를 통해 등록한 제품 목록을 보고 연락하며, 처음부터 정가에 제품을 제공하도록 요청했다. (실제로 페이스북 마켓플레이스를 이용한 제품 거래 경험이 많은 이들은 제품 품질을 보고 가격 협상에 나선다.) 그리고 필자의 거주지, 제품 상태 등 제품 거래 관련 몇 가지 기본적인 질문을 했다. 필자가 문의에 답변하고, 집과 가장 가까운 건너편 길거리 위치를 알려준 뒤 문의자는 답변을 꺼리는 모습을 보였다. 보통 구매자는 즉시 제품값을 건넬 것이라고 말하고, 필자는 판매 물품으로 등록할 제품을 들고 거래지로 나간다. 혹은 구매자 가족이나 본인이 판매자를 찾아와 이름을 말하고 제품을 받으면서 거래가 끝난다.
실제 인간이 제품을 확인하기 전에 디지털 결제 네트워크 젤레(Zelle)를 통해 제품 비용을 건네는 일은 없는 것으로 예상하여 먼저 제품값을 건넨다고 요청하는 구매자의 거래를 수락하지 않았다. 만약, 거래를 수락했다면, 필자의 연락처로 젤레의 메시지로 위장하여 판매하고자 하는 제품 가격보다 더 많은 돈을 인출하려 하는 피싱 문자를 보내거나 피싱 메일을 보내는 형태로 피싱 링크를 받았을 수도 있다. 현재 필자는 페이스북 마켓플레이스에 등록한 매트리스 겸 소파를 좁은 아파트 공간 구석에 두었다. 지금까지 페이스북 마켓플레이스를 이웃과 유용한 제품 거래라는 의도한 목적대로 사용할 수 있었던 적은 단 한 번도 없다.
필자가 페이스북 마켓플레이스를 사용하면서 겪은 일은 많은 전문가가 페이스북 마켓플레이스 사용자가 사기 피해를 겪는 일이 증가하게 되는 사례 중 하나라고 지적한다. 일부 사기꾼은 판매자가 등록한 가격 대비 품질이 우수한 판매 제품처럼 보이는 실제 존재하지 않는 상품을 존재한다. 주로 차량과 같이 존재하지 않는 제품을 판매 제품으로 위장하고는 이베이, 아마존 결제 목적으로 직불카드로 사전 결제를 유도한다. 그리고 결제가 완료되기 전 판매 물품으로 등록한 제품이 사라진다. P2P 온라인 쇼핑은 항상 구매자가 사기에 주의해야 하는 공간이었다. 그러나 판매자도 온라인 거래 피해자 될 수 있다. 호주의 어느 한 프리랜서 작가는 2023년 11월, 영국 일간지 가디언과의 인터뷰를 통해 당혹스러운 경험을 공유했다. 작가는 온라인 거래 시 사기꾼이 보낸 피싱 링크에 민감 정보를 입력하여 부츠를 판매하려 했으나 결과적으로 1,000달러를 잃었다고 밝혔다.
[사진=Freepik]
페이스북에서만 온라인 거래 사기가 발생하는 것은 아니다. 대다수 온라인 거래 플랫폼에서 빈번하게 발생하는 일이다. 하지만 페이스북 마켓플레이스는 2016년 출시 후 인기가 급격히 상승하면서 사기꾼이 악용 방식을 찾느라 혈안이 된 공간이다. 마켓플레이스의 설계는 투명성 계층을 적용하고는 개인 간 거래를 신뢰한다. 분류된 광고를 통해 익명으로 상호작용하는 대신 사용자는 실명과 사진을 등록한 프로필을 사용한다. 기존 페이스북 프로필과 함께 사용자는 제품 사진을 추가하고 제품 설명을 작성한 뒤 단 몇 차례 클릭만으로 판매하고자 하는 제품을 등록할 수 있다. 2021년, 페이스북 마켓플레이스의 월간 사용자 수는 10억 명을 기록하면서 코로나19 대유행병 감염자가 최고치를 기록한 시점에 전자상거래가 성장하면서 번성하였다.
이제 악의를 지닌 사기꾼이 페이스북 마켓플레이스에 기본적으로 적용된 신뢰를 악용하여 사용자가 중고 상품 판매가보다 더 큰돈을 잃도록 조작한다. 사기는 페이스북 앱의 보편적인 기능이 되었으며, 시가총액 8,000억 달러를 달성한 페이스북의 모기업인 메타는 페이스북 마켓플레이스 내 사기 행위를 퇴치하지 못했다.
메타 대변인 라이언 다니엘스(Ryan Daniels)는 “오프라인에서 발생한 일은 종종 온라인 환경으로 옮겨간다. 안타깝게도 그중 하나가 사기이다”라고 말했다. 다니엘스 대변인은 메타가 재빨리 사기 행위를 식별하고, 사기 시도를 무력화하고는 사기꾼과 관련 계정을 차단하도록 작업 중이라고 전했다. 메타는 새로운 알림 시스템을 도입하여 사용자가 조만간 배포되기 시작할 예정인 결제 앱에서 사기꾼으로 의심할 만한 이를 더 정확히 파악하도록 도울 것이다. 다니엘스 대변인은 메타의 알림 시스템의 기능 실행 방식 관련 상세 정보는 자세히 밝히지 않았다.
사기와 사기 미수 대부분 제대로 보고되지 않은 탓에 실제 문제 규모를 파악할 수 없다. 2022년, 잉글랜드 지역 사용자 1,000명을 대상으로 진행한 설문조사에서 응답자 6명 중 한 명꼴로 페이스북 마켓플레이스에서 사기 피해를 겪은 적이 있다고 답변했다. 2022년, 미국 사용자 1,000명을 대상으로 진행한 또 다른 설문조사에서는 62%가 페이스북 사기를 접한 적이 있다고 밝혔다. 거래 개선 협회(Better Business Bureau)의 사기 추적으로 기록한 사기 보고 건수 중 2022년 1월부터 2023년 11월까지 발생한 미국, 캐나다 내 페이스북 마켓플레이스 사기 사례는 1,200건을 넘어선 것으로 집계됐다.
필자를 노린 사기꾼은 다른 계정으로 메시지 두 건을 보내고, 간혹 이상한 공백 포맷을 포함하고 일부 단어를 변경하여 다음과 같은 메시지를 보냈다. 주로 “진짜 판매 게시글이라고 판단했다. 지금 당장 100달러를 이체하겠다. 그리고 동생에게 판매 완료했다고 게시글을 올리면, 판매 금액을 추가로 이체하겠다”라는 내용의 메시지가 담겨있었다. 이와 비슷한 메시지가 더 전송된 후 판매 금액 직접 결제 원칙을 고수했다. 이후 제품 구매 의사를 밝힌 이들은 1~2회 양해를 구하면서 현장 결제를 할 수 없는 사정을 이야기한 뒤 메시지 전송을 중단했다. 어느 한 구매자에게 “사기꾼은 가라”라는 메시지를 보내자 해당 사기꾼은 비웃는 듯한 어조의 신조어를 보냈다. 이후 필자는 페이스북에 해당 사기꾼 계정을 신고했다.
네트워크 보안 기업 노드VPN(NordVPN)의 보안 자문 위원회 위원 아드리아누스 워멘호벤(Adrianus Warmenhoven)은 사기꾼은 다단계 마케터처럼 행동하므로 일반적으로 비슷한 형태를 따른다고 설명했다. 누군가가 사기 수법을 개발한 뒤 개발한 수법을 스크립트, 피싱 링크와 함께 툴킷처럼 판매한다. 그리고 분실되거나 해킹 피해가 발생한 페이스북 계정을 구매하고는 오랜 계정 접속 이력이 있는 실제 사용자처럼 보이는 프로필 접근 권한을 손에 넣는다. 필자가 페이스북 마켓플레이스에 제품을 등록한 뒤 메시지를 보낸 계정 다수는 계정 생성 날짜가 10년이 넘은 계정이다. 그리고 마켓플레이스 사기 목적으로 새로이 생성한 계정이 아니라고 보여주기도 했다. 워멘호벤은 “온라인 거래 시 발생하는 범죄 행위 상당수는 컴퓨터나 범죄에 능숙한 이들이 개시하지 않는다”라고 언급했다. 또, 다수 전문가가 다크웹에서 거래되는 사기 수법도 존재한다고 전했다. 특정 국가의 페이스북 계정 수백 개를 대거 판매한다고 홍보하는 텔레그램 대화도 찾아볼 수 있다. 텔레그램은 와이어드의 문의에 답변하지 않았다.
일부 사기꾼은 젤레 계정을 기업 계정으로 업그레이드하여 구매자의 돈을 받도록 유도하고, 젤레가 전송한 것처럼 보이는 거래 안내 메일을 전송하기도 한다. 그러나 메일의 도메인이 다르다. 업그레이드 비용은 300달러이다. 구매자는 판매자가 이후 환불에 응한다면, 돈을 보낸다고 약속한다. 주목할 만한 점이 있다. 300달러는 실제로 이체된 적이 없는 돈이다. 단순히 스크린샷이나 메일에만 이체된 것처럼 나타난다. 결국, 판매자가 300달러를 보내면, 그대로 300달러를 잃는 것이다.
젤레의 웹사이트에는 고객에게는 @zelle.com, @zellepay.com으로 끝나는 도메인으로만 메일을 전송하며, 그 외 도메인을 이용한 메일은 사기라는 공지가 게재됐다. 젤레는 페이스북 마켓플레이스 관련 구체적인 질문에 답변을 거부하며, 사기꾼의 행동을 더 자세히 파악 중이라는 점을 인터뷰 거부 사유로 제시했다.
구글 보이스를 사용하여 인증 코드를 요청하는 사기꾼도 있다. 사기꾼이 아닌 것처럼 속이려는 의도이다. 그러나 사기꾼은 인증 코드를 손에 넣고, 피해자의 연락처를 이용해 구글 보이스를 생성한다. 추후 사기 범죄에서 신원을 숨기는 데 유용하기 때문이다. 게다가 미국 연방수사국(FBI)이 설명한 바와 같이 타인을 사칭하고는 계정에 접근하는 데도 도움이 된다. 구글은 페이스북 마켓플레이스 사기 관련 의견 공개를 요청하자 인증 코드 공유 금지를 안내한 게시글을 제시했다. 또, 구글은 탈취된 구글 보이스 번호를 되찾을 방법도 제공한다고 안내했다.
전문가는 사기 수법이 계속 진화하는 특성 때문에 많은 기업이 사기를 근절하는 데 어려움을 겪는다고 말한다. 디지털 보안 기업 오라(Aura) 최고 과학자 줄피카르 람잔(Zulfikar Ramzan)은 “사기꾼은 사기 개시 방법을 바꾼다. 기관이 대규모로 계속 파악하기 어려운 부분이다”라고 말했다.
메타는 사기 범죄가 기승을 부리는 상황에서도 페이스북 마켓플레이스 성장세를 유지했다. 2022년, 프로퍼블리카(ProPublica)는 자체 조사를 통해 페이스북 마켓플레이스 사기가 기승을 부리면서 메타는 사기 행위를 막을 인력을 실제 필요한 수준보다 부족한 인력만 두었을 가능성을 제시했다. 메타는 상주 인력 이외에도 세계 곳곳에 액센추어의 계약직 근로자 400명을 두고, 개인에게 매일 지원할 불만 사항이나 도움 요청 처리 600건 이상 할당한다. 더 심각한 점은 무장 강도나 살인범과 페이스북 마켓플레이스 밋업과의 관련성이 발생했다는 의혹이다. 메타는 프로퍼블리카의 조사 결과 발표 후 사기 퇴치를 위한 모니터링 방식에는 답변하지 않았다.
페이스북 마켓플레이스는 단순히 이웃에게 중고 물품을 판매하는 플랫폼 이상으로 성장했다. 이제 판매 후 제품 출하 기능도 제공하며, 소수 영세 판매자는 페이스북 마켓플레이스를 이용해 사업 규모를 키울 수 있다. 모두 사기와는 다른 우려를 낳았다. 페이스북 마켓플레이스는 구매 보호 기능을 제공하지만, 젤레 등 외부 서비스를 통해 처리한 결제 보호는 지원하지 않는다. 거래 현장에서 수령한 물품이나 페이스북 메신저를 통해 진행된 거래도 보호 대상에 포함되지 않는다.
필자는 구매자로 위장한 사기꾼과 메시지를 계속 주고받지 못했다. 필자는 대다수 사기꾼을 신고했으며, 대화 기록은 남겨두었으나 추후 대화 기록이 사라진 것을 확인했다. 실제 사용자임을 확인한 소수 사용자는 대화 초기에 거래를 중단했다. 결국, 돈을 위해 페이스북 마켓플레이스 사용 과정의 짜증을 감수할 수는 없었다. 필자는 페이스북 마켓플레이스에서 판매하려 한 소파를 집구석에 방치했다. 그리고 한 가지 해결책만이 남았다. 필자는 페이스북 마켓플레이스의 취지와는 전혀 다른 ‘아무것도 구매하지 않는다’라는 결론을 내렸다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202401/5251_6800_2246.jpg)
뉴스레터 신청