결제 사기 방지: 효과적인 방법과 허울뿐인 방법
두 개의 결제 앱, 동일한 위협, 정반대의 결과. 한쪽에는 모회사가 2025년 초 고객 사기 신고 처리 방식 문제로 1억 7500만 달러의 배상금을 지급하라는 명령을 받은 캐시 앱(Cash App)이 있습니다. 다른 한쪽에는 그해 1조 달러가 넘는 거래액을 처리하면서도 손실률을 거래량의 0.08% 수준으로 유지한 페이팔(PayPal)이 있습니다. 두 앱 모두 동일한 사기꾼, 동일한 도난 카드, 동일한 사회공학적 수법에 직면해 있습니다. 그런데 왜 하나는 규제 당국의 보도 자료에 등장하고 다른 하나는 실적 발표의 각주에 언급되었을까요?
문제는 예산 부족이 아닙니다. 각 기업이 어떤 통제 방식에 의존하느냐의 차이입니다. 결제 사기 방지라고 하는 대부분의 조치는 보여주기식에 불과합니다. 안심을 주는 것처럼 보이고, 슬라이드를 채울 뿐, 실질적인 효과는 거의 없습니다. 실제로 사기를 막는 데 효과적인 통제 방식은 극소수에 불과합니다. 페이팔과 캐시앱은 이러한 두 가지를 구분하는 데 있어 명확한 실험 사례가 됩니다. 규제 기관이 직접 평가를 진행했기 때문입니다. 이는 어떤 방식이 효과적이고 어떤 방식이 조용히 실패하는지 보여주는 실질적인 지침서입니다.
현재 결제 사기가 경제에 미치는 비용은 얼마입니까?
헤드라인에 나오는 수치들은 너무나 커서 무감각해질 정도입니다. 미국 연방 거래위원회(FTC)의 소비자 감시 네트워크(Consumer Sentinel Network)에 따르면 , 미국인들은 2024년에 카드 사기로 125억 달러의 손실을 입었는데, 이는 단 1년 만에 25% 증가한 수치입니다. 전 세계 카드 사기 피해액은 334억 1천만 달러에 달했으며, 미국은 전 세계 카드 거래량의 약 4분의 1을 차지하면서 전체 손실액의 약 42%를 차지했습니다.
총액 이면에는 더 중요한 사실이 숨겨져 있습니다. 바로 돈이 실제로 어디로 새어나가는가 하는 점입니다. 보고된 손실액 기준으로 가장 많은 비중을 차지한 결제 수단은 은행 송금(20억 9천만 달러)과 암호화폐(14억 2천만 달러)였으며, 카드는 아니었습니다. 이는 우연이 아닙니다. 이러한 결제 시스템은 돈을 신속하게 이동시키도록 설계되었으며, 돈을 되찾을 수 있는 장치가 마련되어 있지 않습니다. 카드 네트워크에는 수십 년간 축적된 분쟁 해결 시스템이 있지만, 계좌 간 송금에는 대개 그러한 시스템이 없습니다. 사기는 되돌리기 가장 어려운 경로를 따라 발생합니다.
| 메트릭(최신) | 수치 | 원천 |
|---|---|---|
| 미국이 보고한 사기 피해액, 2024년 | 125억 달러(전년 대비 +25%) | FTC 소비자 감시단 |
| 가장 큰 손실 방법: 은행 송금 | 20억 9천만 달러 | FTC, 2024 |
| 암호화폐 손실 | 14억 2천만 달러 | FTC, 2024 |
| 2024년 전 세계 카드 사기 피해액 | 334억 1천만 달러 | 닐슨 보고서 |
| 전 세계 카드 사기 사건에서 미국이 차지하는 비중 | 약 42% (전체 거래량의 약 26% 기준) | 닐슨 보고서 |
결제 사기의 일반적인 유형(지불자 기준 순위)
모든 사기 예방 가이드는 똑같이 12가지 공격 유형을 나열해 놓습니다. 하지만 실제로 누가 손실을 감수하는지에 따라 분류하는 것이 훨씬 유용합니다. 왜냐하면 그것이 바로 우리가 신경 써야 할지 말지를 결정하는 기준이기 때문입니다. 흔히 발생하는 결제 사기 유형은 손실을 공평하게 나누지 않습니다.
비즈니스 이메일 침해(BEC)와 승인되지 않은 푸시 결제 사기는 피해자가 직접 돈을 보내도록 유도하고, 피해자가 돈을 되찾기 어려운 경우가 많아 가장 흔한 사기 유형입니다. 영국 금융협회(UK Finance)는 2025년 상반기에만 푸시 결제 사기로 2억 5,750만 파운드(약 3억 2천만 원)의 피해를 입었는데, 이는 전년 대비 12% 증가한 수치입니다. 다음으로 흔한 유형은 계좌 탈취입니다. 사기범이 실제 계좌에 접근하여 돈을 인출하는 방식인데, 정당한 계좌 소유자는 자신이 계좌를 탈취하지 않았음을 입증해야 합니다. 카드 사기도 만연하지만, 소비자 입장에서는 대부분 카드 발급사가 차지백(환불)을 통해 손실을 보전합니다. 친절한 사기(Friendly Fraud)는 실제 고객이 구매 건에 대해 이의를 제기하는 경우로, 전자상거래 차지백의 75~79%를 차지하며 판매자가 비용을 부담합니다. 딥페이크와 음성 복제 사기는 최근 들어 발생 규모는 작지만 빠르게 증가하고 있는 새로운 유형입니다. 이러한 사기 수법의 패턴은 간단합니다. 결제 수단을 되돌리기 어렵게 만들수록, 피해를 감당하기 가장 어려운 사람에게 더 큰 피해를 입히는 것입니다.
캐시앱: 사기 방지 연극의 사례 연구
대규모 사기 방지 쇼가 어떤 모습인지 보고 싶다면 캐시앱(Cash App)을 살펴보세요. 규제 당국이 개입했을 당시 캐시앱은 약 5,600만 개의 활성 계정을 보유하고 있었고, 세련되고 사용자 친화적인 앱을 자랑했습니다. 하지만 화려함과는 거리가 먼, 그 이면의 실질적인 시스템은 없었습니다. 제대로 된 조사, 작동하는 전화 상담 서비스, 그리고 무단 이체가 회사 차원에서 해결해야 할 문제라는 인식이 전혀 없었던 것입니다.
규제 당국이 실제로 발견한 것은 무엇이었을까요?
2025년 1월, 소비자금융보호국(CFPB)은 캐시앱의 모회사인 블록(Block )에 1억 7,500만 달러(피해 사용자들에게 1억 2,000만 달러, 벌금 5,500만 달러)를 지급하라고 명령했습니다. 이 명령문의 내용을 천천히 읽어볼 필요가 있습니다. CFPB는 블록이 자사에게 유리하게 사기 신고를 종결시키기 위해 "의도적으로 부실한 조사 관행"을 사용했다고 밝혔습니다. 사기 신고 전화는 자동 응답 메시지만 나왔고, 수년간 상담원과 직접 통화할 수 있는 시스템은 아예 없었습니다. 같은 달, 48개 주 규제 기관 연합은 자금세탁 방지 의무 위반에 대해 별도로 8,000만 달러의 벌금을 추가 부과했습니다. 총 벌금액은 약 2억 5,500만 달러에 달합니다. 이 모든 것은 뛰어난 해커의 소행이 아니었습니다. 고객 전화 응대를 선택 사항으로 여긴 회사의 문제였습니다.
비가역적인 P2P 전송이 구조적 결함인 이유는 무엇일까요?
이번 법 집행 논란의 이면에는 설계상의 문제가 있습니다. 캐시 앱은 현금처럼 계좌 간 자금 이체를 처리합니다. 일단 자금이 이체되면 카드 네트워크를 통해 되돌릴 수 없습니다. 누군가 속거나 해킹을 당하기 전까지는 문제가 없지만, 그런 일이 발생하면 "현금과 똑같다"는 모델은 "스스로 책임져야 한다"는 것으로 변질됩니다. 연방법(규정 E)은 은행과 결제 앱이 무단 전자 이체를 조사하고 사용자에게 손해를 배상하도록 요구합니다. 제가 계속해서 주목하는 것은 이번 실패가 얼마나 평범했는지입니다. 단순한 정보 유출이 아니라, 무단 이체를 고객 문제로 처리하기로 한 결정 때문이었습니다. 소비자금융보호국(CFPB)은 이러한 결정을 법규 위반으로 규정했습니다.
페이팔의 사기 탐지 시스템은 실제로 어떻게 작동할까요?
페이팔은 '성공 사례'로 널리 알려져 있지만, 마케팅용 페이팔 설명은 사실과 다릅니다. 페이팔은 사기로부터 완전히 자유롭지 않으며, 그렇지 않은 척하는 것은 진실을 가리는 행위입니다. 페이팔 자체 보고서에 따르면 2025년 거래 및 신용 손실액은 17억 2천만 달러에 달하며, 이는 전년 대비 19% 증가한 수치입니다. 페이팔 내부에서도 사기는 여전히 만연해 있습니다. 중요한 것은 그 이후에 어떤 일이 벌어지느냐입니다.
구매자와 판매자 보호는 되돌릴 수 있는 안전장치 역할을 합니다.
PayPal은 거래 양측을 보호하기 위해 제품에 취소 기능을 내장했습니다. 적격 구매에는 구매자 보호가 적용되며, 판매자에게도 자체 보호 기능이 제공되고, 그 위에 분쟁 및 클레임 처리 절차가 마련되어 있습니다. 사기가 발생했을 때, 시스템은 구매자를 곤경에 빠뜨리지 않고 환불하거나 거래를 취소할 수 있습니다. 바로 이 부분이 Cash App에 부족했던 부분입니다. 게다가 PayPal은 수수료가 비싸고 처리 속도가 느리며 예외적인 상황이 많아 이에 대한 불만이 많습니다. 하지만 "불편한 분쟁 처리 절차"와 "전화 연결이 안 되는 문제"는 같은 범주의 실패라고 볼 수 없습니다.
거래 시점의 머신러닝 기반 위험 점수 산정
두 번째 단계는 탐지입니다. 페이팔은 기기, 위치, 거래 내역, 거래 속도, 행동 패턴 등 수백 가지 신호를 기반으로 실시간으로 거래 점수를 매겨 자금이 이체되기 전에 의심스러운 거래를 표시합니다. 그 결과, 손실률은 전체 결제량의 약 0.08% 수준으로 유지되어 역대 최저 수준에 근접하고 있습니다. 물론 거래량이 증가함에 따라 절대적인 손실액은 증가하지만 말입니다. 이 두 수치를 종합해 보면 진실을 알 수 있습니다. 거래량이 많아질수록 사기로 인한 손실액은 늘어나지만, 적응형 점수 시스템 덕분에 손실률은 낮게 유지됩니다. 이 시스템은 마법이 아닙니다. 단지 지속적인 관리가 이루어지고 있을 뿐입니다.
사기를 줄이는 데 효과적인 모범 사례
그렇다면 실제로 수치를 변화시키는 것은 무엇일까요? 공급업체 자료를 제외하면, 사기를 진정으로 방지하는 통제 방식은 간결하고 평범합니다. 이러한 통제 방식에는 한 가지 공통점이 있습니다. 바로 고정된 단일 관문에 의존하는 대신, 상황에 맞춰 변화하거나 두 번째 독립적인 검증 절차를 추가한다는 것입니다.
다단계 인증(MFA)은 가장 저렴하면서도 효과적인 보안 수단입니다. 마이크로소프트는 MFA가 자동화된 계정 침해 시도의 99.9% 이상을 차단하며, 침해당한 계정의 거의 대부분은 MFA를 활성화하지 않았다고 보고했습니다. 머신러닝 기반 거래 점수화, 기기 지문 인식, 행동 생체 인식은 고정된 규칙으로는 포착할 수 없는 패턴을 찾아냅니다. 한 은행은 행동 분석을 도입한 후 사기 손실을 약 35% 줄였다고 보고했지만, 이 수치는 공급업체에서 제공한 것이므로 절대적인 기준이 아닌 참고 자료로 받아들여야 합니다. 3D Secure 2를 통한 강력한 고객 인증은 카드 결제 시 추가적인 확인 단계를 제공합니다. 이 과정은 다소 번거롭지만(약 5번의 인증 시도 중 1번은 실패함), 책임 소재를 명확히 하고 도난 카드 사용을 상당 부분 차단합니다. 신규 고객 등록 시 고객 신원 확인(KYC) 및 결제 속도 제한 또한 보안 강화 수단입니다.
| 제어 | 그것이 멈추는 것 | 증거 | 평결 |
|---|---|---|---|
| 다중 요소 인증 | 계정 탈취 | 자동화된 공격의 99.9% 이상을 차단합니다 (Microsoft) | 공장 |
| ML/행동 점수 매기기 | 비정상적인 거래 | 페이팔 방식의 손실률은 약 0.08%입니다. | 공장 |
| 3D 보안 2 / SCA | 도난 카드 사용 | 책임 전가; 약 5명 중 1명꼴로 포기 | 마찰을 이용한 작업 |
| 기기 지문 인식 | 상습 사기꾼들 | 업계 표준 신호 | 공장 |
| 온보딩 시 KYC | 합성 신원 | 규제 기준선 | 공장 |
보안 쇼: 실패한 사기 방지 시스템
이제 예산을 낭비하는 요소들, 즉 사기 방지처럼 보이지만 실제로는 아무런 효과도 없는 보안 조치들을 살펴보겠습니다. 보안 질문이 가장 심각한 문제입니다. 답변(어머니의 결혼 전 성, 첫 반려동물 등)은 추측하거나, 스크랩하거나, 해킹당할 수 있으며, 미국 국가표준기술연구소(NIST)는 지식 기반 인증을 유효한 로그인 요소로 사용하는 것을 공식적으로 금지했습니다. 이는 "보안 계층을 추가하는 것"이 아니라, 거짓된 계층을 추가하는 것입니다.
SMS 일회용 코드는 또 다른 함정입니다. 다단계 인증(MFA)처럼 보이지만, 공격자가 SIM 스왑을 통해 탈취할 수 있는 전화번호를 이용합니다. 업계 연구에 따르면 SIM 스왑은 첫 시도에 약 80%의 성공률을 보이며, FBI는 2024년 한 해에만 SIM 스왑으로 인한 피해액이 약 2,600만 달러에 달한다고 집계했습니다. 또한, 학습 능력이 없는 정적인 규칙 기반 시스템이나, 사람이 검토하기도 전에 사기 거래가 승인되는 느린 수동 검토 시스템도 있습니다. 가장 값비싼 속임수는 캐시 앱(Cash App)이 보여준 것처럼 기본적으로 송금을 취소 불가능하게 만들고 이를 속도 향상의 비결이라고 부르는 것입니다. 엔지니어들은 송금 취소 가능성을 설계상의 마찰 요소로 여기지만, 피해자에게는 바로 그 점이 핵심입니다.
계정 탈취 사기: 모델이 나뉘는 지점
계정 탈취 사기는 이 주장을 검증하는 가장 명확한 사례입니다. 두 회사 모두 동일한 공격에 직면하기 때문입니다. 범죄자가 실제 사용자의 계정 정보를 입수하여 자금을 이체하려고 시도하는 것입니다. 입력은 같지만 결과는 매우 다릅니다.
예방 측면에서 대응책은 이미 잘 마련되어 있습니다. 강력한 다단계 인증(SMS 코드 제외)을 시행하고, 소유자와 일치하지 않는 로그인 활동을 감시하며, 의심스러운 거래 속도를 제한하는 것입니다. 하지만 예방에도 항상 약간의 허점이 있기 마련이고, 두 번째 문제는 허점이 발생했을 때 어떻게 대처하느냐입니다. 페이팔은 계정 탈취 피해를 입은 사용자에게 복구 및 분쟁 해결 절차를 제공합니다. 반면 캐시앱은 과거 무단 이체를 사용자 책임으로 간주하여 사용자를 방치했고, 이로 인해 보안 사고가 1억 7,500만 달러 규모의 책임 소송으로 이어졌습니다. 동일한 사기 사건이지만, 정책 선택으로 인해 결과가 정반대가 된 것입니다.
| 앞쪽 | 페이팔 | 캐시 앱(2025년 이전) |
|---|---|---|
| 돈 모델 | 카드 뒷면, 양면 사용 가능 | 계좌 간 이체, 취소 불가능 |
| 사기가 발생했을 때 | 구매자/판매자 보호, 분쟁 해결 절차 | 사용자의 문제로 처리됨 |
| 발각 | 실시간 머신러닝 위험 점수 산정 | 제한적, 성장 우선 |
| 사기 지원 | 보험금 청구 절차 (느리지만 실제로 진행됩니다) | 수년간 끊어진 전화선 |
| 규제 기록 | 손실률은 공시 자료에 따르면 약 0.08%입니다. | 소비자금융보호국(CFPB)의 1억 7500만 달러 명령, 주정부의 8000만 달러 벌금 부과 |
사기 발생 후 대응 방법
탐지는 절반의 일일 뿐입니다. 규제 당국이 실제로 평가하는 것은 대응입니다. 미국 결제 앱 관련 법규 E는 무단 이체가 발생했을 때 즉시 조사하고, 승인되지 않은 이체였다면 사용자에게 손해를 배상해야 한다는 최소한의 기준을 제시합니다. 이는 실질적인 조사, 연락 가능한 담당자, 그리고 시간적 제약을 의미합니다. 캐시 앱이 1억 7,500만 달러의 벌금을 물게 된 것은 해킹 자체 때문이 아니었습니다. 문제는 회사가 그 이후에 어떻게 대응했는지, 혹은 대응을 거부했는지에 있었습니다. 단순히 방어벽만 구축하지 말고, 효과적인 대응 체계를 마련해야 합니다.
사기 동향: 예방의 미래 방향
다음 단계는 양측이 동일한 무기를 사용하는 군비 경쟁입니다. 생성형 AI는 가장 빠르게 증가하는 공격 벡터의 원동력이 되고 있습니다. 딜로이트는 미국에서 AI 기반 사기 피해액이 2023년 123억 달러에서 2027년 약 400억 달러로 증가할 것으로 예상하며, 딥페이크를 이용한 사기 피해액은 업계 추산에 따르면 2025년에 수십억 달러에 달할 것으로 전망됩니다. 이러한 기술은 최고의 방어 체계 또한 가능하게 합니다. 닐슨 보고서는 AI가 카드 업계 역사상 가장 강력한 사기 방지 모델을 개발하는 데 기여했다고 평가합니다. 누가 더 빠르게 개선하느냐에 따라 승패가 갈리게 되는데, 바로 이러한 이유로 정적인 방어 체계는 한계를 드러내고 적응형 방어 체계는 살아남을 것입니다.
이는 결제 사기 방지에 어떤 의미를 갖는가?
페이팔과 캐시앱에서 얻을 수 있는 교훈은 "기술에 더 많은 돈을 투자하라"는 것이 아닙니다. 두 회사 모두 이미 충분한 투자를 했습니다. 성공의 비결은 단순하고 화려하지 않은 것에 있습니다. 바로 되돌릴 수 있는 기능, 책임감, 그리고 겉치레가 아닌 실제로 변화에 적응하는 몇 가지 통제 시스템입니다. 보여주기식 조치는 비용이 적게 들지만, 규제 기관이 1억 7,500만 달러의 비용을 청구할 수도 있습니다. 그러니 위의 표를 참고하여 여러분의 시스템을 점검하고 가장 중요한 질문을 스스로에게 던져보세요. 만약 부정 이체를 취소할 수 없거나 고객이 사기 피해를 당했을 때 전화를 받을 수 없다면, 그것은 결제 사기 방지 시스템이 아닙니다. 그저 로고만 있을 뿐입니다.
