신용카드를 긁는 순간부터 정보 유출 위험은 시작된다. 플라스틱 카드를 한 번만 스와이프해도, 해당 가맹점이 카드 데이터를 서버에 보관하는 한 데이터 침해(data breach)라는 예기치 못한 사고가 언제든 일어날 수 있다. 대형 유통 체인부터 동네 상점까지 규모와 관계없이 해커의 표적이 된 사례는 꾸준히 보고되고 있으며, 그 피해는 고스란히 소비자에게 전가된다.
2025년 9월 21일, 나스닥닷컴의 보도에 따르면 물리적으로 카드를 직접 긁는 행위 또한 여전히 무시 못 할 수준의 위험을 내포한다. 결제 단말기·ATM·온라인 쇼핑몰 등 다양한 접점에서 도난·복제·해킹 가능성이 열려 있기 때문에, 사용자는 일상 속에서 지속적인 경계 태세를 유지해야 한다는 조언이 제시된다.
특히 미국 연방거래위원회(Federal Trade Commission·FTC) 통계에 따르면 2024년 한 해 동안만도 44만 건이 넘는 카드 사기 신고가 접수됐다. 보안 기술이 진화할수록 이를 우회하려는 범죄자들의 역량 역시 강화되고 있어, 카드 소지자는 “사후 대응”보다 “사전 차단”에 초점을 맞추는 편이 현명하다.
❶ ATM: 스키머와 ‘시머(shimmer)’의 양면 공격
ATM은 전통적으로 가장 빈번한 카드 복제 장소다. 플라스틱 판처럼 생긴 스키머(skimmer) 장치는 카드 입구에 덧붙여 자석선 정보를 통째로 읽어내며, 최근에는 칩(EMV) 카드까지 겨냥한 초박형 시머(shimmer)가 널리 쓰인다. 시머는 칩과 단말기 사이 신호를 가로채기 때문에 외관상 거의 표시가 나지 않는다.
용어 해설: 스키머는 자성 정보(Magstripe)를 복사하는 기기를, 시머는 칩 카드 정보를 해킹하는 얇은 필름형 장치를 뜻한다. 두 장치 모두 설치·제거가 순식간에 가능해 현장 적발이 어렵다.
❷ 주유소: 무인 환경이 부르는 PIN 유출
주유소 펌프는 24시간 운영·감시 사각지대·높은 고객 회전율이라는 3박자를 갖춰 범죄자에게 ‘천국’으로 통한다. 펌프 내 카드 리더기에 스키머를 부착하고, 상단 캐노피 아래 초소형 카메라를 숨겨 비밀번호(PIN)을 동시 수집하는 형태가 일반적이다. 위험이 심각해지자 미국 비밀경호국(Secret Service)까지 수사에 합류해 전국 단속을 벌이고 있다.
❸ 이동형 노점·푸드트럭: 진짜 vs 가짜 가맹점 구별 난항
축제·콘서트·야시장 등에서 볼 수 있는 이동형 판매자는 휴대용 결제 단말기를 사용한다. 대다수는 성실한 영세 사업자지만, 소수 사기꾼이 합법적 사업자로 위장해 카드 정보를 갈취한다. 외부 전원이 부족한 장소에서는 네트워크 암호화가 부실해 전송 구간에서 데이터가 탈취되기 쉽다는 점도 문제다.
❹ 음식점: ‘백룸(Back Room)’ 결제의 맹점
일부 식당은 테이블 앞에서 바로 결제하지만, 여전히 카드 결제를 주방 뒤편에서 처리하는 경우가 많다. 손님 시야에서 벗어난 공간에서 서버가 개인용 스키머로 카드를 스캔하는 ‘딥 스와이프’ 사기가 발생할 가능성을 배제할 수 없다. 식당 결제는 카드 포인트 적립률이 높아 소비자 선호도가 크지만, 인적·물적 보안 체계가 미약한 소규모 업장은 주의가 요구된다.
❺ 대형 체인 소매점: 자원이 많아도 100% 안전은 불가
Target, TJX(T.J. Maxx·Marshalls 운영사) 등 굴지의 체인 리테일러들도 대규모 정보 유출을 경험했다. 내부 결제 서버가 한 번 뚫리면, 매일 수백만 건 쌓이는 고객 카드 정보가 일괄적으로 노출된다. 즉, 자본력이 곧 완전한 보안을 담보하지 못한다는 점이 반복 입증되고 있다.
❻ 온라인 쇼핑몰: 다중 노출 경로
온라인 결제는 ‘사용자 단말기 → 인터넷 전송 구간 → 쇼핑몰 데이터베이스’라는 3단 관문을 거치며, 각 단계마다 악성코드·인젝션·서버 해킹·가로채기 공격이 발생할 수 있다. 팬데믹 이후 전자상거래 비중이 급증한 만큼, 악성 행위자도 이 영역에 집중하고 있다.
카드 정보 보호 7계명
기사 원문이 제시한 예방책을 한국 실정에 맞춰 재정리하면 다음과 같다.
- 사람이 많은 은행 내 ATM 사용: CCTV·경비 인력이 있는 기기를 이용하라.
- 주유소 리더기 육안 점검: 봉인 스티커 훼손·부분 탈착 흔적 확인 후 결제.
- 주변 단말기 비교: 동일 모델인데 외관 차이가 크면 다른 곳으로 이동.
- 리더기 흔들어 보기: 느슨하면 스키머 장착 가능성, 즉시 사용 중단.
- 소액 현금 휴대: 위험도가 높을 때는 현금 결제로 리스크 회피.
- 카드 정보 미저장: 편의보다 보안을 우선시, 매 결제 시 수동 입력.
- 체크카드보다 신용카드 사용: FCBA가 보장하는 50달러 한도 책임 규정이 더 우호적이다.
피해 발생 시 5단계 대응 프로토콜
“시간이 곧 돈이다. 신고 지연은 곧 본인 부담 증가로 직결된다.”
① 즉시 발급사에 통보 — FTC 기준, 사전 신고 시 책임액 0달러.
② 서면 신고서 발송 — 등기우편·반송증명 첨부로 법적 증빙 확보.
③ 새 카드·새 PIN 수령 — 과거 번호 재사용 시 재해킹 우려.
④ 명세서 모니터링 — 지연 사용(Delayed Fraud)에 대비, 최소 3~6개월간 집중 점검.
⑤ 무단 결제 재신고 — 동일 사건 또는 별개 사건 여부 불문, 재차 고지.
전문가 시각: ‘제로 트러스트(Zero Trust)’ 시대
기술·법제·소비자 인식이 개선되었음에도 카드 사기는 여전히 성장 산업이다. 시장조사업체 Nilson Report는 2028년 전 세계 카드 사기 손실액이 500억 달러를 돌파할 것으로 예상한다. 금융·결제 업계는 ‘항상 의심하고, 아무도 믿지 않는다’는 제로 트러스트 보안 모델을 채택해 다요소 인증(MFA)·행동 기반 AI 모니터링·토큰화(Tokenization) 등 차세대 방어 기술을 확대하는 추세다.
소비자 입장에서는 ‘안전 지대’가 존재하지 않는다는 사실을 전제로, 카드 사용 습관을 전반적으로 재점검할 필요가 있다. 무엇보다 결제 전후 5초만 투자해 단말기 상태를 살피고, 명세서를 주기적으로 검토하는 습관이야말로 가장 저렴하면서도 강력한 보험이 될 것이라고 전문가들은 조언한다.
