신용카드 정보를 훔치는 범죄는 카드 긁는 장소와 시점에 관계없이 발생할 수 있다고 전문가들은 경고한다. 사업자가 신용카드 번호를 보관하거나 결제 단말기를 운영하는 모든 곳에서 데이터 유출이 발생할 수 있으며, 해커가 고객의 정보를 획득하는 사례가 대형·중소 판매자 전반에서 반복되고 있다.
2025년 12월 20일, GOBankingRates의 보도에 따르면 신용카드를 물리적으로 긁는 행위는 여전히 높은 위험을 수반한다. 이 기사에는 현금자동입출금기(ATM), 주유소, 모바일 벤더(축제·행사 매대 등), 음식점, 체인 소매점, 온라인 소매업체 등에서 카드 정보가 노출될 가능성이 특히 높다고 지적돼 있다.
주요 위험 장소
ATM(현금자동입출금기)은 오랫동안 카드 정보 스키밍(skimming)의 표적이었다. 칩(EMV) 카드의 도입으로 의심스러운 거래나 계정 도용 문제를 줄이려는 노력이 있었지만, 범죄 수법 또한 진화했다. 소비자단체 Consumer Reports는 칩 기반 카드도 읽을 수 있는 소형 장치인 ‘시머(shimmer)’가 등장했다고 보도했다.
주유소는 많은 고객이 방문하고 종종 감독이 미흡하기 때문에 신용카드 도둑의 주요 활동 무대다. 범죄자들은 주유기 카드리더에 스키머를 설치하거나 PIN을 촬영하는 작은 카메라를 숨기는 경우가 있다. 이 문제는 심각하여 최근 몇 년간 미국 비밀경호국(Secret Service)이 개입해 단속을 벌이기도 했다. 주유소에서 카드를 긁은 직후 명세서에 부정 사용이 보이면 즉시 카드 발급사에 신고해야 한다.
모바일 벤더(축제·콘서트 등 현장 판매)는 합법적으로 영업하는 업체도 많지만, 사칭한 범죄자들이 카드 단말기를 조작하거나 스키머를 사용해 정보를 탈취하는 사례가 보고된다. 고객은 판매자가 신뢰할 수 있는지 확인하기 어렵기 때문에 노출 위험이 커진다.
외식업소에서는 일부 음식점이 결제를 주방이나 후방에서 처리해 고객이 결제 과정을 직접 확인할 수 없는 경우가 있다. 업소나 개별 종업원이 부정직할 경우 카드 정보를 스키밍해 식사 비용 이상의 청구를 할 수 있다.
체인 소매점는 보안 투자 여력이 있어 상대적으로 안전해 보이지만, 많은 고객이 카드를 사용하는 환경 때문에 범죄자들의 유망한 표적이 된다. 대표적으로 Target과 TJX(티제이맥스·마샬스 운영사) 등에서 카드 관련 데이터 유출 사례가 발생한 바 있다.
온라인 소매업체에서의 거래 역시 복수 지점에서 카드 정보가 노출될 수 있다. 소비자 기기의 멀웨어, 전송 과정의 중간자 공격(인터셉트), 또는 소매업체 자체의 데이터 유출이 모두 위험 요인이다.
신용카드 정보를 보호하는 방법
다음은 카드 정보를 보다 안전하게 지키기 위한 실무적 권고다.
• 가시성이 높은 ATM 이용: 사람이 많이 다니고 눈에 잘 띄며 시설 보안이 된 장소(예: 은행 내부)의 기기를 이용한다.
• 주유기 리더 점검: 주유소에서 카드를 사용할 경우 카드리더가 변형되거나 부착물이 있는지, 검수 봉인에 ‘void(무효)’ 표기가 있는지, 부품이 흔들리는지 확인하고 의심스러우면 실내 계산대로 결제한다.
• 인근 리더 비교: 동일한 장소의 유사한 단말기들 사이에 외형상 차이가 있으면 스키머가 붙었을 가능성이 있으므로 다른 곳에서 결제한다.
• 리더를 가볍게 흔들어보기: 비감시 장소의 카드리더를 약간 잡아당겨 보아 느슨하면 사용을 피한다. 범죄자는 카메라나 스키머 장착을 위해 일부를 느슨하게 만들 수 있다.
• 현금 보유: 소액 결제 등에서는 현금을 사용해 카드 사용을 피할 수 있다.
• 카드 정보 저장 금지: 온라인 결제 시 카드 번호를 상점에 저장하지 않는 것이 번거롭더라도 탈취 위험을 낮춘다.
• 직불카드보다 신용카드 사용 권장: 가능하면 직불카드 대신 신용카드를 사용한다. 신용카드는 Fair Credit Billing Act(FCBA)로 보호되고, 직불카드는 Electronic Fund Transfer Act(EFTA)로 보호되어 권리와 책임 범위가 다르다.
카드가 스키밍(도난)되었을 때의 대응 절차
카드 정보가 도난당했을 가능성이 있는 경우 다음 절차를 즉시 이행해야 한다.
1단계: 카드 발급사에 즉시 통지
카드나 계좌 정보가 도난당했다고 의심되면 즉시 발급 은행이나 기관에 알린다. 미 연방거래위원회(Federal Trade Commission, FTC)에 따르면 부정 사용이 발생하기 전에 신고하면 책임이 없다. 대부분의 카드사는 24시간 신고 전화를 운영하므로 의심 즉시 연락해야 한다.
만약 부정 사용이 발생하기 전에 신고하면 책임이 0달러가 될 수 있다.
2단계: 카드 발급사에 서면 통지
초기 신고 후 발급사에 서면으로 통지해 신고 사실을 문서화한다. 등기우편(수취확인 포함)으로 보내 보냈음을 증명하고 사본을 보관한다.
3단계: 새 카드 및 새 PIN 수령
발급사는 즉시 기존 카드를 정지시키고 새 카드를 우편으로 발송할 것이다. 새 PIN은 반드시 이전과 다른 번호로 설정해야 한다. 범죄자는 과거 수집한 데이터를 재사용하는 경우가 있으므로 동일 PIN 사용은 위험하다.
4단계: 계좌명세 정기적 점검
도둑들이 카드를 즉시 사용할 수도 있고, 나중에 사용하기도 한다. 모든 부정거래를 포착하기 위해 계좌명세를 정기적으로 면밀히 확인한다.
5단계: 부정거래 신고
미확인 거래가 발견되면 즉시 발급사에 알린다. 이미 신고한 사건과 관련되었거나 별도의 침해 사례일 수 있으며 관련 계정 정책과 적용되는 법령에 따라 해결된다.
법적 책임 범위(직불카드의 경우)
직불카드가 침해되었을 때 신고 시점에 따른 책임 한도는 다음과 같다. 사건을 알게 된 후 영업일 기준 2일 내에 신고하면 EFTA에 따라 책임 한도는 $50이다. 사건을 안 후 2영업일을 넘겨 60일 이내에 신고하면 최대 책임은 $500이다. 60일 이상 지연하면 책임금이 $500를 초과할 수 있다. 가능하면 부정 사용이 발생하기 전에 신고하면 책임은 $0가 된다.
전문적 통찰: 소비자 신뢰와 시장 영향
카드 정보 유출과 스키밍 사건은 단순한 개인 피해를 넘어서 소매업체·결제업계·금융기관 전반에 걸친 비용과 신뢰 저하를 초래한다. 유출 사고가 발생하면 해당 소매업체는 법적 비용, 보상, 보안 강화 비용을 부담해야 하며 이는 단기적으로 마진 압박을 유발할 수 있다. 장기적으로는 소비자들이 대면 결제 대신 모바일 결제나 비접촉 결제(NFC)를 선호할 가능성이 높아지며, 이는 결제 생태계의 구조적 변화를 촉진할 수 있다.
결제사와 은행은 보안 강화를 위해 단말기 교체, 실시간 거래모니터링, 고객 알림 시스템 등에 투자할 필요가 있다. 이러한 투자는 비용 상승을 초래하나, 소비자 신뢰 회복과 장기적인 사기 감소에 기여할 수 있다. 한편, 소규모 상점은 보안 투자 여력이 낮아 공격에 취약하므로 업계 전반의 보안 표준과 지원 프로그램이 요구된다.
용어 설명(한국 독자를 위한 보충)
스키머(skimmer): 카드 리더기 위에 외부 장치를 덧붙여 카드의 자기정보나 칩 정보를 복제하는 불법 장치다. 시머(shimmer)는 칩 데이터를 읽도록 고안된 극소형 장치를 뜻한다. 칩(EMV) 카드는 칩 내 보안 요소를 활용해 복제와 비인가 거래를 어렵게 만든 신용·직불카드 형식이다. PIN은 개인식별번호(Personal Identification Number)를 의미한다. FCBA는 신용카드 관련 분쟁에서 소비자 보호를 제공하는 미국의 법률(Fair Credit Billing Act)이며, EFTA는 전자자금이체 관련 소비자 권리를 규정한 법(Electronic Fund Transfer Act)이다.
이 기사에는 Scott M. Brodie가 보도 취재에 기여했다. 원문은 GOBankingRates.com에 처음 게재됐다.
