미 법무부(DOJ)는 독일이 주도한 국제 공조 수사의 일환으로, 지급결제 서비스 제공업자를 활용한 온라인 사기 및 자금세탁 네트워크와 관련해 독일의 요청에 따라 미국에서 5명을 체포했다고 밝혔다. 이번 체포 대상자들은 사기 네트워크와 연결된 것으로 의심되며, 수사 당국은 결제 인프라를 악용한 범행 정황을 추적해왔다고 전했다다.
2025년 11월 6일, 로이터 통신(프랑크푸르트발) 보도에 따르면, 체포된 5명은 미국인 4명과 캐나다인 1명으로, 모두 캘리포니아에서 검거됐으며 수요일 법원에 처음 출석했다. 미 법무부는 이번 체포가 독일로의 최종 인도를 염두에 두고 진행된 조치임을 분명히 했다다.
“미국은 캘리포니아 중앙지구에서 도주자들을 특정해 체포했으며, 이는 독일로의 최종 인도를 위한 조치다.”
미 법무부는 수요일 성명을 통해 이렇게 밝혔다. 당국은 용의자들의 소재 파악과 신병 확보가 독일 사법당국과의 긴밀한 공조 속에 이뤄졌다고 설명했다다.
독일 당국은 같은 날 이번 주 초 실시된 국제 동시 수색에서 18명을 추가로 체포했다고 발표했다. 수색은 싱가포르에서 캐나다에 이르기까지 광범위한 권역에서 진행됐으며, 이는 수사망이 복수의 관할권을 가로질러 촘촘히 전개되고 있음을 시사한다다.
독일 경찰과 검찰에 따르면, 현재까지 총 44명이 이번 범행에 연루된 것으로 의심된다. 이들 중에는 독일의 대형 지급결제 서비스 제공업체에서 근무했던 전직 직원 6명도 포함된 것으로 전해졌다. 수사팀은 이 네트워크가 전 세계 193개국에서 약 430만 명의 신용카드 정보를 탈취하는 방식으로 피해를 확대한 것으로 파악·추정하고 있다고 밝혔다다.
“네트워크 운영자들은 이후 독일의 결제 처리사들과 공모했으며 — 여기에는 임원과 컴플라이언스 오피서가 포함 — 해당 결제들을 처리하도록 했다.”
미 법무부는 공식 성명에서 이같이 밝히며, 범행의 핵심 축이 결제 처리 과정의 내부 통제 허점을 악용한 데 있음을 시사했다다.
핵심 개념 해설
지급결제 서비스 제공업자(PSP)는 온라인·오프라인 상거래에서 카드 결제, 계좌이체, 전자지갑 등의 결제를 중개·처리하는 민간 사업자를 의미한다. 결제 처리사(processor)는 가맹점과 카드 네트워크, 발급사 사이의 승인·정산 과정을 기술적으로 연결하는 역할을 담당한다. 또 컴플라이언스 오피서는 자금세탁방지(AML), 고객확인의무(KYC), 제재 준수 등 인허가와 내부통제 체계를 관리·감독하는 준법책임자다. 아울러 범죄인 인도(extradition)는 한 국가의 사법당국이 다른 국가에 소재한 피의자 또는 피고인의 신병을 넘겨 받아 형사절차를 진행하는 국제 사법 공조 절차를 뜻한다다.
이번 사건에서 주목할 지점은, 결제 생태계 내부의 특정 인력과 기능이 공격의 표적이자 도구가 될 수 있다는 점이다. 성명에서 언급된 바와 같이, 네트워크 운영자들이 임원과 준법 기능에까지 접근·공모했다는 의혹은, 단순 외부 침해가 아닌 내부 통제 우회 가능성을 시사한다. 이는 거래 모니터링, 고객 실사, 이상 결제 탐지와 같은 방어선이 기능적으로 존재하더라도, 조직 내부의 승인 체계가 무력화될 경우 대규모 피해로 이어질 수 있음을 보여준다다.
또한 수사가 싱가포르부터 캐나다까지에 걸친 압수수색과 병행됐다는 점은, 온라인 사기·자금세탁 네트워크가 국경을 넘나드는 구조를 갖고 있음을 재확인시킨다. 결제와 데이터의 흐름이 실시간·글로벌화된 환경에서는, 한 관할권의 사법 조치만으로는 전체 사슬을 끊기 어렵다. 이번처럼 체포(미국) → 인도(독일) → 기소·재판(독일)로 연결되는 다층 공조는, 디지털 경제의 법 집행 표준으로 자리잡는 추세와 궤를 같이한다다.
피해 규모 측면에서도, 약 430만 명의 신용카드 데이터가 193개국에 걸쳐 도난당했다는 당국 발표는, 단일 사건으로서 피해 지리적 범위가 이례적으로 넓다는 점을 부각한다. 이는 카드정보 저장·전송·처리 단계에서의 보호 조치(예: 토큰화, 네트워크 세그멘테이션, 최소 권한 원칙, 정기적 로그 감사)가 얼마나 중요한지를 다시 상기시킨다. 동시에, 데이터 유출이 곧바로 대량의 무단 결제 시도로 전이되는 ‘탈취 → 현금화’의 짧은 주기를 차단하려면, 실시간 리스크 스코어링과 행태기반 탐지를 결제 파이프라인에 내재화하는 노력이 요구된다다.
법적 절차와 관련해, 미 법무부가 명시한 “캘리포니아 중앙지구에서의 체포”와 “독일로의 최종 인도”는, 현재 신병이 미국 사법권 아래에 있으며, 독일 사법당국의 요청을 근거로 인도 심사가 진행될 것임을 의미한다. 피의자들은 수요일 첫 법정 출석을 마쳤으며, 이후 인도 적법절차에 따른 심리, 방어권 행사, 법원 판단 등의 순서가 예상된다. 다만 기소의 세부 혐의·죄명, 피해 금액, 개별 용의자의 역할 등은 보도에서 구체적으로 공개되지 않았다다.
규제·산업적 함의로는, 결제 인프라 사업자와 그 임직원에 대한 책임 있는 거버넌스 및 독립적 준법 기능의 중요성이 더욱 커졌다는 점이 도출된다. 특히, 승인 임계치 조정, 화이트리스트/블랙리스트 관리, 수수료 역설계 등 결제 파라미터에 접근할 수 있는 임직원에 대해선 직무 분리와 이중 승인, 행위기반 상시 모니터링이 필수적이다. 또한 외부 파트너(가맹점 대행사, 제3자 프로세서)와의 연계 구간에 공동 통제와 감사 권한을 명문화하는 것이 리스크를 줄이는 데 효과적이다다.
이번 사건은 온라인 사기와 자금세탁이 결제 생태계 전반의 신뢰를 저해할 수 있음을 환기한다. 미 법무부와 독일 수사당국의 공조, 그리고 미국 내 체포 → 독일 인도라는 절차적 수순은, 국경 간 법집행의 실효성을 확보하는 데 있어 사법 간 협력의 필수성을 드러낸다. 수사는 계속 진행 중이며, 당국의 추가 발표와 사법 절차 결과가 향후 결제·핀테크 산업의 내부통제 기준과 국제 공조 관행에 적지 않은 영향을 미칠 것으로 보인다다.
