NFC와 스미싱이 만났을 때, 잠든 사이 돈이 빠져나갔다

해외 신용카드 정보를 탈취해 국내 위장 가맹점의 단말기로 결제하는 신종 사기 사건이 적발되었다. 일당은 실물 카드 없이도 결제가 가능한 근거리무선통신(NFC) 방식을 이용해 7만 건이 넘는 허위 결제를 일으켰고, 피해액은 약 30억 원으로 집계됐다. 범행의 시작은 스미싱이었다. 악성앱을 설치시켜 카드번호·CVC 등 결제 정보를 빼내고, 해당 정보를 휴대전화에 등록한 뒤 단말기에 ‘탭’만으로 결제를 반복하는 방식이었다.

가짜 가맹점-단말기-밀반출, ‘허위 매출’의 파이프라인

조직은 국내에서 명의를 모집해 위장 가맹점을 만들고 카드 단말기를 개통했다. 명의 대여자에게는 매출의 16~18%를 수수료로 약속해 가담을 유도했고, 개통된 단말기는 곧장 중국으로 밀반출되었다. 중국 현지에서 탈취한 해외 카드 정보를 대포폰에 입력해 NFC로 결제하면, 국내 가맹점 명의로 허위 매출이 발생하는 구조였다. 허위 결제는 2023년 12월부터 2024년 7월까지 이어졌고, 범죄 수익은 현금화되거나 가상자산으로 전환되며 흔적을 지웠다.

결제 시차의 함정, ‘선지급 5일’과 ‘확인 90일’

이들이 노린 허점은 해외 카드의 국내 결제 구조였다. 해외 신용카드를 국내 가맹점에서 사용할 경우, 국내 카드사는 통상 5일 이내에 가맹점에 대금을 먼저 지급한다. 반면 실제 거래의 적정성을 해외 카드사와 확인하는 데는 최대 90일이 걸린다. 조직은 이 시차를 이용해 빠르게 대금을 받아 챙긴 뒤 자금을 분산했다. 사후에 부정 거래가 확인되더라도 이미 선지급이 이뤄진 상태라 회수가 어려웠고, 피해는 카드사와 카드 명의자에게 전가되는 경우가 많았다.

소액 다건 전략, 5만 원의 심리학

부정 결제의 절반 이상은 5만 원 이하 소액이었다. 일당은 피해자가 명세서를 보고도 이상 징후를 놓치기 쉬운 심리를 계산했다. 소액 결제는 해외 카드사의 내부 정책상 환불 심사에서 본인 인증이 충족된 것으로 처리될 가능성이 높아, 환급 거절 사례도 뒤따랐다. 결과적으로 수만 건의 소액이 쌓여 거대한 허위 매출을 만들었고, 피해 인지가 늦어질수록 추적은 더 어려워졌다. ‘작게, 많이, 빨리’가 이 사기의 핵심 알고리즘이었다.

조직의 분업 체계, 국경 넘는 합종연횡

총책은 중국에 거점을 두고 스미싱과 악성앱 유포를 총괄했다. 국내 모집책은 위장 가맹점 개설과 단말기 확보를 담당했고, 명의 제공자는 수수료를 받고 법적 리스크를 떠안았다. 범죄 수익은 총책-모집책-명의 대여자 순으로 분배되었으며, 일부 모집책은 20~40%의 높은 수수료율을 챙긴 정황도 확인됐다. 조직은 중국인·귀화 한국인·내국인 등 다국적 인력으로 구성돼 역할을 분담했고, 단말기 밀반출과 대포통신 회선을 통해 수사를 교란했다. 경찰은 국내 조직원 4명을 검거해 2명을 구속하고, 해외 총책을 추적 중이다.

확산을 막는 법, 기술·제도·습관의 3중 방어

NFC 기반 결제는 편리하지만, 편의만큼 보안 설정이 중요하다. 첫째, 스마트폰의 NFC 결제는 기본 ‘비활성화’하고 필요 시에만 켜며, 잠금화면 생체 인증을 의무화한다. 둘째, 의심 문자·앱 설치를 차단하고, 알 수 없는 출처 앱 설치 허용을 꺼둔다. 셋째, 카드 앱의 해외 결제·무카드 결제·비접촉 결제 한도를 소액으로 낮추거나 사전 승인 알림을 즉시 받도록 설정한다. 넷째, 명세서와 알림 내역을 주 단위로 점검하고, 1건이라도 의심되면 카드사에 즉시 해외 사용 정지와 재발급, 분쟁 이의 제기를 진행한다. 다섯째, 가맹점과 단말기 개설 절차에 대한 실명 확인 강화, 단말기 해외 반출 상시 모니터링, NFC 결제의 추가 본인확인 도입 같은 제도 개선이 병행되어야 한다. 편의의 시대에 보안은 습관이자 정책이며, 두 축이 만나야만 범죄의 알고리즘을 꺾을 수 있다.