편의점 주인 민수 씨는 어젯밤 손님이 끊긴 시간에 스마트폰을 붙들고 있었다. “롯데카드가 털렸다네. 우리 가게도 불똥 튀는 거 아냐?” 단골 단체방은 뒤늦은 사과, 카드 재발급, 피해 보상 얘기로 시끄러웠다. 민수 씨가 진짜로 걱정한 건 다른 데 있었다. 새벽에 들어온 택배용 소액결제 두 건, 주소는 서울인데 연락처 국번이 해외였고, 결제는 ‘키인’으로 처리됐다. 그가 모르는 사이, 손님과 가게 사이의 보이지 않는 신뢰선이 살짝 휘어진 느낌이었다. 사건의 윤곽은 이렇다. 롯데카드는 9월 중순 기자회견을 열어 약 297만 명의 고객 정보 유출을 확인했고, 이 가운데 28만 명은 카드번호·CVC·유효기간 등 부정 사용에 직접 악용 가능한 민감정보가 포함됐다고 밝혔다.
회사는 우선 해당 고객의 카드 재발급을 지원하고 손해를 전액 보상하겠다고 했다. 이 해킹은 온라인 결제 서버에서 발생했으며, 7월 22일부터 8월 27일 사이의 온라인 결제 과정에서 생성·수집된 데이터가 빠져나간 것으로 설명됐다. 초기에는 1.7GB 유출로 보고됐으나 금융당국 조사로 총 유출량이 200GB에 이른다는 사실이 확인됐다. 최고경영자는 고개를 숙였고, 향후 보안 투자 확대 계획을 약속했다. 그러나 신뢰는 숫자로만 복구되진 않는다. ([Reuters][1]) 소상공인 입장에서 이 사건은 “내 고객의 카드가 안전한가”라는 질문이 동시에 “내 매출이 안전한가”라는 질문으로 바뀐다는 점에서 아프다. 카드사가 보상한다 해도, 부정거래가 의심되는 주문을 취소하고 고객과 실랑이를 벌이는 시간, 매장 직원의 확인 전화, 환불용 현금흐름, 이미 나간 상품의 반품·재고 조정은 사장님의 부담이다. 더구나 이번 사고에서 언급된 ‘키인 결제’는 카드 실물을 대지 않아도 번호만 알면 결제가 가능한 방식이라, 온라인몰뿐 아니라 콜센터 주문, 급한 택배 결제 같은 오프라인의 틈새에서도 파고든다.
실제로 유출 기간의 거래 데이터가 포함되면서 위험 신호가 한동안 이어질 수 있다는 경고가 나왔다. ([Korea Joongang Daily][2]) 그렇다고 겁부터 먹을 필요는 없다. 오히려 이런 사건은 가게의 결제·보안 습관을 한 단계 끌어올릴 기회다. 첫째, ‘키인’은 진짜 예외 상황에만 쓰고 기본값을 바꾸자. 단말기에서 수기 입력 허용 한도를 최소화하고, 직원이 임의로 풀지 못하게 관리 비밀번호를 따로 설정한다. 카드 실물 거래는 반드시 IC 혹은 터치로 처리해 EMV 인증을 강제하면 분쟁 시 책임이 줄어든다. 온라인은 더 명확하다. PG에서 제공하는 추가인증(앱카드 푸시, 생체인증, 일회용 비밀번호)을 켜고, 저장카드 결제는 토큰화 옵션으로 전환한다.
많은 PG가 고위험 국가 IP 차단, 해외 BIN 차단, 이상거래 탐지 룰을 무료 혹은 유료로 제공한다. 판매자가 설정만 해두면 새벽 시간대 다건 소액, 배송지·연락처 불일치, VPN·프록시 시도 같은 패턴을 자동으로 걸러준다. 유출이 공식화된 직후 카드사·당국이 부정사용을 전액 보상하겠다고 공언했지만, 판매자 스스로 리스크 노출을 줄이는 조치를 해두면 분쟁과 소모를 크게 줄인다. ([Reuters][1]) 둘째, 지난 여름 거래를 잠깐 거꾸로 보는 습관을 들이자. 7월 22일부터 8월 27일 사이 온라인 결제에 한정해 고액 반품·반복 결제·주소 미일치 주문을 필터링해본다. 매출 규모가 작다면 스프레드시트로도 충분하다. 고객에게 확인 전화를 한두 통 더 거는 수고가 불편을 만들까 걱정되겠지만, 설명을 솔직히 하면 대부분 이해한다. “최근 카드 보안 이슈로 확인 절차를 강화했다”는 한마디가 되레 신뢰를 만든다.
내부적으로는 관리자 페이지의 API 키를 회전시키고, 스토어 솔루션·PG·택배사 계정의 비밀번호를 바꾸며, 가능하면 직원 계정에 다중인증을 적용한다. 이런 기본기만으로도 공격자가 파고들 구멍이 크게 줄어든다. ([KBS World][3]) 셋째, 커뮤니케이션을 준비하자. 안내문은 길 필요 없다. “최근 카드사 보안 사고와 별개로, 우리 매장은 추가인증을 강화했고 의심 거래는 사전 확인 후 발송한다. 고객 피해 발생 시 카드사 및 당국 지침에 따라 전액 보상을 돕겠다.” 문자·카카오 채널·포스터 어느 방식이든 좋다. 핵심은 ‘우리는 대비하고 있고 당신의 시간을 아껴드리겠다’는 메시지다. 혹시라도 고객이 유출 대상인지 묻는다면, 카드사 앱/홈페이지의 조회 경로를 안내하고 재발급·결제 알림 설정을 권한다.
실제로 카드사는 24시간 전담창구를 열고, 위험군 고객의 재발급·연회비 면제·무이자 분납 같은 조치를 내놨다. 매장은 이 사실을 정확히 안내해 고객의 불안을 덜어줄 수 있다. ([The Korea Times][4]) 넷째, 계약서를 다시 읽자. 대부분의 분쟁은 ‘누가 언제 어떤 인증을 했느냐’의 문장으로 귀결된다. PG와의 약정에서 이상거래 룰을 활성화하면 책임이 어떻게 이동하는지, 추가인증 성공 시 판매자 면책이 적용되는지, 차지백 대응 비용과 소요 기간은 어느 정도인지 담당 매니저에게 메일로 확인을 남겨두자. 보안사고 이후 PG들이 일시적으로 룰 강도를 높이면서 승인률이 떨어지는 시기가 온다. 내비게이션에서 공사구간을 만난 것과 같다.
이때는 장바구니 최소 결제금액 조정, 고가 상품의 선입금·현장 결제 유도, 재고 회전이 빠른 품목 중심 프로모션 등으로 ‘승인률 저하’라는 비바람을 버틴다. 다섯째, 데이터는 적게, 더 적게. 고객 생일, 메모, 주소록… 영업에는 소중하지만 보안에는 부담이다. 매장에서 직접 저장하지 않아도 되는 정보는 PG·POS·CRM의 ‘대체키’ 기능을 쓰자. 엑셀에 늘어놓은 고객명단은 암호화하고, 공유드라이브에 둬야 한다면 폴더 권한을 최소화한다. 사장님 본인 휴대폰도 예외가 아니다. 문자로 온 카드번호 사진을 그냥 보관했다면 바로 삭제하고, 메시지 앱의 미디어 자동저장 기능을 꺼두자.
여섯째, 사람을 믿되 절차를 믿자. 보이스피싱은 사건 뒤를 집요하게 따라온다. “카드 재발급 링크입니다” “피해보상 신청하세요” 같은 메시지는 클릭하지 않기, 직원 교육은 10분짜리라도 이번 주에 한 번 하기, 낯선 발신자에게 원격지원 앱을 깔지 않기. 가게 전화로 고객에게 먼저 연락하는 흐름을 고정해두면 사칭 전화를 상당 부분 거른다. 이번 사건을 두고 대주주인 사모펀드의 투자 책임 공방도 벌어졌다. 한쪽은 보안투자를 소홀히 한 게 아니라고 해명하고, 다른 쪽은 투입 규모와 체감되는 현장의 안전은 다를 수 있다고 지적한다. 하지만 소상공인의 자리에서 보면 결론은 단순하다.
누가 잘못했든, 리스크의 첫 파문은 늘 우리 매대와 고객 사이를 스친다. 그렇기에 우리는 ‘내 통제 범위’를 찬찬히 다진다. 장사란 결국 매일의 습관이 쌓여 체력이 되는 일이다. 결제 습관도 마찬가지다. ([The Korea Times][5]) 민수 씨는 단말기 설정 화면을 열고 키인 한도를 낮추었다. 온라인몰 관리자에서 해외 IP 차단을 켰고, 지난여름 주문 목록에서 몇 건을 표시해 고객에게 전화를 걸었다. “사장님, 이렇게까지 안 하셔도 되는데요”라는 말에 그는 웃으며 답했다.
“제가 안심이 돼야 손님도 안심하죠.” 그날 밤, 가게 앞 간판 불빛이 유난히 또렷했다. 뉴스는 앞으로도 쏟아질 것이다. 피해 집계는 바뀔 수도 있다.
그러나 작은 가게가 할 수 있는 일은 명확하다. 침착하게 점검하고, 단단하게 설명하고, 조금 더 성가시더라도 안전한 절차를 택하는 것.
그런 선택이 쌓일수록, 다음 충격파가 와도 우리는 덜 흔들린다.
[1]: https://www.reuters.com/sustainability/boards-policy-regulation/mbk-controlled-lotte-card-says-personal-data-nearly-3-million-customers-leaked-2025-09-18/?utm_source=chatgpt.com "MBK-controlled Lotte Card says personal data of nearly 3 ..." [2]: https://koreajoongangdaily.joins.com/news/2025-09-18/business/industry/Lotte-Card-confirms-data-breach-affecting-nearly-three-million-customers/2402637?utm_source=chatgpt.com "Lotte Card confirms data breach affecting nearly three million ..." [3]: https://world.kbs.co.kr/service/news_view.htm?Seq_Code=196102&lang=e&utm_source=chatgpt.com "Lotte Card Loses 280000 Members' Card Numbers in ..." [4]: https://www.koreatimes.co.kr/economy/20250903/lotte-card-launches-around-the-clock-customer-hotline-following-cyber-breach?utm_source=chatgpt.com "Lotte Card launches around-the-clock customer hotline ..." [5]: https://www.koreatimes.co.kr/business/banking-finance/20250922/mbk-partners-denies-negligence-linked-to-lotte-card-data-breach?utm_source=chatgpt.com "MBK Partners denies negligence linked to Lotte Card data ...".