QR·간편결제 보안체크 가이드

데이터에 따르면 매장 내 간편결제 비중은 빠르게 확대되고, QR 위·변조·피싱 링크로 인한 소액 부정승인이 늘고 있습니다. 분석 결과, 피해의 다수는 관리자 인증 미흡과 정적 QR 사용에서 시작됩니다. 보안은 비용이 아니라 매출 보존 장치로 봐야 합니다.

교대역 카페 A는 PG 관리자에 MFA를 적용하고, FDS 고위험 룰을 활성화했습니다. 결제 승인 한도를 시간·금액별로 제한하고 환불은 이중승인으로 분리했습니다. 3개월 후 차지백율 0.4%→0.1%로 하락, 승인속도 영향은 평균 0.2초 내로 통제되었습니다.

상계동 카페 B는 테이블마다 정적 QR만 붙여 결제를 받다 위조 스티커로 매출이 사기 계정으로 유출됐습니다. 교훈은 분명합니다: 주문번호·금액과 묶인 동적 QR, 고정 도메인과 URL 미리보기 안내, 스티커 훼손 방지 라벨이 필수입니다.

프랜차이즈 베이커리 C는 우선순위를 정산 계정 보호에 두고 IP 화이트리스트, 역할 분리, 주 단위 활동로그 점검을 시행했습니다. 피싱 메일 훈련과 비밀번호 보관 금지 정책을 병행해 정산계좌 변경 시도 3건을 모두 사전 차단했습니다.

분석 결과, 취약 고리는 관리자계정, 정적 QR, 공용 와이파이, 구형 POS OS입니다. 인증은 생체·OTP·기기고정, 암호화는 TLS1.2+·HSTS, 무결성은 웹훅 HMAC 서명과 시간동기(NTP)로 확보하세요. 설정 강화는 환불·분쟁 비용을 줄이는 투자입니다.

① PG·스토어 관리자 전원 MFA ② 동적 QR 전환과 도메인 고정 ③ 환불·정산 승인 이원화 ④ POS OS·브라우저 최신화 ⑤ 매장 와이파이 ‘POS/손님’ 분리 ⑥ 웹훅 서명 검증과 API 키 금고 보관 ⑦ 월 1회 접근로그 점검 ⑧ 사고 대응 플로우카드 비치.