아침 문을 열자마자 단말기 옆 휴대전화가 울렸다. “고객님의 카드 정보가 안전하지 않을 수 있어 재발급을 권유드립니다.” 문자 한 줄이 카페 안 공기를 미세하게 바꿔놓았다. 블루베리 스콘 굽는 냄새와 우유 스팀 소리 사이로 계산대 앞에 선 손님들의 표정이 어딘가 경계심을 띠기 시작한다. 바쁜 소상공인에게 보안 이슈는 대개 ‘남의 일’로 느껴지지만, 단 한 번의 뉴스가 손님들의 지갑과 우리의 매출, 그리고 신뢰를 한 번에 흔든다. 이번에는 그 뉴스의 주인공이 롯데카드였다. 지난 9월 18일, 롯데카드는 외부 해킹 공격으로 고객 약 297만 명의 정보가 유출됐다고 공식 발표했다. 올 들어 최대 규모의 금융 정보 유출 사건이다. ([코리아헤럴드][1]) 숫자는 차갑다. 297만, 머릿속에서 바로 감이 오지 않을 만큼 큰 수다. 하지만 “그중 28만 명은 카드번호, 유효기간, CVC 등 결제의 핵심에 접근당했다”는 문장을 읽는 순간 피부로 와 닿는다. 이 범주의 고객은 특히 ‘키인(Key-in)’ 결제에서 부정 사용 가능성이 높다는 설명이 뒤따랐다. 키인은 말 그대로 카드 실물을 긁거나 꽂지 않고 번호를 단말기에 직접 입력해 결제하는 방식이다.
우리 가게 단말기에도 메뉴가 숨어 있을지 모른다. ([Korea Joongang Daily][2]) 더 세부로 들어가면 타임라인이 보인다. 28만 명은 7월 22일부터 8월 27일 사이에 새로운 페이 결제 서비스나 커머스 사이트에 카드 정보를 새로 등록했던 고객들이다. 온라인 결제 서버가 타깃이었고, 그 시점의 정보가 가장 취약했다는 얘기다. 이 문장을 읽는 온라인 쇼핑몰 운영자라면 본능적으로 백오피스에 로그인해 최근 등록 로그와 이상한 IP를 확인하고 싶어질 것이다. ([조선일보][3]) 규모가 클수록, 규제도 따라 움직인다. 금융당국은 사고 접수 직후 공격자 IP, 악성코드 대응 방법 등을 전 금융권에 전파했고, 현장 조사와 비상 대응 체계를 가동했다. 개인정보보호위원회도 금융감독원의 통보를 받고 조사를 개시했다. 당장의 과제는 추가 유출 차단과 2차 피해 예방이다. 이런 문장은 흔히 보이는 관용구 같지만, 우리에게는 아주 현실적인 시그널이다. 기관의 움직임은 곧 결제 회사, PG, 단말기 대리점의 공지와 정책 변경으로 이어진다. 그 사이에 있는 우리는 ‘연락 올 때까지 기다리는’ 입장이 아니라, 먼저 질문을 던지는 쪽이 되어야 한다.
([금융위원회][4]) 키인 결제는 평소 잘 쓰지 않아 잊고 지내지만, 부정 사용의 취약 지점으로 늘 언급된다. 국내 330만 가맹점 중 약 3만8천 곳이 키인을 사용한다는 보도는 대략 1.15%라는 감을 준다. 비율만 보면 작아 보이지만, 우리 매장이 그 1% 안에 들어간다면 이야기가 달라진다. 특히 배달 전화 주문, 예약금 결제 같은 이유로 잠깐 기능을 열어둔 곳들은 더 취약하다. 현실적으로 키인이 꼭 필요하지 않다면 기능을 꺼두는 것이 상책이고, 불가피하다면 한도와 승인 조건을 촘촘히 묶어야 한다. ([네이트 뉴스][5]) 사건을 ‘남의 회사 사고’로만 볼 수 없는 이유는 명확하다. 고객의 불안은 브랜드를 가리지 않는다. 손님은 “카드 괜찮나요?”라고 묻지 않는다. 조용히 결제를 망설이거나, 현금영수증이 귀찮아도 현금을 꺼낼 것이고, 다음 방문을 미룰 수 있다. 우리가 당장 할 수 있는 일은 크게 세 가지다. 첫째, 우리 결제 환경 점검.
단말기와 POS에 키인 기능이 켜져 있는지, 해외 카드 및 비대면 승인 옵션이 어떻게 설정돼 있는지 확인한다. 둘째, 온라인이라면 PG 대시보드의 관리자 권한과 API 키를 전부 교체하고, 카드 저장(카드온파일)을 쓰고 있다면 PG 토큰 기반인지 재점검한다. 셋째, 내부 대응 스크립트 준비. 손님이 “뉴스 봤는데 여기 결제 안전한가요?”라고 물으면 직원 누구나 같은 톤으로, 같은 메시지를 전할 수 있도록 한 단락의 답변을 만들어둔다. ‘우리 매장은 카드 정보를 보관하지 않고, 결제는 암호화된 PG를 통해서만 이뤄지며, 키인 결제는 기본 비활성화’ 같은 문장으로 시작하면 좋다. 결제 업계의 기술 용어는 낯설다. EMV, 토큰화, 3-D Secure 같은 단어들은 마치 멀리 있는 기업에게만 필요한 것처럼 들린다. 하지만 우리가 체감할 수 있는 버전으로 바꾸면 간단하다. 카드를 ‘직접’ 다루지 말고, 가능한 모든 경우에 ‘대행사 서버’가 알아서 다루게 하자. 저장하지 말고, 조회하지 말고, 증빙만 보자. 링크 결제나 QR 결제 같은 ‘원격 결제’가 필요하면, 단말기 키인 대신 PG가 제공하는 보안 링크를 쓰자.
실제로 키인 결제는 카드 실물 없이 번호와 유효기간을 받아 처리하는 구조라 분쟁에 취약하고, 차지백이 발생하면 가맹점 책임이 되는 경우가 잦다. 국내 솔루션들도 이런 위험을 경고하며 대체 수단을 내놓고 있다. 우리는 이들을 ‘조금 번거로운 절차’가 아니라 ‘리스크 비용을 줄이는 보험’으로 취급해야 한다. ([페이히어 이용 가이드][6]) 이번 사건에서 롯데카드는 “오프라인 결제는 무관하다”라고 강조했다. 실제로 침해가 온라인 결제 서버 쪽에 국한됐다는 점, 성명이 유출되지 않았다는 점, 그리고 피해 고객에게는 카드 재발급과 전액 보상을 약속했다고 밝혔다. 또한 일정 기간 무이자 할부 제공과 연회비 면제 같은 보상책도 내놨다. 여기서 우리가 읽어야 할 메시지는 ‘오프라인은 안전하니 안심하라’가 아니다. 오프라인이라 해도 키인이라는 단 하나의 문이 열려 있으면 온라인의 바람이 불어 들어온다는 사실이다. 그리고 고객에게 보이는 건 카드사 로고가 아니라 우리 매장의 출입문이라는 점이다. 그러니 신뢰를 잃기 전에, 신뢰를 먼저 설명하자. ([코리아헤럴드][1]) 경영진의 사과나 인적 쇄신, 수백억 원대의 보안 투자 계획은 일차적으로 금융회사 내부의 숙제다.
우리 몫의 숙제는 작지만 즉각적이다. 오늘 퇴근 전에 할 일을 마음속으로 적어보자. PG 관리자 비밀번호부터 바꾸고, 직원 계정에서 불필요한 권한을 내린다. 단말기 설정 메뉴에서 키인 허용 여부를 확인하고, 대리점에 전화해 기본 차단과 한도 설정을 요청한다. 온라인 쇼핑몰이라면 3-D Secure 같은 추가 인증 옵션을 켠다. 무엇보다 내부 매뉴얼에 ‘수상한 주문 대응 원칙’을 한 줄로 명문화한다. 전화로 여러 번 카드 정보를 재확인하려는 주문, 야간 고액 주문, 상품을 급하게 바꾸며 결제를 재요청하는 패턴은 모두 경고등이다. 이 원칙은 ‘팔릴 때까지 파는’ 자세와 충돌할 수 있다. 하지만 작은 매장에서의 한 번의 부정 결제는 일주일 매출을 삼켜버리기도 한다. 사건의 전개를 보면, 기업이 침해 사실을 인지하고 공표하기까지의 시간차가 얼마나 많은 파장을 만드는지 알 수 있다. 8월 중순 침해가 시작되고, 말미에 흔적이 발견되었으며, 9월 초 현장 조사가 시작되고, 9월 중순에 구체적 유출 규모가 확인됐다.
그동안 소비자는 침묵 속에 결제를 계속하고, 소상공인은 변화 없이 영업을 지속한다. 그러다 한 번에 파도가 온다. 우리의 방어전략은 ‘공식 발표를 기다리는’ 수동성이 아니라, ‘환경에서 위험 신호를 찾는’ 능동성이다. 뉴스가 뜨면, 확인하고, 바로 설정을 바꾸고, 고객에게 공지하고, 내부 장부에 ‘이날 위험 대응 완료’라고 적는 루틴을 만들자. ([금융위원회][4]) 고객 커뮤니케이션은 종종 과소평가된다. 굳이 우리 잘못도 아닌데 사과문까지 쓸 필요가 있나 싶은 마음이 든다. 그러나 신뢰는 원인 규명보다 체감이 먼저다. 한 장짜리 안내문이면 충분하다. “최근 국내 카드사 보안 이슈와 별개로, 우리 매장은 카드 정보를 저장하지 않으며, 모든 결제는 암호화된 PG를 통해 처리됩니다. 키인 결제는 기본 차단되어 있습니다. 이상 결제 탐지 시 즉시 취소 및 환불을 진행하겠습니다.” 벽에 붙여두고, SNS에도 올려두자.
이 작은 문장들이 ‘여기는 준비돼 있다’는 신호가 된다. 실무의 영역으로 내려오면 더 구체적이다. 배달앱과 자체몰을 함께 운영한다면 중복 저장을 피하고, 가능한 한 한 곳에만 결제 기능을 집중하자. 중소 브랜드를 운영하는 경우라면 입점해 있는 마켓, 쇼핑 채널마다 판매자 센터에서 보안 공지를 확인하고, 관리자 휴면 계정을 삭제한다. 오프라인 직원 교육에서는 카드 사진/번호를 찍어서 전송받는 관행을 절대 허용하지 말자. 재고를 맞추듯 보안을 맞춘다는 마음으로, 매달 첫째 주 월요일을 ‘결제 점검의 날’로 잡아도 좋다. 인건비 30분이 아깝지 않다. 그 30분이 차지백 한 건을 막는다. 이번 사건을 두고 업계에서는 대주주 책임론, 확충된 보안 예산의 실효성, 사고 인지 지연의 원인 같은 거대한 주제들이 논쟁 중이다. 우리에겐 그보다 더 가까운 현실이 있다. “오늘 일곱 번째로, 결제를 망설이는 손님을 웃게 만들 수 있나.” 보안은 마케팅과 다름없다.
안전하다는 확신은 혜택이나 포인트만큼 강력한 구매 동기다. 우리 가게가 안전하다는 걸 고객이 ‘느끼게’ 해야 한다. 손님이 영수증을 받는 순간, “안전 안내 보셨죠. 키인 차단해놨어요.” 하고 말해보자. 서늘한 뉴스가 남긴 잔상은 그렇게 사라진다. 마지막으로, 이 글을 읽고 나면 한 통의 전화를 해보길 권한다. 단말기 대리점, PG 고객센터, 또는 쇼핑몰 솔루션사다. 질문은 간단하다. “우리 매장은 키인 결제가 기본 차단되어 있나요. 해외 카드 비대면 승인은요. 관리자 비밀번호 정책은 최소 길이 12자, 다중인증 적용되나요?” 상대가 매뉴얼을 뒤적이는 동안, 우리는 이미 반쯤 이긴 것이다.
보안은 거대 기업의 사투이기도 하지만, 매일 카운터에 서는 우리의 생활 습관이다. 그리고 이번 사건은 그 습관을 바꾸기에 충분한 알람이었다. ([YTN][7]) 덧붙이자면, 보안 사고의 여파는 결코 하루 이틀로 끝나지 않는다. 재발급 행렬, 집단 소송 논의, 규제의 후속 조치가 차례로 이어질 것이다. 그 사이 우리 가게의 매출은 큰 흐름 속에서 파동을 맞는다.
그러나 장사를 오래 한 사장님들은 안다. 파도를 피하는 가장 현실적인 방법은, 발밑의 모래를 단단히 다지는 것뿐이라는 걸. 오늘 체크리스트가 내일의 매출표를 지킨다.
그리고 그 매출표의 오른쪽 끝에, 한 줄 덧붙이자.
“보안 점검 완료.” 그 다섯 글자가, 생각보다 많은 것을 지킨다.
([매일경제][8]) [1]: https://www.koreaherald.com/article/10578647?utm_source=chatgpt.com "Lotte Card hack exposes data of 3 million users" [2]: https://koreajoongangdaily.joins.com/news/2025-09-18/business/industry/Lotte-Card-confirms-data-breach-affecting-nearly-three-million-customers/2402637?utm_source=chatgpt.com "Lotte Card confirms data breach affecting nearly three million ..." [3]: https://www.chosun.com/economy/economy_general/2025/09/18/6D3TPHGQLJGYHNAJAHQQQKFGAE/?utm_source=chatgpt.com "롯데카드 297만명 해킹당해… 28만명은 비번까지 털렸다" [4]: https://www.fsc.go.kr/no010101/85319?curPage=&srchBeginDt=&srchCtgry=&srchEndDt=&srchKey=&srchText=&utm_source=chatgpt.com "롯데카드 정보유출 관련 긴급 대책회의 개최" [5]: https://m.news.nate.com/view/20250918n40581?cate=reple&list=rank§=cmt&utm_source=chatgpt.com "\"SKT 20배\" 롯데카드 해킹사태…카드번호-CVC '싹' 털렸다" [6]: https://help-center.payhere.in/f7a5e55c-487f-4390-8861-e64bc9be0be3?utm_source=chatgpt.com "키인(KEY-IN) 결제" [7]: https://www.ytn.co.kr/_ln/0102_202509181606257902?utm_source=chatgpt.com "롯데카드 \"해킹으로 297만 명 정보 유출...28만 명 부정 사용 ..." [8]: https://www.mk.co.kr/news/economy/11424433?utm_source=chatgpt.com "해킹 사고 롯데카드, 하루만에 재발급 신청 24만장 넘겨".