1. 아직도 ‘추가 인증 없는 결제’가 존재한다는 사실
온라인 쇼핑을 자주 하는 사람이라면 “3D Secure”라는 용어를 한 번쯤 들어봤을 것입니다. Visa의 Verified by Visa, Mastercard의 SecureCode처럼 브랜드마다 이름은 다르지만 핵심은 같습니다.
— 본인 인증을 한 번 더 거쳐 결제를 보호하는 필수 보안 시스템.
그런데 여전히 일부 해외 사이트나 소규모 온라인 쇼핑몰에서는 이 기본 보안 장치를 지원하지 않습니다. 심지어 최근에도 3D Secure 미지원 사이트에서 소액 테스트 결제 → 대량 무단 결제로 이어지는 피해 사례가 꾸준히 발생하고 있습니다.
제가 커뮤니티 사례와 지인의 경험을 함께 보면서 느낀 건 단순했습니다.
카드 정보가 얼마나 잘 보호되는가보다, ‘어디에서 사용하는가’가 더 중요하다.
3D Secure 미지원 사이트는 구조적으로 위험합니다.
2. 3D Secure가 없는 사이트는 정말 취약하다는 걸 체감했다
저도 한때 “해외 사이트 결제는 원래 조금 불안정하지” 정도로만 생각했습니다. 하지만 최근 지인에게 일어난 일이 제 인식을 완전히 바꿔놓았습니다.
지인은 특정 해외 쇼핑몰에서 정상적으로 결제했다고 생각했지만, 며칠 뒤 갑자기 1달러 미만의 소액 승인 알림이 여러 번 나타났고, 곧이어 고액 해외 결제까지 연속적으로 시도되었습니다.
이후 카드사와 함께 확인해보니, 그 쇼핑몰은 3D Secure 미지원 사이트였습니다. 즉, 카드 번호와 CVC만 알고 있으면 누구나 결제할 수 있는 구조였던 거죠.
그때 제가 확실히 깨달았습니다.
결제 보안은 카드사보다 사이트 선택에서 먼저 무너진다.
3. 3D Secure 미지원 사이트에서도 피해를 막는 가장 실전적인 보안 전략
제가 여러 사례를 분석하고 직접 실천한 방법을 정리하면 아래 네 가지가 “가장 효과적인 해결 방법”이었습니다.
✔ 해결 방법 1. 3D Secure 지원 여부를 결제 전에 직접 확인하기 (가장 확실한 예방)
예방법 중 가장 강력합니다.
- 결제창에 OTP 입력, 앱 인증, 추가 본인 확인 화면이 등장하는지 확인
- 결제 페이지에 “3D Secure Enabled”, “VBV”, “SecureCode” 표시가 있는지 확인
왜 중요한가?
→ 3D Secure는 제3자가 카드 번호를 훔쳐도 인증을 통과할 수 없기 때문에 무단 결제를 ‘구조적으로’ 막습니다.
저는 이후로 해외 결제 시 반드시 3D Secure를 지원하는 사이트만 사용하기 시작했고, 그 뒤로는 이상 거래가 단 한 번도 발생하지 않았습니다.
✔ 해결 방법 2. 해외 결제 알림(실시간 Push)을 반드시 켜두기
지인의 피해가 더 커지지 않았던 이유는 카드사의 해외 결제 알림을 켜두었기 때문이었습니다.
- 해외 결제 알림
- 온라인 결제 알림
- 1달러 이하 승인 알림(테스트 결제 탐지)
이 알림이 빠르면 빠를수록 피해 규모를 최소화할 수 있습니다.
특히 소액 테스트 결제(1달러 미만)는 공격자들이 매우 자주 사용하는 사전 공격입니다.
이 단계에서 발견하면 즉시 카드 정지 → 재발급으로 막을 수 있습니다.
✔ 해결 방법 3. 결제 전용 카드 또는 가상카드 사용 (피해 범위 한정)
제가 개인적으로 가장 효과적이라고 느낀 방식입니다.
- 온라인 결제 전용 카드 추가 발급
- 카드 한도 최소 설정
- 해외 결제만 가능한 ‘가상카드’ 활용
- 결제 후 카드번호 즉시 재발급 가능한 시스템 사용(일부 카드사 지원)
이 방식의 장점:
→ 카드 정보가 유출되더라도 실제 피해 금액이 매우 작아집니다.
→ 실물 카드가 노출되지 않기 때문에 일상 생활 카드에 영향 없음.
✔ 해결 방법 4. 카드 정보를 사이트에 저장하지 않기 (가장 기본이지만 가장 많이 무시되는 부분)
피해 사례를 보면, 대부분 공격자들이 노리는 첫 번째 정보가 “저장된 카드 정보”입니다.
- 저장 기능 끄기
- 이미 저장된 카드 정보 삭제
- 브라우저 자동완성 기능 비활성화
이 단순한 조치 하나로 위험이 큰 폭으로 줄어듭니다.
저는 지금 온라인 쇼핑 사이트 거의 대부분에서 카드 저장을 비활성화하고, 결제할 때마다 새로 입력하는 방식을 사용합니다.
번거로워 보여도, 보안 측면에서는 가장 확실합니다.
4. 3D Secure 미지원 사이트의 위험 구조 분석
1) 도난 카드 정보의 무단 결제 가능
3D Secure가 없는 사이트는 카드번호 + CVC + 유효기간만 알면 누구든지 결제 가능합니다.
실제 커뮤니티에서도 가장 많이 나온 피해 패턴입니다.
2) 피해 보상 절차가 훨씬 복잡해짐
카드사도 “3D Secure 인증을 거치지 않은 해외 결제”는 책임 소재를 둘러싸고 더 엄격하게 검토합니다.
일부 경우에는
- 사용자가 직접 부주의 여부를 증명해야 하거나
- 조사 기간이 더 길어지는
문제가 발생합니다.
3) 자동화된 대량 카드 무작위 공격에 취약
BIN 공격, 크레딧카드 리스트 공격을 자동화한 프로그램이 미지원 사이트가 많은 국가를 중심으로 활발하게 시도됩니다.
인증 절차가 없기 때문에 자동화 공격을 걸러내지 못합니다.
4) 소액 결제로 유효성 테스트 후 대량 결제로 이어짐
이 패턴은 제가 지인의 사례에서 직접 확인했습니다.
- 1달러 이하 테스트 결제
- 결제 승인 시 카드가 유효하다는 뜻
- 이후 고액 결제 연속 시도
특히 3D Secure 미지원 사이트는 테스트 결제 방어 기능이 거의 없습니다.
5. 결제 보안에서 ‘사이트 선택’이 가장 중요한 이유
제가 여러 사례를 보며 내린 결론은 이것입니다.
해외 결제의 보안 수준은 카드사가 아니라, 결제하는 “사이트의 보안 수준”이 결정한다.
- 카드 정보는 유출될 수 있다
- 하지만 3D Secure가 있으면 결제는 거의 불가능하다
- 3D Secure가 없으면 누구든지 결제할 수 있다
즉, 결제 보안의 첫 단추는 사이트 선택이라는 사실을 실감했습니다.
6. 해외 결제 보안의 핵심은 결국 ‘내가 선택하는 결제 환경’
3D Secure는 단순히 귀찮은 확인 절차가 아니라 카드 도용을 막아주는 가장 강력한 구조적 보호 장치입니다.
반대로 이 기능이 없다면, 카드 정보를 가진 누구라도 결제할 수 있는 ‘문이 열린 환경’이 됩니다.
제가 경험과 주변 사례를 통해 얻은 결론은 간단합니다.
해외 결제는 반드시 3D Secure 지원 사이트에서 진행하고, 개인정보 저장과 소액 알림 설정은 필수로 유지해야 한다.
편리함도 중요하지만, 조금의 귀찮음을 감수하는 것이 결국 가장 큰 피해를 막는 길입니다.
