카드 단말기 통한 '셀프 환불' 사기 속출

최근 몇 주간 토론토 퀸 스트릿 이스트(Queen Street East) 일대의 상점 수 곳에서 수천 달러가 도난당하는 일이 발생했다. 범인들은 고객 결제용 카드 단말기를 이용해 오히려 가게로부터 돈을 빼가는 수법을 썼다.

비치 지역에 위치한 가족 운영 식당 ‘수블라키헛(Souvlaki Hut)’에서는 한 고객이 아무렇지 않게 단말기를 집어 든 뒤 본인 카드에 2,000달러를 환불하는 장면이 보안 카메라에 포착됐다.

스크린샷 2025-07-03 103245.png

수블라키헛에서 한 고객이 가게의 카드 단말기를 이용해 스스로에게 2,000달러를 환불하는 장면이 찍힌 CCTV. 아티 조르가지 제공. CTV

식당 주인의 아들 아티 조르가지는 “어머니가 가게에서 힘들게 일해서 번 돈이 그냥 빠져나갔다니 놀랐다”고 말했다.

그는 "범인은 단말기를 들어 올려 우리가 보지 못하게 한 뒤, 수동 환불을 진행했다"며, 아주 쉬운 방식으로 돈을 빼가는 방법이라고 설명했다.

차(茶) 전문점 ‘피핀스(Pippins Tea Company)’의 바바라 디앤젤리스 대표 역시 비슷한 피해를 입었다. 몇 주 전 한 젊은 남성이 할머니에게 줄 찻주전자를 산다며 가게를 찾아와 본인 카드에 4,900달러를 환불한 것이다.

두 상점 모두 카드 단말기의 예상치 못한 보안 취약점을 지적했고, 한 보안 전문가는 이를 "심각하다"고 경고했다.

클라우디오 포파 보안 전문가는 “대부분의 POS 단말기는 기본 비밀번호가 그대로거나, 설정이 허술한 상태에서 출고된다”고 말했다. 그는 이를 "잠금 상태의 아이폰을 누군가가 마음대로 결제 앱까지 사용하는 수준의 침해"에 비유했다.

경찰은 현재 두 사건이 연결된 정황은 없지만, 과거 시 전역에서 발생한 유사한 도난 사례들과 유사한 방식이라고 보고 있다.

이에 마이크 콜 토론토 부시장 대행은 작년에 직접 업주들을 찾아가 POS 단말기를 야간에 보관하고, 단말기를 매주 비밀번호 변경하는 등의 보안 수칙을 전달하고 스티커도 붙였다고 밝혔다.

지역 상인회 더비치(The Beach BIA)도 회원들에게 POS 단말기의 보안 취약성에 대한 경고 메일을 발송했다.

피핀스의 경우, POS 공급업체인 모네리스(Moneris)가 피해 금액을 환불해줬고, 모네리스 측은 “기기에는 기본 환불 코드가 설정돼 있지 않다”며, "설정 단계에서 관리자 비밀번호와 사용자 권한을 따로 설정할 것을 권장한다"고 밝혔다.

반면 수블라키헛의 단말기 공급업체 클로버(Clover)는 입장을 밝히지 않았다.

조르가지는 “2,000달러는 큰 타격”이라며 “기계에 환불 한도를 설정할 수 있다는 걸 미리 알았다면 그렇게 했을 것”이라고 말했다. 그는 “POS 업체들이 더 안전한 초기 설정을 제공하고, 2단계 인증 등 보호 조치를 강화해야 한다”고 강조했다.

The article is funded by the Government of Canada through the Local Journalism Initiative program.

유희라 기자 (press1@koreatimes.net)