해외 결제 사기, 챗지피티 프로 구독으로 피해 속출

최근 국내 이용자들의 신용카드에서 29만9천원이 해외 결제로 승인됐다는 알림이 잇따라 뜬 사건은, 피싱 문자가 아니라 유출된 카드 정보가 실제 결제에 악용된 금융 범죄로 확인됐다. 결제는 인공지능 서비스 챗지피티의 고가 요금제인 ‘챗지피티 프로’ 구독 형태로 이뤄졌고, 오픈에이아이와 국내 전자지급결제대행사(PG사)인 나이스정보통신이 취소·환불에 나서면서 일단 진정 국면에 들어갔다.

카드업계에 따르면 2026년 6월 들어 국내에서 결제된 챗지피티 프로 요금제는 모두 1천368건, 약 4억원 규모였다. 이 가운데 858건, 약 2억5천만원 상당이 부정 결제 의심 사례로 분류됐다. 이번 사건의 핵심은 해외 온라인 가맹점 다수가 여전히 카드번호, 유효기간, 보안코드(CVC)만으로 결제를 허용한다는 점이다. 국내 간편결제 서비스처럼 지문, 생체인증, 비밀번호 같은 2차 확인 절차가 없으면 이용은 편하지만, 카드 정보가 이미 외부에 새어나간 경우에는 방어 장치가 약해진다. 나이스정보통신도 국내법상 이런 결제 방식에 휴대전화 본인 인증을 의무적으로 붙여야 한다는 별도 규정은 없다고 설명했다.

제도적으로도 이런 구조는 어느 정도 허용돼 있다. 전자금융감독규정은 인증서나 간편비밀번호 같은 접근매체를 발급할 때 실명 확인을 거치도록 하고, 금융회사와 전자금융업자가 거래의 위험 수준에 맞는 안전한 인증 방법을 쓰도록 정하고 있다. 다만 카드 정보를 직접 입력하는 결제마다 실명 확인이나 추가 인증을 반드시 요구하는 조항은 없다. 결국 결제 편의성과 보안 수준 사이에서 사업자와 카드사가 어떤 기준을 적용하느냐가 중요해지는 구조다. 이번 사건을 계기로 나이스정보통신은 오픈에이아이와 협의해 본인 인증을 도입하는 테스트와 개발 절차를 진행하고 있다고 밝혔다.

피해 인지가 늦어진 배경으로는 PG사를 거치는 결제 구조도 지목된다. PG사는 카드사와 직접 계약하기 어려운 온라인 사업자의 결제를 대신 중개하는데, 이 경우 카드 명세서에는 실제 서비스명보다 PG사명이 먼저 찍히는 일이 많다. 이번에도 고객 이용내역에는 챗지피티나 오픈에이아이가 아니라 나이스정보통신으로 표시돼, 소비자가 어떤 서비스에서 결제가 일어났는지 직관적으로 알아채기 어려웠다. 이런 표기 방식은 카드사의 이상금융거래탐지시스템(FDS) 대응에도 영향을 줄 수 있다. FDS는 결제 금액, 시간, 업종, 반복 패턴을 종합해 수상한 거래를 가려내는데, 실제 가맹점 정보가 충분히 드러나지 않으면 특정 서비스에서 한꺼번에 이상 징후가 생겼는지 포착하는 데 시간이 더 걸릴 수 있다. 이후 오픈에이아이와 나이스정보통신은 결제 시 두 회사 이름 또는 챗지피티가 함께 보이도록 가맹점명 표기를 바꾸기로 했다.

금융당국과 업계는 소비자 대응도 중요하다고 강조한다. 해외 온라인 서비스를 이용할 때는 카드번호를 직접 넣는 방식보다 2차 인증이 있는 각종 페이 서비스나 카드사 앱의 가상 카드번호 기능을 활용하는 편이 상대적으로 안전하다. 또 카드사에서 제공하는 해외 원화결제(DCC) 차단, 해외 이용 차단, 해외 사용 안심 설정 같은 기능을 미리 켜두면 위험을 줄이는 데 도움이 된다. 본인이 결제하지 않은 승인 문자를 받았다면 즉시 카드사를 통해 사용 정지와 부정사용 신고를 해야 한다. 일반적으로 분실·도난 신고 접수일로부터 60일 이내 발생한 부정 사용액은 고의나 중대한 과실이 없는 한 보상 대상이 된다. 이번 사례는 디지털 구독 서비스가 늘어나는 환경에서 결제 편의성만으로는 보안 문제를 감당하기 어렵다는 점을 보여준다. 이 같은 흐름은 앞으로 해외 온라인 가맹점의 추가 인증 확대, 결제 내역 표기 개선, 카드사의 탐지 체계 정교화 논의로 이어질 가능성이 크다.