카드 실물 없이 온라인으로 결제되는 ‘카드 미보유(Card-Not-Present, 이하 CNP)’ 결제 사기가 빠르게 증가하고 있다. 2025년 미국 내 CNP 사기 피해액은 약 120억 달러로 추산되며, 이는 2024년 대비 약 18% 증가한 수치다.

CNP 결제 사기는 온라인·모바일·전화 결제처럼 실제 카드 실물이 없는 환경에서 발생하는 대표적 전자거래 범죄다. 공격자는 유출된 카드번호·유효기간·CVC·주소 정보 등을 활용해 쇼핑몰·게임·구독 서비스 등에서 무단 결제를 시도한다. 실물카드를 요구하지 않는 결제 채널이 확대되면서 CNP 사기는 전통적 오프라인 카드 위조보다 탐지·차단이 어려워지고 있다. 특히 거래 승인 과정이 자동화되면서 금융기관과 가맹점이 비정상 패턴을 실시간으로 식별하지 못할 경우 피해 규모가 빠르게 커지는 문제가 지적되고 있다.

국제 카드사와 각국 금융당국 사례에 따르면, 대규모 정보유출 사고 이후 수일 안에 CNP 사기가 급증하는 경향이 확인된다. 예를 들어 북미 지역에서는 특정 리테일 기업 해킹으로 고객 결제 정보가 유출된 후, 수십만 건의 온라인 결제 시도가 단기간에 발생했고 피해액이 수천만 달러로 확대됐다. 국내에서도 피싱 문자로 탈취한 카드 정보로 해외 온라인 쇼핑몰에서 반복 결제가 이뤄진 사례가 보고됐으며, 피해자는 결제 승인 알림을 받은 뒤에야 도난 사실을 인지하는 경우가 많았다. 이러한 사례들은 결제 정보 보호, 다중 인증, 실시간 이상거래 탐지의 필요성을 명확히 보여준다.

보안 기업 세이프 사이퍼(Safecypher)는 아일랜드 우체국 금융 서비스 부문  안 포스트머니(An Post Money)가 세이프 사이퍼의 동적 보안 코드(DSN) 프로그램을 도입해 주목할 만한 성과를 보이고 있다고 밝혔다. 동적 보안 코드를 도입한 이후 안 포스트 머니는 15개월간 약 60만 건의 온라인 카드 결제 중 단 한 건의 CNP 사기도 발생하지 않았다고 보고했다.

사기 예방과 카드 사용률 모두 증가

안포스트머니 금융서비스 이사 존 라이스(John Rice)는 “세이프사이퍼의 동적 보안코드는 간단하지만 효과적인 CNP 사기 방지책”이라며 “모든 카드 발급사에 필수적으로 도입돼야 한다”고 강조했다.

동적 보안 코드 도입 이후 안포스트머니는 ▲60만 건 이상 거래에서 CNP 사기 0건 ▲고객 카드 사용률 50% 이상 증가 (월 2회 → 3회 이상) ▲자발적 서비스 가입률 32% 이상 등의 결과를 확인했다.

정적 CVV를 실시간 동적 코드로... MFA 통한 무력화

사이퍼세이퍼의 동적 보안 코드의 핵심은 기존 정적 CVV 코드를 실시간으로 생성되는 동적 보안코드(Dynamic Security Code) 로 대체하는 기술이다. 이 코드는 은행 앱에서 일정 시간 동안만 노출되며, 자동으로 변경된다.

해당 코드는 사용자 디바이스와 은행 앱에 대한 접근 없이는 사용할 수 없기 때문에, 설령 카드 번호가 유출되더라도 거래 인증이 불가능하다. 이중 인증(MFA) 구조에 기반한 보안 구조이며, 생체인증 등 디바이스 보안 기능을 포함한다.

또한 세이프사이퍼는 단일 API를 통해 발급사 시스템에 쉽게 통합 가능하다는 점에서 구현 장벽도 낮다.

세이프사이퍼 CEO 마크 필립스(Mark Phillips)는 “사기범은 피해자의 삶에 관심이 없다. 그들은 더 빠르고 정교한 AI를 활용해 사기를 저지르고 있다.”라며, “이미 다크웹에는 전체 카드 정보의 약 80%가 유통 중”이라고 경고했다.

이어 그는 “세이프사이퍼는 카드 정보만으로는 결제를 할 수 없도록 만들어, 해당 정보를 무의미하게 만든다. 단순하고 확장 가능하며, 실제로 효과가 입증된 기술”이라고 덧붙였다.