빠른 손놀림에 강제입력 기능으로 업주 피해
최근 노스욕의 한 회원이 데빗 머신과 관련해 불쾌하기 짝이 없는 사기를 두차례나 당하고 똑같은 피해가 다른 회원들에게 재발되지 않도록 자신의 경험을 소개해달라고 당부해왔다. 사연인 즉 동양계의 한 손님이 물건을 사고 신용카드로 결제를 했는데 이를 자신이 다 부담하게 생겼다는 것이다. 두차례에 걸친 피해는 대략 200달러 전후의 액수였다.
당하고 난 뒤에 상황을 되짚어 본 바에 의하면 신용카드 결제 시 빠른 손놀림으로 머신마다 부여된 비밀번호와 force transaction(강제입력)기능을 누르고 쇼핑금액, 카드번호등을 입력해서 결국 손님의 카드 외상값을 업소 주인이 뒤집어 쓰게 되는 과정이다.
데빗머신도 종류가 다양하며 수동의 입력 방식은 force transaction 혹은 manual entry기능이 있다. 신용카드 결제가 정상적으로 이루어지면 전통적인 훑는 방식(swipe)이든 칩방식이든(insert) 최근 유행하는 갖다대는(tap, wave)방식이든 단말기와 접속후 영수증에approved라고 나온다. 이 경우에 주인은 안심해도 된다.
그런데 카드가지고 사기치는 자들은 결제 시 잠시 눈을 피해주는 짧은 시간에 놀라울 정도의 빠른 손동작으로 카드를 꽂은 것처럼 시늉만 해놓고 강제기능을 누르고 여타 정보들을 순식간에 입력하고 OK키로 마무리하면 정상 거래가 이루어지게 된다. 그러나 주인은 사기꾼이 쇼핑한 금액만큼 고스란히 카드회사에 돈을 물어야 한다. 이는 전문용어로 차지백(chargeback)이라고 하는데 카드발급사나 카드 소지자가 특정 결제에 대해 이의제기를 하고 지불거절을 하는 상황을 일컫는다. 즉, 카드 소지자(사기꾼)가 그런 거래를 한 사실이 없다고 하면 카드발급 은행은 이를 근거로 주인에게 일종의 구상권(求償權)을 발동하는 것이다.
피해는 이뿐이 아니다. 사기꾼의 쇼핑 결제액 부담이외에도 은행이 이같은 구상권 발동 절차에 대한 수수료까지 물리는 경우가 있다. 이 금액이 적게는 20달러에서 많게는 100달러 수준이라고 하니 피해가 이중이다.
피해 실태 설명은 이쯤하고 사전 예방책을 알아본다. 제일 먼저 해야 할 일은 머신 고유 비밀번호 설정이다. 보통 제조사에서 카드결제기를 생산 출시할 때 초기설정 비밀번호(default password)가 부여된다. 그러면 이를 카드 프로세싱 서비스 회사에서 업소에 기기 공급시 다른 비밀번호로 변경해준다. 보안을 강화하기 위함이다. 여기서 간혹 서비스 회사 실수로 초기설정 비밀번호를 변경해주지 않는 경우도 있는데 주인이 이를 회사측에 확인할 필요가 있다.
다음 단계로는 수동 입력기능(force transaction, manual entry)을 봉쇄(block)하는 것이다.이는 서비스 회사에 부탁하면 된다. 사기꾼이 아무리 빠른 손놀림을 하더라도 강제 입력 기능 자체가 막혀 있으면 사기는 원천적으로 불가능하다. 여기서 앞의 머신 비밀번호가 사기꾼에게 노출돼 있다면 봉쇄된 강제 입력 기능을 다시 활성화할 수 있다고 한다. 따라서 머신 비밀번호의 보안에도 신경을 써야 한다.
또하나의 요령은 손님이 카드 결제할 때 10초가 넘어가도록 꼼지락거리면 수상한 것으로 판단하고 사용 중단을 시킨다. 불과 몇초에 이뤄질 과정이 시간을 끌면 사기 가능성이 높다. 전화선의 경우는 시간이 더 걸릴 수 있지만 그래봐야 10초 전후인데 이 경우 20초를 넘어가면 마찬가지로 완곡히 사용중단을 시켜 야 한다.
