온라인 결제가 국경을 넘나드는 일이 일상이 되면서, 결제사기 역시 특정 국가에 머물지 않고 전 세계를 무대로 움직이고 있다. 한 나라에서 유출된 카드 정보가 다른 대륙의 가맹점에서 결제되고, 그 자금이 또 다른 지역의 계좌로 흘러 들어가는 구조는 이제 특별한 사례가 아니다. 이런 흐름 속에서 각국 규제당국과 카드사, 핀테크 업체들이 공통적으로 주목하는 방어선이 바로 다중인증(MFA, Multi-Factor Authentication)이다. 비밀번호 하나에만 의존하던 결제 인증 방식이 왜 한계에 부딪혔는지, 그리고 그 대안이 어떻게 제도화되고 있는지 살펴볼 필요가 있다.

A wide-angle view of a modern global payments data center corridor with rows of servers, cool blue lighting, no visible writing or sign, clean and cinematic atmosphere conveying international financial infrastructure

핵심은 단순하다. 카드 번호와 비밀번호 같은 '아는 정보(knowledge)'만으로는 도난·유출된 자격증명을 걸러낼 방법이 없다는 점이다. 대규모 정보 유출 사고가 반복되면서 유효한 카드 정보가 암시장에 대량으로 유통되고 있고, 이를 이용한 부정 결제는 정상 거래와 구분하기 어렵다. 다중인증은 여기에 '가진 것(휴대폰·인증기기)'과 '고유한 것(생체정보)'이라는 별도의 요소를 결합해, 비밀번호가 뚫려도 한 겹의 방어선이 더 남도록 설계된 방식이다. 최근 몇 년간 국제적으로 부정사용 규모가 눈에 띄게 늘어난 것으로 알려지면서, 인증을 강화하려는 압력은 규제 영역으로까지 번졌다.

대응 방식은 지역마다 온도차가 뚜렷하다. 유럽연합은 이미 결제서비스지침(PSD2) 아래 '강력한 고객 인증(SCA)'을 의무화해, 일정 금액 이상의 온라인 결제에는 원칙적으로 두 가지 이상의 인증 요소를 요구하고 있다. 규제가 앞서간 만큼 초기에는 결제 이탈률이 높아진다는 가맹점들의 불만도 있었지만, 부정거래 억제 측면에서는 효과가 있었다는 평가가 이어지는 것으로 알려졌다. 반면 미국은 연방 차원의 단일 의무 규정보다는 카드 네트워크와 각 금융기관의 자율적 위험기반 인증에 무게를 둬 왔다. 그만큼 도입 속도와 강도가 사업자별로 제각각이라는 지적도 있다. 아시아권은 국가별 편차가 더 크다. 모바일 결제가 일찍 자리 잡은 일부 시장은 생체인증을 결제 흐름에 자연스럽게 녹여낸 반면, 인프라 정비가 진행 중인 지역에서는 문자메시지(SMS) 기반 일회용 비밀번호 수준에 머무는 경우도 적지 않다.

한국 소비자와 사업자에게도 이 흐름은 남의 이야기가 아니다. 해외 직구, 구독 서비스, 국경 간 송금 등 국제 결제 접점이 넓어질수록, 국내에서만 통하던 인증 방식이 해외 가맹점의 SCA 요구와 맞부딪히는 상황이 잦아진다. 유럽 소재 온라인 상점에서 결제가 추가 인증 단계에서 막히거나, 반대로 인증이 느슨한 채널을 노린 부정 결제에 노출될 위험도 함께 커진다. 법적·기술적 관점에서 보면, 소비자 입장에서는 SMS 인증보다 앱 기반 인증이나 생체인증처럼 가로채기 어려운 방식을 우선 쓰는 편이 안전하고, 사업자 입장에서는 결제 이탈을 줄이면서도 규제 요구를 충족하는 위험기반 인증 설계가 과제로 남는다. 개인적으로는, 편의성을 이유로 인증 단계를 최소화하려는 관성이 결국 더 큰 비용으로 돌아온다고 본다.

다만 다중인증이 만능은 아니라는 점도 분명히 해둘 필요가 있다. SMS 인증은 유심 스와핑이나 피싱으로 우회될 수 있고, 정교한 실시간 피싱은 인증 코드 자체를 가로채기도 한다. 인증 강화가 오히려 고령층이나 디지털 취약계층의 결제 접근성을 떨어뜨린다는 우려도 계속 제기되는 상황이다. 각국 규제가 어느 수준으로 수렴할지, 생체인증과 기기 기반 인증이 SMS를 어느 정도 대체할지는 아직 유동적이다. 통계 수치나 규제 세부 내용은 시점에 따라 달라질 수 있으므로 최신 정보를 별도로 확인하는 것이 바람직하다. 확실한 것은, 인증을 한 겹으로 두던 시대가 저물고 있다는 방향성뿐이다.

자주 묻는 질문(FAQ)

다중인증(MFA)과 이중인증(2FA)은 어떻게 다른가요?

이중인증은 인증 요소를 두 가지 사용하는 것을 말하고, 다중인증은 두 가지 이상의 요소를 결합하는 더 넓은 개념입니다. 실무에서는 비밀번호(아는 것), 휴대폰·인증기기(가진 것), 지문·얼굴 같은 생체정보(고유한 것) 중 서로 다른 범주를 조합하는 방식을 가리킵니다.

SMS 문자 인증만으로도 충분히 안전한가요?

SMS 인증은 없는 것보다 낫지만 완전하지 않습니다. 유심 스와핑이나 실시간 피싱으로 인증 코드가 가로채일 수 있기 때문입니다. 앱 기반 인증기나 생체인증처럼 탈취가 더 어려운 방식을 우선 사용하는 것이 권장됩니다.

유럽 사이트에서 결제할 때 추가 인증을 요구받는 이유는 무엇인가요?

유럽연합의 결제서비스지침(PSD2)에 따른 강력한 고객 인증(SCA) 규정 때문입니다. 일정 금액 이상의 온라인 결제에 두 가지 이상의 인증 요소를 요구하도록 하고 있어, 국내 카드로 결제할 때도 추가 인증 단계를 거치게 되는 경우가 있습니다.

한국 소비자가 국제 결제사기를 줄이려면 무엇을 할 수 있나요?

카드사·결제 앱에서 제공하는 다중인증 기능을 켜두고, 가능하면 SMS보다 앱·생체인증을 사용하는 것이 좋습니다. 또한 출처가 불분명한 결제 링크를 누르지 않고, 결제 알림을 실시간으로 받도록 설정해 이상 거래를 빠르게 확인하는 것이 도움이 됩니다.