[그린스보로, N.C.=김선엽 기자] 최근 미국 내 온라인 쇼핑 사기가 급증하면서 한인 가정들도 잇따라 피해를 호소하고 있다. 최근에는 단순 카드 도용을 넘어 신용정보 탈취와 금융계좌 장악(Account Takeover)으로까지 이어지는 사례가 늘어나며 각별한 주의가 요구된다.
노스캐롤라이나에 거주하는 한 한인 가정은 최근 자녀가 원한 장난감 ‘니도우(NeeDoh)’ 제품을 온라인에서 주문하는 과정에서 가짜 쇼핑몰에 접속했다가 가족 명의 카드 정보가 대거 유출되는 피해를 입었다고 밝혔다.
피해 가족에 따르면 결제 직후 텍사스 지역에서 승인되지 않은 카드 사용 시도가 발생했고, 은행 측이 이를 차단하면서 일부 거래는 취소됐다. 그러나 이후에도 핀테크·대출·트레이딩 관련 서비스 가입 메일이 연이어 도착했고, 데빗카드에서는 수차례 승인 및 취소 거래가 반복된 것으로 나타났다.
전문가들은 이러한 수법이 최근 미국에서 급증 중인 ‘가짜 전자상거래(Fake Ecommerce)’ 범죄의 전형적인 패턴이라고 설명한다. 범죄 조직은 SNS 광고나 검색엔진을 통해 소비자를 유인한 뒤 카드정보와 개인정보를 확보하고, 이를 금융사기 조직에 판매하는 방식으로 범행을 이어간다.
특히 최근에는 단순 카드 도용을 넘어 신원도용(Identity Theft), 금융계좌 탈취(Account Takeover), 합성신원사기(Synthetic Identity Fraud), 휴대전화 번호 탈취(SIM Swap) 등 복합 범죄로 확대되는 사례가 급증하고 있다. 범죄 조직은 유출된 카드 정보를 이용해 핀테크 앱, 온라인 대출 서비스, 암호화폐 거래소, 트레이딩 플랫폼 등에서 반복적인 승인 테스트를 시도한 뒤 추가 범행에 활용하는 것으로 알려졌다.
피해자들이 흔히 경험하는 ‘돈이 빠져나갔다가 다시 들어오는 현상’은 범죄 조직이 카드 유효성을 확인하는 ‘카드 인증 테스트(Card Verification Attack)’ 수법일 가능성이 높다는 분석도 나온다.
미 연방거래위원회(FTC)에 따르면 2025년 미국 내 사기 피해 신고는 사상 최고 수준을 기록했으며, 신분사칭(Impersonation Scam) 관련 피해액만 35억 달러를 넘어섰다. FBI 역시 최근 발표한 인터넷 범죄 보고서를 통해 온라인 금융사기 피해 규모가 최대 210억 달러에 달한다고 밝혔다.
전문가들은 특히 데빗카드 사용에 각별한 주의를 당부하고 있다. 데빗카드는 은행 잔고와 직접 연결돼 피해 발생 시 돈이 즉시 빠져나가고 환불까지 장기간 소요될 수 있는 반면, 신용카드는 상대적으로 소비자 보호 장치가 강하기 때문이다.
이에 따라 온라인 결제 시에는 Apple Pay·Google Pay·PayPal과 같은 중간 결제 시스템이나 ‘가상 카드번호(Virtual Card)’ 사용이 권장된다. 가상 카드번호는 실제 카드번호 대신 일회성 또는 한도 제한 번호를 생성해 사용하는 방식으로, 카드 정보가 유출되더라도 실제 계좌 피해를 줄일 수 있다.
전문가들은 또 “지나치게 저렴한 가격”을 내세우는 쇼핑몰에 대한 경계를 강조한다. 최근 적발된 가짜 쇼핑몰 상당수는 SNS 광고를 통해 접근하며, 유아용품·장난감·전자제품·K-뷰티 제품 등을 집중적으로 사칭하는 것으로 나타났다. 회사 주소나 고객센터 정보가 없거나 도메인 생성 시점이 최근인 사이트는 특히 주의가 필요하다는 설명이다.
최근에는 AI 기술을 활용한 피싱과 금융기관 사칭 범죄도 빠르게 증가하고 있다. 범죄 조직은 AI를 이용해 가짜 리뷰, 가짜 고객센터, 은행 직원 음성 사칭까지 제작하고 있으며, 문자 메시지와 이메일을 통한 피싱 공격도 한층 정교해지고 있다.
전문가들은 피해 예방을 위해 ▲모든 금융계정 비밀번호 변경 ▲이메일 2단계 인증(MFA) 설정 ▲휴대전화 SIM Swap 차단 요청 ▲은행 거래 실시간 알림 설정 ▲신용동결(Credit Freeze) 조치 등을 권고하고 있다.
특히 신용동결은 SSN(사회보장번호)이 유출됐을 가능성에 대비해 가장 중요한 조치 중 하나로 꼽힌다. 신용동결을 설정하면 타인이 피해자 명의로 신용카드·자동차 할부·대출·휴대전화 개통 등을 시도하는 것을 막을 수 있다.
FTC는 IdentityTheft.gov와 ReportFraud.ftc.gov를 통해 피해 신고를 받고 있으며, FBI 인터넷범죄신고센터(IC3) 역시 온라인 금융사기 피해 접수를 진행하고 있다.
전문가들은 “한 번 유출된 개인정보는 다크웹 등 범죄 네트워크에서 장기간 재판매되는 경우가 많다”며 “피해 발생 직후뿐 아니라 이후 수개월 이상 지속적인 계정 모니터링과 신용관리도 필요하다”고 강조했다.
