지금 당장 체크카드를 교체해야 하는 이유

은행에서는 절대 해주지 않을 조언이 하나 있습니다. 그들이 몰라서가 아닙니다 — 그들의 보안 팀은 분명히 알고 있습니다 — 다만, 모든 것이 괜찮다고 사람들을 안심시켜야 하는 비즈니스를 하는 입장에서 그 말을 입 밖으로 내뱉는 것이 불편하기 때문입니다.

그래서 제가 대신 말하겠습니다. 만약 당신의 체크카드 (debit card)가 발행된 지 몇 년이 지났고, 규모가 작은 웹사이트들에서 사용해 왔다면, 지금 교체해야 합니다. 나중에가 아니라, 지금 당장 말입니다.

그 이유는 다음과 같습니다.

무언가가 방금 변했습니다

2026년 4월, Claude 모델 제품군의 개발사인 AI 기업 Anthropic은 중대한 사항을 조용히 발표했습니다. 그들의 최신 모델인 Claude Mythos Preview는 모든 주요 운영 체제 (operating system)와 모든 주요 웹 브라우저 (web browser) 전반에 걸쳐 이전에 알려지지 않았던 수천 개의 보안 취약점 (security vulnerabilities)을 찾아내는 데 내부적으로 사용되었습니다. 이러한 버그 중 상당수는 수십 년 동안 감지되지 않은 채 남아 있었습니다. 그중 하나는 27년이나 된 것이었습니다.

이는 주목할 만한 일이지만, 당신에게 가장 중요한 부분은 아닙니다.

중요한 것은 이것입니다: 해당 모델은 단순히 취약점을 찾아내는 데 그치지 않았습니다. 작동하는 익스플로잇 코드 (exploit code)를 작성했습니다. 그것도 자율적으로 말이죠. 첫 번째 시도에서 83% 이상의 확률로 성공했습니다. 또한 이 모델은 폐쇄형 소프트웨어 (closed-source software)에 대해서도 동일한 작업을 수행할 수 있습니다. 소스 코드를 사용할 수 없는 컴파일된 바이너리 (compiled binary)를 가져와 역공학 (reverse-engineering)을 수행하고, 그 구멍을 찾아내는 것입니다.

이것은 단순한 연구적 호기심이 아닙니다. 누가 무엇을, 어떤 비용으로 공격할 수 있는지에 대한 근본적인 변화를 의미합니다.

당신을 비교적 안전하게 지켜주었던 가정

인터넷 상업 역사의 대부분 동안, 사이버 범죄의 세계에서는 암묵적인 우선순위 분류 (triage)가 이루어지고 있었습니다. 정교한 공격 — 즉, 모호한 소프트웨어의 미세한 취약점을 악용할 수 있는 종류의 공격 — 은 상당한 기술과 시간을 필요로 했습니다. 이는 공격자들이 대형 소매업체, 결제 처리 기관 (payment processors), 은행과 같은 고가치 타겟 (high-value targets)에 집중했음을 의미합니다.

구버전의 WooCommerce를 실행 중인 작은 온라인 쇼핑몰이나, 5년 전에 Node.js로 구축된 이후 거의 손대지 않은 지역 비즈니스의 맞춤형 결제창(custom checkout) 같은 곳들은 공격자 입장에서 공을 들일 가치가 없었습니다. 그곳들이 보안이 철저했기 때문이 아니라, 그들을 공략하는 데 드는 숙련된 공격자의 시간이 기대 수익보다 더 컸기 때문입니다.

하지만 이제 그 제약 조건이 사실상 사라졌습니다.

타겟팅의 경제성이 붕괴되었습니다. 이전에는 숙련된 보안 연구원(security researcher)이 며칠 동안 매달려야 했던 작업이, 이제는 AI 모델이 단 몇 분 만에 수행할 수 있으며 시도당 비용도 1페니의 아주 작은 일부에 불과합니다. 수많은 소규모 사이트들—집단적으로 엄청난 양의 카드 데이터를 보유하고 있는 수천 개의 사이트들—을 대상으로 하는 대규모 자동 스캐닝(automated scanning)과 공격(exploitation)이 이제 산업적 규모로 실행 가능해졌습니다.

이것이 귀하의 체크카드에 구체적으로 의미하는 바

귀하가 규모가 작은 웹사이트에서 체크카드를 사용할 때마다, 귀하는 해당 사이트의 보안을 신뢰한 것입니다. 그중 일부 사이트는 괜찮았을 것입니다. 일부는 패치되지 않은 알려진 취약점(known vulnerabilities)이 있는 소프트웨어를 실행 중이었을 것입니다. 어떤 사이트들은 자신들도 모른 채, 혹은 뉴스에 보도되지도 않은 채 조용히 침해되었을 수도 있습니다.

그러한 거래에서 발생한 귀하의 카드 정보는 이미 있어서는 안 될 어딘가에 존재하고 있을지도 모릅니다. 귀하는 이를 알 방법이 없습니다.

귀하의 지갑 속에 있는 4년 된 체크카드에는 그 4년 동안의 기록이 담겨 있습니다.

그리고 체크카드는 신용카드가 갖지 못한 특정한 위험을 안고 있습니다. 바로 사기 피해가 귀하의 실제 은행 잔고에 직접적인 타격을 준다는 점입니다. 귀하는 일상이 정상적으로 유지되는 동안 빌린 돈에 대한 청구 금액을 이의 제기(disputing)하는 것이 아닙니다. 이의 제기 절차가 해결되는 동안—그리고 이의 제기에는 시간이 걸립니다—귀하는 실제 자금이 부족해지는 상황에 처할 수 있습니다.

실질적인 대응책

이 모든 것이 편집증(paranoia)을 요구하는 것은 아닙니다. 그저 습관을 조금 수정할 것을 요구할 뿐입니다.

카드를 교체하십시오. 은행에 전화하여 교체를 요청하십시오. 비용은 무료이며 며칠 정도 걸리지만, 이전에 수집된 카드 번호가 악용될 수 있는 창구를 닫아줍니다. 이전 거래를 통해 유출되어 떠돌고 있는 정보들은 무엇이든 쓸모없게 됩니다.

가능한 경우 온라인 결제 시 Apple Pay 또는 Google Pay로 전환하세요. 이러한 서비스를 통해 결제하면 가맹점은 실제 카드 번호가 아닌 일회용 토큰 (one-time token)을 받게 됩니다. 훔쳐가더라도 재사용할 수 있는 것이 없습니다. 이것은 대부분의 사람들이 실천할 수 있는 가장 효과적인 변화입니다.

디지털 지갑을 지원하지 않는 간헐적인 사이트의 경우, Revolut의 일회용 카드 (disposable card)와 같이 한도가 낮은 선불 카드 (prepaid card)나 가상 카드 (virtual card)를 희생적인 계층 (sacrificial layer)으로 사용하는 것을 고려해 보세요. 당신의 실제 카드는 노출되지 않은 채 유지됩니다.

가능하다면 온라인 지출을 체크카드 (debit card) 대신 신용카드 (credit card)로 옮기세요. 소비자 보호 수준은 동일하지만, 신용카드 사기 (fraud)는 분쟁 해결 절차가 시스템을 통해 진행되는 동안 당신의 은행 계좌 잔고를 바닥내지 않습니다.

haveibeenpwned.com을 확인하세요 — 이메일 주소를 입력하면 귀하의 정보가 어떤 알려진 데이터 유출 (data breach) 사고에 포함되었는지 알려줍니다. 모든 것을 알려주지는 않겠지만, 불확실성 대신 사실에 기반한 기준점을 제공합니다.

은행이 이 사실을 말해주지 않는 이유

부분적으로는 제도적 지연 (institutional lag) 때문입니다. 이러한 변화는 최근의 일이며 은행의 고객 통지는 느리게 움직입니다. 또한, 이 조언은 은행의 가맹점 생태계에 문제가 있음을 암시하는데, 그 가맹점들 역시 은행의 고객이기 때문에 이를 말하는 것은 불편한 일입니다. 그리고 부분적으로는, 은행의 관점에서 Apple Pay를 사용하라고 말하는 것은 경쟁사의 제품을 보증하는 것이기 때문입니다.

그들의 사기 방지 팀 (fraud teams)은 환경이 변했다는 것을 알고 있습니다. 하지만 그 인식이 당신의 온라인 뱅킹 앱에 있는 안내문까지는 아직 도달하지 못했습니다.

여기서 드리는 조언은 주류 소비자 지침이 결국 따라잡게 될 내용보다 약 12개월에서 18개월 앞서 있습니다. 지금 이 조언에 따라 행동하는 것은 은행에 전화하는 몇 분의 시간 외에는 아무런 비용도 들지 않습니다.

그것은 합리적인 거래로 보입니다.