Stripe의 'Friendly Fraud' 정책, 결제 시스템의 어두운 그림자

결제는 끝났는데, 돈이 다시 빠져나간다

온라인 서비스 운영해본 분이라면 한 번쯤 겪어봤거나, 적어도 들어본 이야기일 거예요. 분명히 결제가 정상적으로 완료됐고, 사용자가 서비스도 잘 썼는데, 몇 주 뒤에 갑자기 "이 결제 모른다"는 차지백(chargeback) 요청이 들어와서 돈이 빠져나가는 상황요. 이번에 화제가 된 글은 Stripe가 이런 'friendly fraud(친절한 사기)'에 너무 관대하다는 가맹점 측의 불만을 다루고 있어요.

'Friendly fraud'라는 이름이 좀 아이러니한데, 이게 뭐냐면 실제 카드 소유자가 정상적으로 결제하고 서비스를 받은 뒤에, 카드사에 '나 이거 안 썼는데?'라고 신고해서 돈을 돌려받는 행위예요. 도난 카드로 결제한 진짜 사기(true fraud)와 달리, 카드 주인이 직접 하는 거라 가맹점 입장에선 굉장히 억울하죠.

차지백 메커니즘, 왜 가맹점이 불리할까

신용카드 시스템은 기본적으로 소비자 보호에 무게중심이 쏠려 있어요. 1974년 미국의 Fair Credit Billing Act 이후로 카드 소유자가 "이 결제 인정 못 한다"고 하면, 일단 카드사가 가맹점에서 돈을 회수한 다음에 가맹점이 증거를 제출해서 "진짜 거래 맞다"고 입증해야 해요. 입증 책임이 가맹점에 있는 거죠.

과정을 좀 더 자세히 보면 이래요. 사용자가 카드사에 분쟁을 제기하면, 카드사는 가맹점의 PSP(결제 대행사, 여기선 Stripe)에 차지백을 통보해요. PSP는 가맹점에 알리고, 가맹점은 정해진 기간 안에 증빙 자료를 제출해야 해요. 배송 증명, IP 로그, 로그인 기록, 사용자가 동의한 약관, 서비스 사용 로그 같은 것들이죠. 이걸 카드사가 검토해서 가맹점 손을 들어주면 돈을 돌려받고, 아니면 그냥 잃어요. 게다가 차지백 자체에 수수료(보통 $15~25)가 붙어요. 이겨도 손해, 지면 더 큰 손해예요.

Stripe가 비판받는 지점

원글에서 지적하는 핵심은 두 가지예요. 첫째, Stripe의 자동 분쟁 응답(dispute response) 시스템이 너무 빈약해서 디지털 상품(SaaS, 구독, 디지털 다운로드 등)의 경우 가맹점이 이길 확률이 낮다는 거예요. 둘째, 명백히 사기성으로 보이는 패턴(같은 사용자가 반복적으로 차지백을 거는 등)에도 Stripe가 적극적으로 개입해주지 않는다는 거고요.

사실 이건 Stripe만의 문제는 아니에요. 차지백 분쟁의 승률은 업계 평균 30~40% 수준이고, 디지털 상품은 더 낮아요. 물리적 배송이 없으니 "받았다는 증거"를 대기가 어렵거든요. 카드 네트워크(Visa, Mastercard)의 규칙 자체가 소비자에게 유리하게 설계되어 있어서, PSP가 할 수 있는 일에도 한계가 있어요.

다만 가맹점이 답답해하는 건, Stripe가 자체적으로 가지고 있는 풍부한 데이터(사용자 행동, IP, 디바이스 핑거프린트, 다른 가맹점에서의 결제 이력)를 활용해서 더 강력한 증거 패키지를 자동으로 만들어줄 수 있을 것 같은데, 그 노력이 부족해 보인다는 점이에요. Stripe는 Radar라는 사기 방지 도구를 팔고 있지만, 이게 '결제 전 차단'에는 효과적이어도 '결제 후 차지백 방어'에는 한계가 있다는 평가가 많아요.

다른 PSP들과 비교하면

PayPal은 자체적인 '판매자 보호 프로그램(Seller Protection)'을 운영하면서, 일정 조건(배송 증명, 적격 거래 등)을 충족하면 차지백 손실을 PayPal이 일부 부담해줘요. Adyen은 기업 고객 중심이라 차지백 대응 컨설팅을 직접 제공하고, Braintree는 PayPal의 자회사라 비슷한 보호를 제공해요. Chargebee, Recurly 같은 구독 관리 플랫폼은 PSP는 아니지만 차지백 워크플로우 자동화로 차별화하고 있어요.

그리고 Chargeback911, Midigator, Justt 같은 차지백 전문 대응 서비스도 떠오르고 있어요. 이들은 AI로 증거 패키지를 자동 생성하고, 분쟁 응답을 외주처럼 받아서 처리해줘요. 디지털 상품 사업자들에게는 점점 필수가 되어가는 추세예요.

한국 개발자에게 주는 시사점

한국 내 거래는 보통 PG사(이니시스, 토스페이먼츠, KG모빌리언스 등)를 통하고, 차지백보다는 결제 취소나 청약 철회 같은 한국 특유의 절차가 더 흔해요. 하지만 글로벌 서비스를 운영한다면 Stripe, PayPal 같은 해외 PSP를 쓸 수밖에 없고, 그러면 차지백은 피할 수 없는 비용이 돼요.

실무에서 챙겨야 할 포인트는 이래요. 첫째, 로그를 꼼꼼히 남기세요. 사용자의 로그인 IP, 디바이스 정보, 약관 동의 시점, 서비스 사용 이력(어떤 기능을 언제 썼는지)을 다 기록해두면 차지백 분쟁 때 결정적인 증거가 돼요. 둘째, 3D Secure(3DS) 인증을 적극 활용하세요. 3DS 2.0을 통과한 결제는 차지백 책임이 카드 발급사로 넘어가기 때문에 가맹점이 보호받아요. 셋째, 반복 사용자의 차지백 이력을 자체적으로 추적해서, 위험 사용자는 사전에 결제를 막거나 추가 인증을 요구하는 룰을 만드세요.

구독 서비스라면 특히 명확한 결제 디스크립터(카드 명세서에 찍히는 가맹점 이름)도 중요해요. 사용자가 명세서에서 "이게 뭐지?" 싶은 이름을 보면 차지백을 누르거든요. 회사명+서비스명을 명확히 표기하는 것만으로도 friendly fraud가 줄어요.

마무리

Stripe가 가맹점 친화적이지 않다는 비판은 결국 결제 인프라의 구조적 비대칭성을 다시 드러내요. 카드 네트워크부터가 소비자 보호로 기울어진 운동장이고, PSP는 그 안에서 움직일 뿐이에요. 여러분의 서비스는 차지백에 얼마나 준비되어 있나요? 매출의 몇 퍼센트를 차지백 손실로 잃고 있는지, 한 번쯤 정확히 측정해본 적 있으신가요?