What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

이 가맹점 결제 QR은 안전한가?

식당 테이블, 주차 미터기, 시장 가판대의 QR은 거의 항상 EMVCo의 TLV 형식으로 작동합니다. 가맹점 이름, 도시, 국가, 통화, 선택적 금액, CRC-16 체크섬이 담겨 있으며 페이로드가 변조되면 체크섬이 실패합니다. 진짜 가맹점 QR 위에 공격자의 QR을 붙이는 스티커 교체 공격은 전 세계에서 가장 흔한 QR 사기입니다. 결제 전에 QR을 디코딩하면 실제로 누구에게 지불하는지 확인할 수 있습니다.

가맹점 QR 스캔 → 모든 표준 →

형식은 무엇인가

표준은 EMVCo QR 코드 사양으로, 칩앤핀 카드를 정의한 EMVCo 컨소시엄이 발행합니다. 대부분의 형식을 공유하는 두 가지 방식이 있습니다:

MPM(가맹점 제시 방식) — 가맹점이 QR을 표시하면 스캔하고 결제합니다. 식당, 시장 가판대, 주차 미터기에서 볼 수 있습니다.
CPM(소비자 제시 방식) — 지갑이 QR을 표시하면 가맹점이 스캔합니다. 덜 일반적이며, 일부 유인 계산대와 대중교통 개찰구에서 사용됩니다.

거의 모든 국가의 즉시 결제 방식은 몇 가지 국가별 태그를 추가하여 EMVCo MPM 위에 구축됩니다:

Pix(브라질) — 거래량 기준 세계 최대
UPI(인도) — 사용자 수 기준 세계 최대
PromptPay(태국) · PayNow(싱가포르) · DuitNow(말레이시아) · QRIS(인도네시아)
Bizum(스페인) · Swish(스웨덴) · BLIK(폴란드) · MB WAY(포르투갈)
Wero(EU 다국가)를 포함한 수십 가지 더 — 분석기 카탈로그에 54개국

형식은 태그-길이-값 텍스트로 암호화가 없으며 모든 QR 스캐너로 디코딩할 수 있습니다. 가맹점 신원이 일반 텍스트로 인코딩되어 지갑 앱에 표시됩니다.

가맹점 결제 QR의 구조

모든 EMVCo 페이로드는 000201(페이로드 형식 표시자)로 시작합니다. 이후는 두 자리 태그, 두 자리 길이, 해당 길이의 값이 반복되는 TLV 레코드 시퀀스입니다.

태그 01, 개시 포인트

11 = 정적 QR(재사용 가능, 금액을 직접 입력).
12 = 동적 QR(일회용, 가맹점 POS에서 금액이 미리 입력됨).

태그 26-51, 가맹점 계좌 정보

국가별 수취인 식별자. Pix 키(CPF / CNPJ / 이메일 / 전화 / EVP UUID), UPI 가상 결제 주소, PromptPay 전화 또는 주민 ID 등.

태그 52, 가맹점 카테고리 코드(MCC)

ISO 18245 4자리 카테고리. 5812 = 식당, 5411 = 식료품점, 7011 = 숙박, 5541 = 주유소 등.

태그 53, 통화

ISO 4217 숫자 코드. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL(브라질 헤알), 356 = INR(인도 루피).

태그 54, 금액

선택 항목. 동적 QR에 존재(가맹점이 미리 입력), 정적 QR에는 없음(직접 입력).

태그 55-57, 팁/편의 요금

선택 항목. 55는 팁 안내 표시 여부를 나타내며, 56/57은 고정 금액 또는 비율 편의 요금을 전달합니다.

태그 58, 국가

ISO 3166-1 알파-2 국가 코드. 결제 앱이 국경 간 이체를 지원하는 경우 유용합니다.

태그 59, 가맹점 이름

최대 25자. 지갑 앱이 "___에게 결제"로 표시하는 필드입니다. 가맹점이 여기에 무엇을 넣을지 완전히 제어합니다. 스티커 교체를 만드는 공격자는 원하는 문자열을 넣습니다.

태그 60, 가맹점 도시

최대 15자. 가맹점이 위치한 곳.

태그 61, 우편번호

선택 항목이지만 사기 탐지에 유용합니다: 도시와 우편번호가 일치하지 않는 미국 가맹점은 이상 징후입니다.

태그 62, 추가 데이터 필드

하위 TLV. 내부: 청구서 번호, 휴대폰 번호, 매장 레이블, 포인트 번호, 참조 레이블, 고객 레이블, 단말기 레이블, 거래 목적.

태그 63, CRC 체크섬

이전 모든 내용(CRC TLV 자체의 "6304" 헤더 포함)에 대한 CRC-16/CCITT-FALSE. 일치하지 않으면 QR이 변조되었거나 손상된 것입니다.

스티커 교체 공격 — 전 세계 QR 사기 1위

수법은 놀랍도록 단순합니다:

공격자가 자신의 결제 계좌를 가리키는 QR을 인쇄합니다.
인쇄된 QR을 스티커에 붙이거나(또는 접착 용지에 직접 인쇄) 준비합니다.
시장, 식당가, 주차 미터기 구역을 돌아다니며 합법적인 가맹점 QR 위에 교체 QR 스티커를 붙입니다.
스캔하는 모든 고객이 공격자에게 결제합니다.

가맹점은 그날 수익이 줄어든 것을 보기 전까지 모릅니다. 고객은 지갑이 "결제 완료"라고 표시하기 때문에 모릅니다. 공격자는 태그 59에 가맹점의 실제 이름을 넣을 수 있습니다. 또는 비슷하게("Joe's Pizz4", "Joe's Pizzeria 2") — 바쁜 고객이 눈치채기 어려운 미묘한 차이를 줍니다.

모바일 결제가 보편화된 모든 국가에서 사기가 문서화되었습니다: 브라질(주차 미터기에서 Pix 스티커 교체), 인도(주유소에서 UPI 스티커 교체), 중국(매장 유리창에서 위챗페이 스티커 교체), 싱가포르(호커 센터에서 PayNow), 영국(기부함 QR 교체), 미국(오스틴, 샌프란시스코, LA 주차 미터기).

결제 전 QR 확인 방법

스캐너가 표시하는 내용:

가맹점 이름 + 도시 + 국가 — 실제로 서 있는 매장과 일치하나요? 주의 깊게 읽으세요. 스티커 교체 사기는 유사한 이름을 사용합니다.
통화 + 금액 — QR의 금액이 청구서와 일치하나요?
정적 대 동적 — 정적이면 지갑이 금액 입력을 요청합니다. 동적이면 금액이 고정됩니다.
MCC 카테고리 — 가맹점 카테고리 코드가 판매 품목과 일치하나요? MCC 7995(도박)의 식당 QR은 의심스럽습니다.
국가별 방식 — Pix, UPI, PromptPay 등이 국가 태그에서 인식됩니다.
CRC 검증 결과 — 유효하지 않으면 QR이 변조되었거나 손상된 것입니다. 결제하지 마세요.
수취인 계좌 정보 — Pix 키, UPI VPA, PromptPay ID 등 돈이 라우팅될 정보. 이전에 이 가맹점에 결제한 적이 있다면 일치하나요?

스캔 전 확인할 물리적 단서:

스티커 모서리가 들뜨고 있나요? 최근에 추가된 것으로 공격자가 붙였을 수 있습니다.
스티커가 다른 스티커 위에 붙어 있나요? 교체 가능성이 있습니다.
가맹점의 인쇄된 QR 위에 테이프로 붙인 값싼 종이에 QR이 인쇄되어 있나요? 거의 확실히 사기입니다.
가맹점이 자주 확인하지 않는 위치에 QR이 붙어 있나요(주차 미터기 뒤, 카운터 뒤)? 교체 위험이 더 높습니다.

식별하는 국가별 방식

분석기는 국가 태그를 인식하고 해당하는 경우 현지 방식 이름으로 판정 결과를 표시합니다. 현재 54개국을 지원하며 모든 주요 즉시 결제 시스템이 포함됩니다. 방식별 세부 정보가 포함된 전체 목록은 표준 허브를 참조하세요.

결제 전에 스캔하기

QR을 스캐너에 올려보세요. 판정 결과는 가맹점, 도시, 국가, 금액, CRC 체크섬 유효 여부를 보여줍니다. 몇 초면 됩니다. 저녁 식사비나 한 달치 주차 비용을 절약할 수 있습니다.

스캐너 열기 →