들어가며: ‘결제 한 번’의 무게
커머스 서비스에서 사용자가 체감하는 실패의 상위권은 늘 배송 지연이나 품절이 아니라 돈이 두 번 빠져나갔다는 경험입니다. PG·간편결제·가상계좌처럼 외부 네트워크와 상태 기계가 얽힌 영역은, 코드 한 줄의 실수가 재무·CS·법적 분쟁으로 확대됩니다. 이 글은 주문에서 결제 승인·캡처·취소·환불까지 이어지는 라이프사이클을 상태 머신과 멱등성(Idempotency) 관점에서 정리하고, 운영 중 실제로 터지는 경계 조건을 짚습니다. 구체적인 PG API 필드명은 제품마다 다르므로, 대신 의미가 같은 상태와 반드시 지켜야 할 불변 조건을 중심으로 설명합니다.
외부 참고로, 쇼핑몰 구축 시 드는 비용·TCO·숨은 비용을 항목별로 나눠 본 글이 있습니다. 파란여우(Bluefox) 블로그의 쇼핑몰 구축 비용 완전 분석은 인프라·운영·마케팅까지 비용을 넓게 보는 데 도움이 됩니다. 본문에서 다루는 PG 수수료·정산 리스크와 연결해 읽으면, ‘결제 모듈’이 전사 비용 구조 안에서 어디에 앉는지 가늠하기 쉽습니다.
결제 상태를 한 줄로 그리기
대부분의 카드 결제는 **인증(Authorization)**과 **매입(Capture)**이 분리됩니다. 인증은 한도를 잠그고, 매입은 실제로 청구를 확정합니다. 부분 취소·전체 취소·환불은 매입 이후 흐름에서 다시 갈라집니다. 설계 문서에는 반드시 다음을 넣어야 합니다: (1) 주문(Order) 상태, (2) 결제 시도(PaymentIntent) 상태, (3) PG 거래(Transaction) 상태, (4) 정산·원장 측 상태. 이 네 층이 1:1로 대응되지 않을 수 있으므로, 어느 층이 소스 오브 트루스인지 팀 합의가 먼저입니다. 예를 들어 PG 웹훅이 ‘캡처 완료’를 알려 왔는데 내부 DB는 아직 ‘결제 대기’라면, 동기화 지연인지 버그인지 구분할 관측 포인트가 필요합니다.
아래는 단순화한 상태 전이 예시입니다(실제 필드명은 PG/SDK에 따름).
[결제요청] → 인증성공 → 캡처대기 → 캡처완료 → (부분취소)* → 종료
↘ 인증실패 → 종료
↘ 캡처실패 → 재시도/수동대응
여기서 같은 화살표를 두 번 밟지 않도록 만드는 장치가 멱등성입니다. 예를 들어 ‘캡처’ API를 네트워크 타임아웃 때문에 두 번 호출했을 때, PG가 같은 결과를 돌려주거나, 두 번째 호출을 거부하되 내부 원장에는 한 번만 반영되어야 합니다.
멱등성 키는 무엇을 식별하는가
HTTP 수준에서는 Idempotency-Key 헤더 패턴이 널리 쓰입니다. 키의 스코프는 보통 한 번의 의도 있는 부작용입니다. 커머스에서는 다음처럼 쪼개는 편이 안전합니다.
| 의도 단위 | 키에 넣을 정보(예시) | 비고 |
|---|---|---|
| 결제 승인/캡처 1회 | orderId + paymentAttemptId + intentVersion | 시도마다 새 ID |
| 배송지 변경 | orderId + addressChangeSeq | 주문 잠금과 함께 |
| 부분 환불 1건 | orderId + refundLineItemGroupId | 금액·품목 묶음 단위 |
키를 순수 UUID만 쓸지, 비즈니스 ID + 버전을 섞을지는 팀 규칙 문제입니다. UUID만 쓰면 충돌은 줄지만, CS가 로그에서 원인 추적하기 어려울 수 있습니다. 반대로 비즈니스 ID를 그대로 키에 쓰면, 클라이언트 재전송 시 키 재사용 실수로 다른 의도가 덮일 위험이 있습니다. 절충안은 namespace + businessId + randomSuffix입니다.
DB 레이어에서는 유니크 제약이 최후의 방어선입니다. idempotency_key 컬럼에 UNIQUE를 걸고, 동시 요청 두 개가 들어와도 하나만 성공하도록 합니다. 애플리케이션에서 먼저 SELECT 후 INSERT 하면 레이스가 남으므로, INSERT … ON CONFLICT 또는 트랜잭션 격리 수준을 명시적으로 설계해야 합니다.
재시도: 백오프·지터·상한
PG나 내부 결제 게이트웨이 호출은 타임아웃이 흔합니다. 재시도 정책을 문서화하지 않으면, 운영자마다 다른 행동을 합니다. 권장 패턴은 다음입니다.
- 멱등 키 동일 + HTTP 메서드 동일로 재시도한다.
- 지수 백오프(예: 200ms → 400ms → …)에 지터를 더해 동시 재시도 폭주를 줄인다.
- 상한 횟수를 넘기면 **사용자에게는 ‘처리 중’**을 보여 주고, 내부는 비동기 조회나 웹훅 대기로 전환한다.
- ‘실패’로 확정하기 전에 PG 조회 API로 현재 상태를 읽는다(가능한 경우).
여기서 중요한 것은 재시도가 실패를 가중시키면 안 된다는 점입니다. 특히 취소·환불 API는 PG마다 ‘이미 취소됨’을 성공으로 줄지 오류로 줄지 다릅니다. 이 응답을 내부 상태와 어떻게 맞출지 미리 표를 만들어 두면, 온콜 중 판단이 빨라집니다.
웹훅 순서 역전과 클록
웹훅은 ‘한 번만’ 오지 않고, 순서가 뒤바뀌어 도착할 수 있습니다. ‘캡처 완료’보다 ‘취소 완료’가 먼저 오는 식입니다. 대응 전략은 대표적으로 세 가지입니다.
- 이벤트 시퀀스 번호: PG가 제공하면 단조 증가를 이용해 버퍼링 후 적용합니다.
- 상태 기반 병합: 현재 상태와 들어온 이벤트를 규칙으로 병합합니다(충돌 시 수동 큐).
- 시간 클록 + 유예 윈도우: 짧은 지연 후 순서를 재정렬(위험·복잡도 상승).
운영 관점에서는 웹훅 처리 실패를 데드레터 큐로 보내고, 금액이 걸린 건은 자동 재시도보다 알람·수동 확인을 우선할지 정해야 합니다.
부분 취소·환불에서 흔한 깨짐
부분 취소는 품목·옵션·프로모션 분배와 맞물립니다. 예: 장바구니 쿠폰이 전체 주문에 균등 분배됐다면, 일부 품목만 취소할 때 쿠폰 혜택을 어떻게 되돌릴지 정책이 필요합니다. 포인트 선차감·적립 역시 원장 항목으로 쪼개져 있지 않으면, 환불 후 포인트 잔액이 음수가 되거나 이중 적립될 수 있습니다.
환불은 결제 수단별 경로가 다릅니다. 카드는 취소 API, 가상계좌는 계좌 환불, 간편결제는 지갑·현금영수증 규칙까지 섞입니다. ‘환불 요청 접수’와 ‘환불 완료’를 분리해 상태를 두지 않으면, CS와 사용자에게 서로 다른 말을 하게 됩니다.
관측: 무엇을 메트릭으로 남길까
최소한 다음을 대시보드에 올리길 권합니다.
- 결제 시도 대비 성공률(수단·PG별)
- 타임아웃·5xx 비율
- 멱등 키 충돌 횟수(의도된 것 vs 버그)
- 웹훅 지연 분포(p95, p99)
- 부분 취소·환불 처리 시간
로그에는 orderId, paymentAttemptId, idempotencyKey, pgTransactionId를 항상 함께 남겨, 한 줄로 추적 가능하게 합니다.
장애 플레이북 개요
- 중복 청구 제보 접수: PG 조회 → 내부 원장 → CS 환불 정책 순으로 확인.
- 웹훅 누락 의심: 배치 대사 job으로 누락분 재조회(가능 시).
- 정산 마감 시간 충돌: ‘처리 중’ 상태를 사용자에게 명확히, 내부는 수동 배치.
시나리오 A: 타임아웃 직후 ‘성공/실패’를 모를 때
클라이언트가 결제 버튼을 누른 뒤 네트워크가 끊겼다고 가정합니다. 서버는 PG에 캡처 요청을 보냈지만 응답 본문을 받기 전에 소켓이 닫혔습니다. 이때 서버 입장에서는 세 가지 가능성이 모두 남습니다: (1) PG는 이미 캡처에 성공했고 응답만 유실, (2) 요청이 도달하지 않았다, (3) PG 내부에서 처리 중이다. 올바른 순서는 조회(Read)로 현재 거래 상태를 확인하는 것입니다. 멱등 키가 있다면 동일 키로 재전송했을 때 PG가 멱등 응답을 주는지도 함께 확인합니다. 여기서 흔한 실수는 ‘실패로 간주하고 새 결제 시도를 또 만드는 것’입니다. 사용자 카드에는 한 번만 청구되었더라도, 내부 paymentAttempt 레코드가 두 갈래로 갈라지면 CS·정산이 꼬입니다. 따라서 항상 단일 시도 ID를 유지하고, 불확실 구간은 PENDING과 같은 중간 상태를 둡니다.
시나리오 B: 웹훅이 두 번 오고, 내용이 미묘하게 다를 때
PG가 네트워크 문제로 웹훅을 재전송하면, 본문 해시는 같아도 도착 시각은 다릅니다. 처리기는 이벤트 ID가 있으면 그걸로 중복을 제거하고, 없으면 (transactionId, eventType, amount) 조합으로 멱등 테이블을 둡니다. 금액 필드가 문자열/소수점 표현 차이로 달라 보이면 오탐이 납니다. 운영 안정성을 위해 정규화된 숫자형으로 파싱한 뒤 비교하고, 원문 JSON은 감사 로그에 그대로 남깁니다. ‘같은 캡처 완료’가 두 번 왔는데 한 번은 부가 데이터만 다른 경우, PG 릴리스 노트에 필드 추가가 있었는지 확인하는 것이 첫 단계입니다.
시나리오 C: 부분 취소 후 포인트·쿠폰 역산
주문 금액 10만 원에 전역 10% 쿠폰이 적용되어 9만 원이 결제되었다고 합니다. 이후 품목 일부(원가 3만 원)만 부분 취소할 때, 쿠폰 할인을 품목별로 어떻게 배분 취소할지 정책이 없으면 개발자가 임의로 나눕니다. 일반적인 접근은 (1) 비례 역산, (2) 먼저 할인분을 회수하고 남은 금액을 환불, (3) 프로모션 팀이 정한 예외 규칙입니다. 포인트는 적립분 회수와 사용분 환급이 별도 원장이어야 하고, 환불 완료 시점과 포인트 반영 시점이 어긋나면 ‘포인트 숨겨짐’ 이슈가 납니다. 이런 흐름은 단위 테스트만으로는 부족하고, 표준 주문 샘플 몇 개를 재무·기획과 합의한 뒤 회귀 테스트로 고정하는 것이 좋습니다.
데이터 모델 스케치: 최소한의 테이블 역할
아래는 개념 스케치이며 실제 스키마는 트래픽·격리 수준에 따라 달라집니다.
orders: 사용자가 본 주문 단위. 취소·배송 정책의 기준.payment_attempts: 결제 시도마다 1행. 멱등 키·PG 응답 요약·상태.ledger_entries: 금액 변동의 단일 출처. 결제·취소·환불·포인트를 모두 여기로 모으면 대사가 쉬워집니다.webhook_inbox: 수신 원문 + 처리 상태 + 재시도 카운트.
ledger_entries를 도입하지 않고 orders에만 금액을 넣다 보면, 부분 취소가 늘수록 컬럼이 늘거나 의미가 흐려집니다. 초기에는 과설계처럼 보여도, 금액의 진실은 원장 한곳에 두는 편이 장기적으로 저렴합니다.
PCI DSS와 로그: 무엇을 남기고 무엇을 지울까
카드 번호 전체를 애플리케이션 로그에 남기는 것은 대개 금지에 가깝습니다. 토큰화된 식별자와 마스킹된 뒤 네 자리만 허용 범위입니다. 온콜이 PG 응답 JSON을 그대로 붙여 넣는 습관은 개인정보·PCI 범위를 넓힙니다. 로그 파이프라인에 자동 마스킹 규칙을 넣고, 개발자가 로컬에서 재현할 때는 샘플 거래 ID만으로 조회하도록 툴링하는 것이 안전합니다. 감사를 위해 ‘누가 언제 취소 API를 호출했는지’는 남기되, 근거는 권한·티켓 ID와 연결합니다.
운영 체크리스트 (발췌)
- 모든 결제/취소/환불 API에 멱등 키 또는 동등한 유니크 제약이 있는가.
- 타임아웃 후 조회→판단→재시도 순서가 문서화돼 있는가.
- 웹훅 중복·역전에 대한 처리 정책이 코드와 주석으로 일치하는가.
- 부분 취소 시 쿠폰·포인트·배송비 역산이 재무와 합의됐는가.
- 대시보드에 PG별 성공률·지연·오류 코드 상위가 보이는가.
- 장애 시 CS가 따라갈 런북 링크가 대시보드에 붙어 있는가.
FAQ
Q. 멱등 키를 클라이언트가 만들어도 되나요?
A. 가능은 하지만, 악의적 재사용·예측 가능한 키 생성은 위험합니다. 서버가 최종 키를 확정하거나, 클라이언트가 만든 후 서버가 서명·검증하는 패턴을 고려하세요.
Q. ‘취소’와 ‘환불’ 용어를 섞어 써도 되나요?
A. 내부 용어집에서 구분하세요. 매입 전 취소와 매입 후 환불은 PG·회계 처리가 다릅니다.
Q. 정산 마감 5분 전 장애는?
A. 사용자 메시지는 ‘처리 중’으로 통일하고, 배치 대사로 빈틈을 확인하는 것이 안전합니다. 무리한 수동 SQL은 감사 추적을 끊습니다.
부록: 오류 코드를 운영 지표로 쓰기
PG 오류 코드를 그대로 사용자에게 보여 주기보다, 내부에 정규화 맵을 두고 카테고리(한도·도난·네트워크·정책)로 묶으면, 제품·운영이 같은 언어로 대화할 수 있습니다. 주간 리포트에서 ‘네트워크’ 비율이 오르면 재시도·타임아웃 튜닝을, ‘한도’가 오르면 결제 UX(분할 결제 안내 등)를 검토합니다.
심화: 가상계좌·현금성 흐름에서의 멱등성
가상계좌는 ‘입금 확인’이 비동기 이벤트라는 점에서 카드와 다릅니다. 사용자가 입금했는데 웹훅이 늦게 오면, 주문은 AWAITING_DEPOSIT에 머물고 CS는 ‘입금했는데 안 잡힌다’는 문의를 받습니다. 이때 중복 입금·부분 입금·잘못된 금액 입금을 구분하려면 입금 매칭 키(가상계좌 번호·금액·기한)를 명확히 해야 합니다. 멱등성 키는 ‘입금 이벤트 ID’ 단위로 두고, 동일 입금이 두 번 알림될 때는 원장에 한 번만 반영되도록 합니다. 배치로 은행 파일을 읽어 오는 구조라면, 파일의 행 단위 해시를 멱등 테이블에 넣어 재처리를 안전하게 만듭니다.
심화: 간편결제·지갑·해외 카드
간편결제는 브랜드별로 인증 UX와 토큰 수명이 다릅니다. ‘앱 토큰 만료 → 재로그인’ 시나리오에서 결제 시도가 끊기면, 사용자는 같은 주문으로 다시 시도합니다. 서버는 주문 잠금과 결제 시도 한도를 두어, 같은 주문에 무한한 시도 레코드가 쌓이지 않게 해야 합니다. 해외 카드는 환율·DCC·3DS 정책이 추가됩니다. 금액 표시 통화와 청구 통화가 다르면, 부분 취소 시 소수점 라운딩이 충돌할 수 있으므로, PG가 제공하는 최소 통화 단위 정책을 문서에 박아 두는 것이 좋습니다.
심화: 조직과 프로세스
기술만으로 멱등성 문제를 100% 막을 수는 없습니다. PG 변경 프로젝트, 새 수단 추가, 프로모션 기간에는 결제 스쿼드가 릴리스 노트를 읽고 회귀 시나리오를 돌립니다. 재무·법무는 ‘정산 마감·증빙’ 관점에서, CS는 ‘사용자 메시지·보상’ 관점에서 요구사항을 냅니다. 이 세 축이 같은 용어집을 쓰지 않으면, 코드에서 상태 이름만 바꿔도 전사 혼선이 생깁니다. 작은 스타트업이라도 payment.md 용어집 하나는 버전 관리하세요.
코드 예시: 멱등 키 저장 의사코드
의사코드는 언어 중립적으로 설명하기 위함입니다. 실제 구현은 트랜잭션 격리·DB 제약에 맞춰 조정해야 합니다.
function capturePayment(orderId, attemptId, idempotencyKey, amount) {
if (alreadySucceeded(idempotencyKey)) return loadResult(idempotencyKey)
beginTx()
try {
insertIdempotencyRow(idempotencyKey, "PENDING") // UNIQUE 위반 시 동시 요청
response = pg.capture(idempotencyKey, amount)
saveAttempt(attemptId, response)
commitTx()
return response
} catch (e) {
rollbackTx()
if (isTimeout(e)) return reconcileOrPending(attemptId)
throw e
}
}
여기서 insertIdempotencyRow가 실패하면 다른 요청이 이미 잡았다는 뜻이므로, 기존 결과를 읽어 반환하는 패턴이 일반적입니다.
연속 통합과 테스트 전략
결제 연동은 샌드박스 PG와 테스트 카드 번호로 자동화할 수 있는 부분과, 반드시 스테이징에서 수동으로 확인해야 하는 부분이 갈립니다. 자동화에 넣기 좋은 것은 멱등 키 재전송, 동일 금액 중복 캡처 방지, 웹훅 중복 처리입니다. 반면 3DS·해외 카드·한도 초과는 샌드박스 한계로 시나리오가 불완전할 수 있습니다. 회귀 테스트 스위트에는 ‘표준 주문 세트’(단일 품목, 복합 품목, 쿠폰, 포인트 혼합)를 넣고, 릴리스 전에 결제 스쿼드 승인을 받는 게 안전합니다. 부하 테스트에서는 PG 레이트 리밋을 건드리지 않도록 트래픽 캡을 명시하세요.
감사 추적과 분쟁 대응
결제 분쟁이 발생하면 카드사·PG·내부 로그를 시간 순으로 맞춰야 합니다. 이때 단일 상관 ID가 없으면, 애플리케이션 로그·API 게이트웨이 로그·PG 콘솔 캡처가 서로 다른 시간대(TZ)를 쓰어 엇갈립니다. 모든 로그에 correlationId를 넣고, 사용자 행동 로그(클라이언트)와 서버 로그를 연결할 수 있게 하세요. 장기 보관 정책은 개인정보·PCI 범위와 충돌하지 않게 법무와 합의합니다. 분쟁이 잦은 카테고리(디지털 콘텐츠·예약)는 환불 규정을 결제 전 동의 UI에 명확히 노출하는 것이, 기술적 멱등성만큼 분쟁 비용을 줄입니다.
크로스보더와 규제 메모
해외 법인·해외 PG를 쓰면 GDPR·현지 전자금융 규정·세금 계산 방식이 추가됩니다. 본문에서 다룬 멱등성·원장 원칙은 동일하지만, 개인정보 이전·동의 문구·데이터 위치가 아키텍처를 가릅니다. 작은 팀이라도 ‘어느 리전에 로그를 둘지’를 초기에 정하지 않으면, 나중에 이전 비용이 큽니다. 규제는 결제 도메인의 또 다른 상태 머신이라 생각하면, 제품 로드맵과 기술 부채를 같은 표에서 관리하기 쉽습니다.
마이그레이션: PG 교체 시 체크
PG를 바꿀 때는 API 필드뿐 아니라 정산 주기·웹훅 스키마·테스트 카드가 함께 바뀝니다. 병행 운영 기간에는 payment_rail 컬럼으로 구분하고, 리포트는 레일별로 나눠 검증합니다. 구 계정의 미완료 거래·분쟁 중인 거래를 건너뛰면 안 됩니다. 컷오버 날짜를 기준으로 이중 기록 기간을 두고, 대사 리포트가 일치할 때만 구 PG를 끕니다. 운영팀에는 롤백 플랜(새 PG 비활성화·구 PG로 라우팅)을 문서로 남기고, 드라이런을 한 번 이상 수행하는 것을 권합니다. 마지막으로, 모든 변경은 릴리스 노트에 결제 영향도 한 줄이라도 적는 습관이 장기적으로 가장 저렴한 보험입니다.
부록 A: 결제 시도·주문·원장의 식별자 사전
현장에서 혼선이 가장 큰 것은 용어입니다. 아래 표는 팀마다 이름이 다를 수 있으나, 의미를 맞추기 위한 참고입니다.
| 이름 | 예시 | 설명 |
|---|---|---|
order_id | ORD-2026-… | 사용자가 보는 주문 번호. |
payment_attempt_id | PAYATT-… | 결제 버튼 한 번(또는 재시도 단위). |
idempotency_key | idem_… | 외부 API 호출의 멱등 단위. |
pg_txn_id | PG사 거래키 | PG가 부여. |
ledger_entry_id | LED-… | 원장 한 줄. |
CS가 “주문번호”만 말해 올 때는 위 계층을 순서대로 조회하는 플레이북을 붙여 두세요.
부록 B: 대사(reconciliation) 배치의 입력·출력
대사 배치는 보통 (1) PG 일별 거래 파일, (2) 내부 ledger_entries, (3) 은행 입금 내역(가상계좌)을 맞춥니다. 출력은 불일치 리스트와 원인 분류 코드입니다. 분류가 없으면 운영자가 매번 같은 해석을 반복합니다. 예: PG_MISSING — 웹훅 유실 의심, INTERNAL_DOUBLE — 멱등 실패 의심. 분류는 자동 해결 가능한 것과 수동 큐로 분리합니다.
부록 C: 프로모션·쿠폰 스택의 평가 순서
쿠폰·포인트·등급 할인이 동시에 걸리면 평가 순서가 곧 돈입니다. 기획 문서에 순서를 박고, 코드의 PromotionEngine과 동일한지 테스트로 고정합니다. 순서를 바꾸는 릴리스는 재무 승인이 필요합니다. 배포 후에는 샘플 주문으로 역산 검증을 수행합니다.
부록 D: B2B·세금계산서·현금영수증
B2B는 결제 수단이 세금계산서·외상으로 갈라질 수 있습니다. 이때도 주문·출고·청구의 상태 머신은 분리됩니다. 현금영수증은 소비자 케이스에서만 이슈가 되는 것이 아니라, 부분 취소 시 발급 취소·재발급 흐름이 추가됩니다. PG와 국세청 시스템 지연을 고려해 PENDING_TAX_DOC 같은 상태를 둘지 합의합니다.
부록 E: 구독·정기결제와 멱등성
정기결제는 결제 시도가 주기적으로 자동 생성됩니다. 시도 ID는 매 주기마다 새로 만들고, 실패 재시도는 멱등 키를 주기+시퀀스로 분리합니다. 사용자가 카드를 바꾸면 다음 주기부터 새 토큰을 써야 하므로, 구독 객체에 payment_method_version을 둡니다. 해지·일시정지도 별도 의도이므로 키 스코프를 섞지 않습니다.
부록 F: 오프라인 POS·O2O와 온라인 주문의 충돌
매장 픽업·재고 연동이 있으면 POS와 온라인이 같은 SKU를 동시에 판매합니다. 결제 승인은 됐는데 픽업 시점에 재고가 없으면 환불·대체 상품 정책이 필요합니다. 이때 멱등성은 결제뿐 아니라 재고 확보 시도에도 적용됩니다. 재고 잠금 TTL과 결제 만료 시간을 맞추지 않으면 ‘결제됐는데 못 준다’가 납니다.
부록 G: 사기·어뷰징과 리스크 엔진
리스크 룰이 결제를 막을 때, 사용자에게는 ‘일시적 오류’가 아니라 정책상 거절인지 구분해 메시지를 줘야 합니다. 내부적으로는 RISK_BLOCK 코드와 근거 특징(속도·디바이스·IP)을 로그에 남기되, 개인정보 최소화 원칙을 지킵니다. 오탐 복구 절차를 CS에 문서화합니다.
부록 H: 멀티 PG·카드사별 장애
PG가 여러 개면 장애도 부분 장애입니다. 라우팅 레이어는 건강 상태를 주기적으로 확인하고, 특정 카드사만 실패할 때 대체 PG로 넘길지 정책이 필요합니다. 이때도 멱등 키는 레일마다 분리하고, 동일 주문에 두 레일이 동시에 살아 있으면 안 됩니다.
부록 I: 데이터 보존 기간과 삭제 요청
결제 로그는 개인정보와 세법상 보존 요구가 섞입니다. 삭제 요청이 와도 전자상거래법·국세 기록 보존 등으로 바로 지울 수 없는 항목이 있습니다. 법무와 합의한 마스킹·익명화 전략을 쓰고, 사용자 FAQ에 ‘왜 영수증은 남는지’를 설명합니다.
부록 J: 온콜 런북 목차 예시
- 중복 청구 제보 2) 웹훅 지연 3) 정산 배치 실패 4) PG 점검 공지 대응 5) 환불 지연. 각 항목에 책임자·에스컬레이션·외부 링크를 한 페이지에 모읍니다. 장애 중에는 코드 변경보다 커뮤니케이션 템플릿이 먼저입니다.
부록 K: API 버전업과 하위 호환
PG SDK가 메이저 업그레이드되면 필드명·에러 코드·웹훅 스키마가 바뀝니다. 동시에 두 버전을 받을 수 있는 어댑터 레이어를 두고, 트래픽을 점진적으로 옮깁니다. 어댑터는 내부 도메인 모델로만 말하고, 상위 레이어는 PG를 모르게 유지합니다. 버전 태그를 로그에 남겨, 사고 후에도 ‘어느 스키마로 처리됐는지’를 추적합니다.
부록 L: 멀티 테넌시·화이트라벨
한 코드베이스로 여러 몰을 운영하면, 멱등 키에 테넌트 ID를 넣지 않으면 키 충돌이 납니다. PG 계약도 테넌트별로 분리되는 경우가 많아, payment_rail뿐 아니라 merchant_account_id를 명시합니다. 화이트라벨 브랜드마다 PG 정산 주기가 다르면, 대시보드도 브랜드 단위로 쪼개야 합니다.
부록 M: 성능·동시성과 DB 락
결제 경로는 초당 트랜잭션이 몰릴 수 있습니다. SELECT FOR UPDATE 범위를 최소화하고, 주문 행 잠금과 결제 시도 행 잠금을 분리합니다. 락 대기 시간이 길어지면 타임아웃과 재시도가 겹쳐 멱등 폭풍이 됩니다. 큐 기반으로 직렬화할지, 샤딩할지는 주문 ID 전략과 함께 결정합니다.
부록 N: 샌드박스와 프로덕션의 함정
샌드박스에서만 재현되는 버그(시간 고정, 금액 한도)와 프로덕션에서만 터지는 버그(실카드·3DS·레이트 리밋)는 다릅니다. 릴리스 전 카나리로 소액 실거래를 허용하는 절차를 두는 팀도 있습니다. 이때도 멱등 키·원장·사용자 메시지 규칙은 동일해야 합니다.
부록 O: 문서화 템플릿
신규 입사자용으로 ‘결제 흐름 한 페이지’ 템플릿을 유지합니다: 시퀀스 다이어그램, 상태 표, 실패 코드 표, 온콜 링크. 문서가 코드보다 늦게 갱신되면 신뢰를 잃습니다. PR 템플릿에 결제 영향도 체크박스를 넣는 것만으로도 누락이 줄어듭니다.
부록 P: 사용자 메시지와 법적 문구
‘결제 처리 중’과 ‘결제 완료’ 사이의 모호한 문구는 CS 문의를 부풀립니다. 정확한 상태명과 다음 액션(새로고침 금지, 몇 분 대기 등)을 UX 라이터와 합의합니다. 약관·개인정보 처리방침과 화면 문구가 어긋나면 분쟁 시 불리합니다.
부록 Q: QA 시나리오 샘플
- 동일 금액으로 연속 클릭
- 네트워크 끊김 후 재진입
- 앱 강제 종료 후 복귀
- PG 점검 공지 시간대 주문
- 부분 취소 후 추가 부분 취소
각 시나리오에 기대 상태와 허용 영수증을 적습니다.
부록 R: 로그 샘플링과 비용
모든 결제 요청을 풀로그하면 비용이 큽니다. PII를 마스킹한 요약 로그는 전량, 상세 바디는 샘플링·짧은 TTL을 둡니다. 장애 때만 상세 로그 레벨을 올리는 동적 레벨 전략을 씁니다.
부록 S: 파트너 API와 SLA
PG·배송·포인트 파트너와의 SLA가 다르면, 사용자에게 약속하는 최종 SLA는 가장 느린 고리에 묶입니다. 내부 SLO를 정하고, 파트너 장애 시 대체 경로(수동 환불, 대체 PG)를 미리 정의합니다.
부록 T: 교육과 시뮬레이션
분기마다 결제 장애 테이블탑을 돌립니다. 실제 돈이 아닌 샌드박스·모의 웹훅으로, 온콜이 아닌 사람도 흐름을 익힙니다. 문서만으로는 부족하고, 손으로 상태를 옮겨 봐야 기억에 남습니다.
심화 시나리오 모음 (추가)
시나리오 D: 배송 완료 후 부분 환불이 여러 번
배송 완료는 WMS에서 오고, 환불은 CS에서 티켓 단위로 들어옵니다. 동일 품목에 대해 환불 금액 합이 원 결제 금액을 넘지 않도록 서버가 검증해야 합니다. 클라이언트 검증만으로는 부족합니다.
시나리오 E: 세일 종료 직전 결제
프로모션 종료 시각과 결제 승인 시각이 몇 초 차이로 어긋나면, 사용자는 ‘세일가로 샀다’고 기대합니다. 시각 기준을 기획과 합의하고, PG 응답 시각·서버 시각·주문 생성 시각 중 무엇을 쓸지 정합니다.
시나리오 F: 기프트 카드·스토어 크레딧
선불 수단은 잔액 원장이 별도입니다. 카드 결제와 크레딧을 섞으면 부분 취소 시 크레딧으로 되돌릴지 현금으로 할지 정책이 필요합니다.
시나리오 G: B2B 외상 한도
외상 한도 초과 시 결제를 막을지, 승인 후 보류할지에 따라 상태 머신이 달라집니다. 영업·재무와 합의한 규칙을 코드에 박습니다.
시나리오 H: 해외 배송·관세
관세·배송비가 나중에 청구되면 추가 결제 링크가 필요합니다. 동일 주문에 여러 결제 시도가 생기므로, 시도 간 관계를 데이터로 표현합니다.
시나리오 I: 스테이징 데이터 유출
테스트 카드·테스트 사용자 정보가 스테이집에서 프로덕션으로 섞이지 않게 환경 분리를 점검합니다. 실수로 실제 알림이 가면 신뢰가 깨집니다.
시나리오 J: 블랙프라이데이 피크
큐 적체 시 사용자는 ‘결제 중’ 화면에서 벗어나지 못합니다. 타임아웃 후 조회 UX와 중복 결제 방지를 동시에 만족시키는 설계가 필요합니다.
시나리오 K: 모바일 웹·앱 이중 결제
동일 계정으로 웹과 앱에서 동시에 결제 시도하면, 세션·디바이스 간 경쟁이 납니다. 주문 잠금과 사용자 알림으로 동시 시도를 줄입니다.
시나리오 L: 직원 할인·내부 쿠폰
내부 정책 쿠폰이 외부에 유출되면 악용됩니다. 발급·사용에 직원 인증과 감사 로그를 둡니다.
시나리오 M: 환불 대기열 폭주
환불 API가 느리면 대기열이 쌓입니다. 사용자에게는 접수 완료와 이체 완료를 구분해 알립니다. 은행 이체 환불은 영업일 기준 안내가 필요합니다.
시나리오 N: 카드사 무이자 할부
무이자는 마케팅이지만, 회계·정산에는 수수료 부담 주체가 남습니다. PG 리포트와 내부 프로모션 비용을 맞춥니다.
시나리오 O: 결제 링크 만료
결제 링크형 주문은 TTL이 있습니다. 만료 후 재발급 시 새 결제 시도 ID를 만들고, 이전 링크는 무효화합니다.
시나리오 P: 다통화 장바구니
통화 혼합이 불가능한 PG라면, 사용자에게 먼저 통화를 고르게 합니다. 환율은 표시용과 청구용이 다를 수 있음을 FAQ에 적습니다.
시나리오 Q: 영수증 이메일 실패
결제는 됐는데 영수증 메일이 실패하면 CS가 증빙을 다시 보냅니다. 재전송 큐와 스팸 차단 대응을 둡니다.
시나리오 R: 테스트 자동화와 실데이터
E2E가 실데이터를 건드리면 재앙입니다. 환경 변수로 PG 엔드포인트를 강제하고, 실수 방지 가드를 둡니다.
시나리오 S: 합병·인수 후 PG 계정 통합
법인이 바뀌면 상점 ID·계약이 달라집니다. 기존 주문의 후속 취소·환불은 구 계정으로 가야 할 수 있습니다. 데이터 마이그레이션 표를 만듭니다.
시나리오 T: 규제 변경
전자금융·개인정보법 개정은 필드·보관 기간을 바꿉니다. 정책 테이블을 코드 밖으로 빼고, 변경 시 릴리스 노트에 법무 검토 링크를 남깁니다.
용어집 (추가)
- 승인(Authorization): 한도 확보, 매입 전 단계.
- 매입(Capture): 실제 청구 확정.
- 취소(Void): 매입 전 취소에 가깝게 쓰이기도 하나 PG마다 다름.
- 환불(Refund): 매입 후 금액 반환.
- 대사(Reconciliation): 두 원장을 맞추는 과정.
- 멱등성(Idempotency): 같은 요청을 여러 번 해도 결과가 한 번과 같아야 함.
- 웹훅(Webhook): PG→가맹점 비동기 알림.
- 원장(Ledger): 금액 변동의 기록 집합.
각 용어는 영문 그대로 회의에서 쓰지 말고, 팀 한글 표기를 정합니다. 외부 문서 인용 시에도 번역표를 붙입니다.
실무 인터뷰 질문 (아키텍트 채용용)
- 멱등 키를 DB에 어떻게 걸 것인가.
- 웹훅이 순서 바꿔 오면 어떻게 하는가.
- 타임아웃 후 PG 조회가 불가능하면 어떻게 하는가.
- 부분 취소 시 쿠폰 역산은 누가 정하는가.
- 정산 불일치 큐는 누가 비우는가.
답이 상황에 따라 다르다가 아니라, 우리 팀의 합의로 이어져야 합니다.
체크리스트: 릴리스 직전 30분
- 샌드박스 스모크
- 멱등 재시도 1건
- 웹훅 재전송 1건
- 부분 취소 1건
- 대시보드 알람 살아 있음
- 온콜 연락망 최신
- PG 공지 페이지 확인
- 롤백 태그 준비
체크리스트: 분기 감사
- 권한 분리 스냅샷
- 로그 보존 기간 샘플링 검사
- 환불 지연 건 상위 원인
- 장애 리포트와 개선 티켓 연결
참고 링크 (외부)
- 파란여우 RSS: https://www.bluefoxdev.kr/feed.xml
- 본문에서 인용: 쇼핑몰 구축 비용 완전 분석
더 읽을거리: 동일 피드의 인접 주제
이커머스 운영자 관점의 예산·구축 전략은 결제·정산 설계와 대화해야 합니다. 같은 RSS에 실린 예산별 쇼핑몰 구축 전략, 쇼핑몰 구축 프로세스 단계별 가이드, 쇼핑몰 구축 실행 체크리스트 등은 기획·운영 체크리스트를 제공합니다. 엔지니어는 그중 ‘누가 시스템을 운영하는가’, ‘정산 주기는 어떻게 되는가’, ‘PG·호스팅·물류 중 어디가 병목인가’를 뽑아 기술 요구사항으로 번역하면 됩니다. 반대로 기획서에 멱등성·대사·웹훅 같은 단어가 없다면, 결제 장애가 나왔을 때 의사결정이 느려집니다. 상호 번역이 핵심입니다.
장기 로드맵에 넣을 질문
1년 뒤 거래액 10배를 가정하면, PG 한도·계약·레이트 리밋·DB 샤딩 중 무엇이 먼저 터질까요. 3년 뒤 해외 진출을 가정하면, 멀티 통화·세금·현지 PG가 동시에 들어옵니다. 로드맵은 기능 나열이 아니라 제약 조건 나열이어야 합니다. 결제 도메인은 그 제약이 돈과 직결됩니다.
팀 협업: RACI 예시
- 결제 상태 정의 변경: Product 승인, Eng 구현, Finance 검토, Legal(필요 시).
- 환불 정책 변경: CS·Finance 주도, Eng는 구현 가능성·마이그레이션 제시.
- PG 장애 대응: Ops 커뮤니케이션, Eng 복구, CS 고객 안내.
RACI가 없으면 장애 때 승인 대기로 시간이 새습니다.
마지막 점검: 이 글을 읽은 뒤 해야 할 일
동료 한 명에게 10분 설명해 보세요. 멱등 키·웹훅·대사 중 하나만 골라도 좋습니다. 설명이 막히면 그 부분이 팀의 지식 공백입니다. 문서를 한 장 더 만드는 것보다, 설명 가능한가가 기준입니다.
에필로그: 작은 버그가 만든 큰 손실 사례 (가상 시나리오)
아래는 특정 회사 이야기가 아니라 교육용 가상 시나리오입니다. 결제 모듈에서 멱등 키 누락으로 동일 주문에 캡처 API가 두 번 나갔고, PG는 한 번만 청구했지만 내부 원장은 두 번 적혔습니다. CS는 환불을 이중으로 진행했고, 재무는 한 달 뒤 대사에서 차이를 발견했습니다. 복구에는 수동 원장 조정·고객 안내·감사 대응이 들어갔고, 실제 손실은 결제 버그 자체보다 신뢰·인력 쪽이 컸습니다. 이런 이야기는 ‘우리는 멱등 키 있다’는 한 줄로 끝나지 않습니다. 모니터링·대사·온콜까지 포함한 시스템으로 봐야 합니다.
부록 U: 샘플 SQL 스케치 (개념용)
-- 개념 스케치: 실제 스키마는 인덱스·격리 수준에 맞게 조정
CREATE TABLE payment_attempts (
id UUID PRIMARY KEY,
order_id UUID NOT NULL,
idempotency_key TEXT NOT NULL UNIQUE,
status TEXT NOT NULL,
pg_txn_id TEXT,
created_at TIMESTAMPTZ NOT NULL
);
CREATE TABLE idempotency_audit (
idempotency_key TEXT PRIMARY KEY,
first_seen_at TIMESTAMPTZ NOT NULL,
last_response_hash TEXT
);
운영 DB에서는 파티셔닝·보관 정책을 고려합니다. UNIQUE 제약이 성능 병목이면, 키 길이와 인덱스 전략을 튜닝합니다.
부록 V: HTTP 헤더와 프록시
Idempotency-Key가 로드밸런서·프록시에서 벗겨지면 멱등이 깨집니다. 허용 헤더 목록을 인프라에 명시합니다. 또한 재시도는 보통 클라이언트뿐 아니라 서버 아웃바운드 클라이언트에서도 일어납니다. 서버 간 재시도에도 동일 키를 씁니다.
부록 W: 결제 UX의 미세한 문구 차이
‘결제에 실패했습니다’와 ‘결제를 완료할 수 없습니다’는 사용자 기대가 다릅니다. 전자는 재시도, 후자는 다른 수단 안내가 필요할 수 있습니다. 에러 코드→문구 매핑표를 제품·CS·번역이 함께 유지합니다.
부록 X: 결제와 추천·개인화의 경계
결제 직전 단계에서 추천 상품·쿠폰을 바꾸면 금액이 변합니다. A/B 테스트 중 추천 로직이 바뀌면, 동일 사용자라도 결제 금액이 세션마다 달라질 수 있습니다. 실험 버킷과 주문 금액 스냅샷을 연결해 두면, 나중에 ‘왜 이 금액이었는지’를 설명할 수 있습니다. 개인화는 매출에 도움이 되지만, 결제 일관성과 충돌하지 않게 스냅샷 시점을 정합니다.
부록 Y: 오픈소스·라이브러리 업그레이드
결제 SDK를 올릴 때 체인지로그에 브레이킹 체인지가 숨어 있습니다. semver만 믿지 말고, 통합 테스트로 멱등·웹훅 파싱을 검증합니다. 보안 패치는 급하지만, 샌드박스 회귀를 건너뛰면 프로덕션에서만 터지는 타입 오류가 남습니다.
부록 Z: 결제 데이터와 분석 파이프라인
DW로 넘길 때 PII를 마스킹하고, 거래 ID만 남겨 다른 테이블과 조인합니다. 분석팀이 임의로 JOIN을 만들다 보면 중복 집계가 납니다. 원장이 있는 경우 원장을 집계 단일 출처로 삼는 규칙을 문서화합니다.
한 줄 요약 (스크롤이 길 때)
멱등 키로 의도를 식별하고, DB 유니크와 웹훅 중복 처리로 레이스를 막으며, 대사·관측·런북으로 시간이 지난 뒤에도 같은 결론에 도달하게 만든다. 결제는 기능이 아니라 조직의 규율이다. 이 문장이 과장처럼 들인다면, 장애나 분쟁이 터진 주간에 다시 읽어 보시길 바랍니다. 그때는 대부분 규율이 아니라 임시방편이 쌓여 있기 때문입니다. 임시방편을 규율로 바꾸는 작업이 바로, 이 글 전체가 말하고자 한 엔지니어링과 운영의 합의입니다. 긴 글 읽어 주셔서 감사합니다. 질문이나 보완할 사례가 있으면 팀 내부 위키에 링크를 걸어 주세요. Commerce Lab 주제 제안도 환영합니다. 다음 편에서 뵙겠습니다. 끝. 감사합니다. 읽어주셔서요.
맺으며
멱등성은 ‘기능’이 아니라 신뢰 계약입니다. 키 스키마·DB 제약·재시도·웹훅·관측을 한 세트로 설계해야 하며, 비용 구조는 Bluefox 글처럼 TCO 관점에서 함께 봐야 합니다. 마켓플레이스 정산·셀러 지급·재고 정합성 글과 연결해 읽으면 커머스 백엔드 전체 그림이 이어집니다.