[불붙는 모바일 금융 전쟁] "비밀번호로 쉽게 결제…카톡 친구 가장한 사기범죄 기승 우려"

(3) 모바일 금융 안전한가

메신저 피싱 지금도 극성…IT업체 회원정보 유출땐 2차피해 '눈덩이' 될 수도
'천송이 코트' 대책으로 보안규제 오히려 완화…범죄에 쉽게 노출
결제대행업체까지 카드정보 저장 허용…사고땐 배상 어려울수도

“카카오나 NHN(네이버)처럼 막강한 회원 데이터베이스를 갖고 있는 회사들이 금융권에 진입하는 게 시대적 흐름이긴 하지만, 과연 이에 발맞춰 보안성과 안전성 확보가 이뤄지고 있는지는 의문입니다. 나중에 어떤 사고가 터질지 정확한 예측도 못하는 상황에서 모바일 금융 관련 규제를 계속 풀어주는 게 맞는지 모르겠네요.”

한 시중은행 정보기술(IT) 담당 부행장의 말이다. 실제 IT업체들이 최근 지급결제 시장에 앞다퉈 뛰어들면서 보안 리스크에 대한 우려가 커지고 있다. 회원 간 소통을 이어주는 것과 회원끼리 돈을 보내고 직접 물건을 살 수 있도록 지원하는 것은 보안 측면에서 큰 차이가 있는데, 이에 대한 논의가 제대로 이뤄지지 않은 채 시장만 커지고 있다는 이유에서다.

IT업체 회원정보 유출 땐 2차 피해 ‘일파만파’

지급결제 서비스에 뛰어드는 IT업체들은 일단 고객들의 ‘금융정보’를 직접 보유하지는 않는다. 지금까지 카카오나 NHN 등이 내놓은 사업 모델을 보면 기존 금융회사와 협력해 회원 정보를 제공하는 것으로 IT업체들의 역할은 끝난다. 카카오나 NHN 서버를 해킹한다고 해서 고객들의 카드번호, 유효기간 등 핵심 정보가 유출되지 않는다는 얘기다.

하지만 IT업체들의 일반 고객 정보가 해킹 등으로 유출될 경우에도 만만치 않은 2차 피해가 우려된다. 금융권에서는 금융회사 한 곳의 고객정보가 새어 나가는 것보다 더 심각한 사태를 불러올 수 있다고 경고한다. 한 금융회사 보안담당 관계자는 “지금도 메신저를 통한 보이스피싱 피해 문제가 풀리지 않는데 비밀번호만 누르면 계좌 이체나 물건 구입이 가능한 서비스가 시작되면 문제는 더 복잡해질 수 있다”며 “친구를 가장해 벌이는 사기 범죄가 기승을 부릴 수 있다”고 예상했다.

예를 들어 ‘뱅크월렛 카카오’의 경우 송금 받은 돈을 현금자동입출금기(ATM)에서 찾으려면 하루를 기다려야 하지만 물건 구입은 바로 할 수 있다. 범죄자가 회원정보를 알아내 가짜로 송금을 받은 후 온라인 게임 아이템이나 귀금속 등 환금성이 강한 상품을 구입해 다시 돈으로 바꿔버리면 이를 찾을 방법이 없게 된다.

특히 IT업체들은 모바일 지급결제 시장에 ‘입성’할 때 어떤 규제도 받지 않고 있다. 회원정보를 금융회사에 제공하는 것은 전자금융과 직접적인 관계가 없어 전자거래금융업법에서 규정한 등록이나 허가 대상이 아니다. 금융당국이 ‘감독 사각지대’를 우려하면서도 이렇다 할 대응책을 마련하지 못하는 이유다.

“전자결제업체 사고 내면 소비자 배상 어려워”

모바일 금융시장이 불붙고 있는 상황에서 온라인 지급결제 시장과 관련한 정부의 보안 규제가 갈수록 완화되고 있는 점도 문제로 꼽힌다. 카드회사들이 올해 초 1억여건의 정보유출 사고를 당하면서 정부는 보안 문제만큼은 ‘후퇴불가’를 강조했지만, 최근 들어 분위기가 바뀌고 있다. 박근혜 대통령이 지난 3월 ‘규제개혁 끝장토론’에서 온라인상거래 간편화를 지시한 이후부터다.

대통령의 불호령에 정부는 지난달 이른바 ‘천송이 코트’ 대책을 내놨다. 30만원 이상 전자상거래에 대해서도 휴대전화 인증(ARS)만 받으면 공인인증서를 사용할 필요가 없도록 했다. 금융위원회 관계자는 “전자금융 사기나 보안성 문제를 너무 강조하다 보니 소비자들의 불편이 커진 측면이 있다”며 “규제로 인해 미국의 페이팔이나 중국 알리페이와 같은 업체가 나오지 못한다는 지적을 받아들일 수밖에 없다”고 설명했다.

특히 정부가 최근 전자지급결제대행(PG)업체에 카드번호와 유효기간 등을 직접 수집·저장할 수 있도록 허용하면서 우려의 목소리는 더 커지고 있다. 이 회사들의 보안시스템이 대부분 허술한데다, 사고가 터졌을 때 소비자들에게 배상해줄 능력도 갖추지 못했기 때문이다. KG모빌리언스, 케이아이비넷, 나이스정보통신 등 주요 PG업체는 최근 보안관리 허술을 이유로 금융감독원의 징계를 받기도 했다.

한국은행 관계자는 “다수의 전자금융업자가 소규모의 자본금과 인력을 보유하고 있다는 점을 고려할 때 정보유출 등의 사고에 대한 배상능력이 충분하지 않은 것으로 판단된다”고 말했다. 전자금융업자 61곳 가운데 자본금이 100억원을 넘는 곳은 19곳에 불과하다.

정보보안업계에선 온라인 금융시장을 위한 간편하고 안전한 시스템이 정착되기까진 상당한 시간이 걸릴 것이란 전망이 나오고 있다. 금융권 관계자는 “금융회사들이 그동안 공인인증서라는 ‘울타리’에 갇히면서 다른 종류의 온라인 지급결제 시스템 개발이 더뎌졌다”며 “공인인증서 의무 사용 규정을 없애더라도 시장경쟁을 거쳐 검증된 시스템이 나오기까지는 시간이 꽤 걸릴 것 같다”고 말했다.

박종서 기자 cosmos@hankyung.com