내용요약 개인정보 외부유출 따른 금융보안 사고 되풀이
금융당국, 디지털금융 혁신 각종 규제 완화 추진
디지털금융 소비자 보호 논의, 더욱 강화 되어야
SSG페이 홈페이지

[한스경제=조성진 기자] 최근 소비자 명의를 도용한 SSG페이 결제 피해 사례가 발생하며 핀테크사의 금융보안 이슈가 다시 도마 위에 올랐다. 이런 가운데 금융당국이 디지털금융 혁신을 우선으로 추진하고 있어 정보유출 시 책임 소지 등 소비자 보호책임에 대한 우려가 높아지고 있다.

 

◆ 진화하는 개인정보 해킹, 금융사고는 되풀이

지난 4일 신세계그룹 간편결제서비스 SSG페이에서 소비자 명의 없이 음료 쿠폰 50만원치가 결제되는 일이 발생했다.

SSG페이 관계자는 “다른 곳에서 유출된 사용자 정보를 기반으로 로그인에 성공할 때까지 비슷한 아이디와 비밀번호를 무작위로 대입한 크리덴셜 스터핑(Credential Stuffing)을 당한 것”이라며 “사용자의 접속환경이 바뀌면 인증 절차를 추가로 요청하는 쪽으로 보안강화를 검토 중에 있다”고 말했다.

그는 이어  “사용자의 접속환경이 바뀌면 인증 절차를 추가로 요청하는 쪽으로 보안강화를 검토 중에 있다”며 “피해자 환불 보상은 사건 경위를 면밀히 검토 후 진행할 것”이라고 덧붙였다.

지난해 6월 핀테크사 비바리퍼블리카의 금융 플랫폼 서비스 ‘토스’에서도 비슷한 일이 있었다. 토스에 따르면 지난해 6월3일 4명의 소비자가 자신이 결제하지 않은 결제 건에 대한 민원을 접수했고, 토스 측은 문제가 발생한 사용자의 계정을 즉시 차단 조치했다. 또 의심되는 IP로 접속된 계정을 탐지 및 차단했다. 이후 해당 온라인 가맹점에서 추가 4명에 대한 부정 결제 건을 확인 후 피해 고객에게 선제적으로 통지했다. 총 8명의 피해 금액 938만원은 모두 환급 조치했다.

이후 비바리퍼블리카 측은 개인정보 유출에 따른 결제피해 방지를 위해 노력했다. 지난해 12월에는 국내 금융기관 최초로 경찰청에 등록된 계좌와 연락처 이력을 바탕으로 모든 송금과정에서 사기의심거래 조회를 해주는 서비스를 시작했다. 이 서비스는 토스 앱의 간편송금 화면에서 이체 금액을 입력 후, 수령인의 정보를 입력하면 자동으로 수신자 계좌 혹은 연락처가 사기 의심 거래에 해당하는지를 확인하는 방식으로 진행된다.

 

◆ 디지털금융 혁신 우선, 소비자 보호는 뒷전

문제는 크리덴셜 스터핑 등 해킹 기술이 고도화되고 있다는 것이다. 디지털금융 서비스를 제공하는 사업자가 아무리 보안망을 철저하게 구축하더라도 바깥에서 유출된 개인정보와 거래정보 등으로 언제 어디서든지 똑같은 사례가 되풀이될 수 있다.

SSG닷컴, 비바리퍼블리카 등은 자사에서 발생한 금융피해에 대해 보상을 진행할 여력이 되는 기업이다. 반면 자금여력이 충분하지 않고 영세한 핀테크사에서 제공하는 서비스에서 대규모 금융피해 사고가 발생할 경우, 소비자에게 보상이 제대로 이루어질 수 있지는 미지수다.

이런 가운데 9일 열린 제6차 디지털금융 협의회에선 마이데이터 사업자가 금융투자업 겸영을 통해 다양한 혁신 서비스를 제공할 수 있도록 자본시장법령상 정보교류 관련 규제를 완화할 필요가 있다는 안건이 논의됐다.

지난 9일 열린 제6차 디지털금융 협의회에서 '마이데이터 사업자의 정보교류 차단 규제'를 완화하자는 논의가 있었다./금융위원회 제공

자본시장법 제45조에 명시된 “금융투자업자가 계열사 및 제3자 등에 정보교류를 차단해야 한다”는 내용을 완화할 필요가 있다는 것이다. 이에 대해 금융위원회는 고객정보를 자기매매에 활용하는 것을 방지하는 등의 이해상충 방지 규제 취지를 지키면서 금융투자업 겸영을 통해 보다 나은 서비스를 제공할 수 있는 방안을 중장기 과제로 검토하겠다는 입장이다. 예를 들어 엄격한 고객 동의 하에 마이데이터 담당부서에 한해 정보교류를 허용하고, 기업 자기자산 운용부서 등과의 정보교류를 엄격하게 차단하는 방식 등으로 운영하겠다는 계획이다.

하지만 이로 발생할 수 있는 소비자 정보유출 등의 부작용 가능성 전망과 이에 따른 사업자의 구체적인 책임 및 소비자 보상 방안은 아직 언급되지 않은 상황이다.

금융권 관계자는 “마이데이터뿐만 아니라, 조만간 마이페이먼트, 종합지급결제업도 수면 위에 오를 것”이라며 “금융당국이 디지털혁신을 앞세우기 전, 사업자의 소비자 피해 예방 및 구제방안 능력을 충분히 고려해야 하지만 구멍과 빈틈이 많은 게 현주소”라고 말했다.

한편 마이데이터 사업자를 대상으로 한 투자자문업 등 겸영업무 규제 완화를 보다 신중히 결정해야 한다는 의견도 있다. 15일 금융권에 따르면, 만 14세 이상의 소비자 신용정보를 마이데이터 금융서비스에 이용할 수 있는 것으로 알려졌다. 이는 마이데이터 사업자가 만 14세 이상의 소비자부터 금융이력 정보를 수집해, 향후 투자자문업으로 활용할 수 있는 가능성으로 해석할 수 있다.

다른 금융권 관계자는 “라임, DLF, DLS 사태 등은 자본 여력이 되는 중산층 투자자의 피해였다면, 마이데이터 서비스를 통한 투자자문업 등은 중하위계층의 주머니를 직접 노린 것으로 볼 수 있다”며 “결제, 예금, 투자 등 업종을 막론하고 마이데이터 기반 금융 서비스로 피해가 발생할 경우, 그 파장은 상상을 초월할 것으로 전망된다”고 말했다.

조성진 기자

키워드

#SSG페이 #개인정보 #디지털금융 #겸영업무 #정보유출
저작권자 © 한스경제 무단전재 및 재배포 금지