핀테크업체 연이은 금융사고에 소비자 불안 확산
상태바
핀테크업체 연이은 금융사고에 소비자 불안 확산
  • 임해원 기자
  • 승인 2020.06.10 13:50
  • 댓글 0
이 기사를 공유합니다

사진=토스 공식 블로그 갈무리
사진=토스 공식 블로그 갈무리

코로나19 확산에 따라 비대면 금융서비스가 활성화되면서 보안에 대한 관심도 점차 높아지고 있다. 특히 공인인증서에서 사설인증서로의 전환이 진행되는 상황에서 핀테크업체의 보안사고가 잇따라 발생하자 비대면 인증 시스템에 구멍이 난 것 아니냐는 우려의 목소리도 나온다.

◇ 신분증 위조 사기 대출., 비대면 인증 보안 '구멍'

지난 3일 간편결제서비스 ‘토스’의 온라인 가맹점 3곳에서 8명의 고객 명의로 계좌에서 총 938만원의 부정 결제가 발생했다. 토스는 신고 접수 후 문제가 발생한 계정을 즉시 차단하고 의심되는 IP로 접속된 계정을 미리 탐지해 피해 확산을 막았다고 밝혔다. 피해금액은 전액 환급 조치했다. 

토스는 “토스를 통한 정보 유출이 아닌, 도용된 개인정보를 활용한 부정 결제 이슈”라며 토스 자체 시스템의 문제는 아니라고 해명했다. 제3자가 토스가 아닌 다른 경로를 통해 고객의 인적사항 및 비밀번호 등을 알아낸 뒤 웹 결제를 이용해 부정 결제를 했다는 것. 

이처럼 개인정보 도용을 통한 비대면 인증 보안사고는 토스뿐만 아니라 다양한 금융서비스에서 발생하고 있다. 지난 8일 머니투데이 보도에 따르면, 운전면허증을 위조해 비대면 계좌를 개설하고 1억원 이상의 대출까지 받은 사건이 최근 경찰에 신고됐다. 위조범은 타인의 운전면허증을 불법 취득한 뒤 사진을 바꿔 넣는 방식으로 위조해 휴대폰을 개설하고, 이를 통해 한화생명과 광주은행에서 각각 7400만원, 4000만원의 대출을 받은 것으로 밝혀졌다. 

◇ 개인정보 도용으로 인한 소비자 피해 확산

토스의 해명에도 불구하고 비대면 금융사고에 대한 불안감은 가라앉지 않고 있다. 금융사 자체 보안시스템이 해킹 위협으로부터 안전하다고 해도, 다른 경로를 통해 취득한 개인정보를 악용해서 벌어지는 보안사고에 대해서는 속수무책이기 때문. 특히 비대면 인증방식을 사용하는 금융서비스의 경우 개인정보 도용으로 인한 소비자 피해에 취약할 수밖에 없다. 

가장 큰 문제는 금융사 자체 보안시스템의 부실로 발생한 사고가 아닌 이상 피해에 대한 책임은 금융사가 아닌 소비자가 부담해야 한다는 것이다. 특히, 기존 공인인증제도의 경우 금융사고가 발생해도 금융사가 정해진 보안절차를 준수했거나, 소비자에게 개인정보 유출의 과실이 있으면 제대로된 보상을 받기 어려웠다. 전자금융거래법 9조는 공인인증서 등 접근매체 위·변조에 따른 금융사고 발생 시 금융사의 배상 책임을 규정하고 있지만, 소비자가 인증수단을 제대로 관리하지 않은 경우에는 책임을 물을 수 있도록 했다. 

하지만 해킹기술이 날로 발전하고 있는 상황에서 소비자가 개인정보를 빈틈없기 관리하기는 불가능에 가깝다. 이 때문에 미국 등에서는 소비자의 과실로 개인정보가 유출됐다고 하더라도, 일정 기간 내 신고만 하면 금융사가 피해금액을 전액 보상하고 있다. 또한 개인정보 도용으로 일부 금액이 계좌에서 빠져나가더라도, 평소 거래 패턴과 비교해 이상한 점이 발견되면 이후 거래가 중단되거나 1회당 거래 액수가 축소되는 등의 조치가 즉시 시행된다. 

토스는 지난 8일 부정결제 이슈와 관련해 해명하는 내용의 글을 홈페이지에 공지했다. 사진=토스 홈페이지 갈무리
토스는 지난 8일 부정결제 이슈가 언론에 보도되자 "토스를 통한 정보유출은 아니다"라고 해명했다. 사진=토스 홈페이지 갈무리

◇ 공인인증서 폐지돼도 금융사고 책임소재는 불분명

지난달 20일 전자서명법 개정안이 국회를 통과하면서 공인인증서 독점 체제가 끝나고 사설 인증 서비스의 경쟁 시대가 도래했지만, 여전히 금융사고 책임소재의 문제는 명확히 해결되지 않은 상태다. 

데이터분석업체 링크브릭스의 지윤성 대표는 지난달 20일 CBS라디오 ‘김현정의 뉴스쇼’에 출연해 개정안과 관련해 “아직 법적으로나 서비스의 약관상 전자서명 과정에 있어서 (보안사고의) 책임이 아직은 고객에게 있다. 그게 해결되기 전에는 실제로는 공인인증서가 문제가 해결되는 건 아니다”라고 지적했다. 

지 대표는 “이미 또 국내 소비자들은 공인인증서를 쓰지 않고 카드번호와 CVC를 통해 해외 직구를 많이 하고 있다. 그래도 문제가 별로 없고, 문제가 생기더라도 해외는 서비스 사업자에게 책임이 있기 때문에 대부분 환불을 해준다”고 설명했다.

지 대표는 이어 “북미나 유럽에서는 ‘제로 라이어빌리티’라고 해서, 고객은 책임이 없고 한다. 금융거래나 전자서명 과정에 있어서 고객의 의도된 행위가 아니라면, 위·변조나 해킹으로 어떤 문제가 발생했을 때 무조건 서비스 사업자가 책임지게 돼 있다”며 “그런데 우리나라는 공인인증서라는 제도 자체 때문에 모든 책임을 소비자한테 다 지게끔 전가시킨 것”이라고 설명했다. 

◇ 토스 부정결제 이면에 금감원 관리감독 부실 

물론 사설인증서 경쟁이 격화될수록 차별화된 소비자 보호조치를 통해 시장을 선도하려는 금융사가 늘어날 수도 있다. 실제 카카오뱅크는 지난 2017년 출범 당시부터 기존 은행과 달리 거래 시 공인인증서를 사용하지 않고 자체 인증시스템을 사용하도록 했다. 카카오뱅크는 “공인인증서를 사용하지 않는 것은 보안사고의 책임 소재를 고객이 아닌 회사가 지겠다는 의미”라고 설명했다. 카카오뱅크도 보안사고로부터 자유로운 것은 아니지만, 사설인증서 시장 경쟁이 금융사 책임을 강화하는 방향으로 작용한다면 가장 이상적인 결과로 이어질 수도 있다.

시장 경쟁 및 법 개정을 통해 보안사고 책임 논란이 명확히 해소될 때까지는 금융당국의 역할도 중요하다. 최근 연이은 비대면 인증 관련 사고와 관련해 금융당국의 관리·감독이 부실했던 것 아니냐는 지적도 나온다.

실제 토스는 지난 2015년 9월 전자금융업자 등록 이후 금융감독원의 검사를 단 한 번도 받은 적이 없다. 게다가 이번 사고 이후에도 언론 보도가 나오기 전까지 금감원에 보고도 하지 않은 것으로 알려졌다. 제3인터넷전문은행 예비인가까지 받으며 국내 핀테크 업계에서 선두를 달리고 있는 업체조차 금융당국의 규제 사각지대에 놓여있었던 셈이다.

각종 사고가 이어지고 있는 만큼, 금융당국도 인증 환경 변화에 따른 대응에 나설 방침이다. 우선 금감원은 토스에 대한 조사를 마친 뒤 비슷한 결제방식을 사용하는 다른 핀테크 업체로 조사 범위를 확대할 계획이다. 

금융위원회 또한 지난 8일 ‘금융 분야 인증·신원확인 제도혁신 T/F’ 1차 회의를 열고 업계 및 학계 관계자들과 함께 전자금융거래 인증수단의 편의성과 안전성을 확보할 수 있는 방안을 논의했다.

금융위 관계자는 “7월까지 T/F를 속도감 있게 운영해 금융분야 인증·신원확인 관련 주요 검토사항에 대한 정책적 대안을 마련한 후, 관련 법령개정 등 제도 개선을 추진할 계획”이라고 밝혔다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.