카카오페이 결제방식, 전자금융감독기준 위반 논란...비밀번호 저장방식 놓고 `대립각`

카카오가 곧 선보일 간편결제서비스 ‘카카오페이’가 전자금융감독 규정 위반 논란에 휩싸였다. 사용자 편의를 위해 비밀번호 앞 두 자리를 분산보관 하는 것이 발단이 됐다.

3일 관련 업계에 따르면 카카오페이 서비스에 참여하기로 했던 신용카드사들은 이날 긴급회의를 열어 카카오페이 결제방식이 현행 ‘전자금융감독 규정 제60조(외부주문 등에 대한 기준)’에 위반될 수 있다고 의견을 모으고 참여 여부를 재검토하겠다는 방침을 카카오 측에 전달했다.

카카오가 이 서비스에 도입한 LG CNS의 ‘엠페이’는 결제를 위해 카드번호와 유효기간, 비밀번호 앞 두 자리를 저장한다. 카드사들은 카드 비밀번호 앞 두 자리 저장이 계좌번호, 비밀번호 등 이용자 금융정보 무단 보관 및 유출을 금지하도록 돼 있는 해당 규정을 위반한다고 보고 있다.

반면에 해당 기술을 제공한 LG CNS의 설명은 다르다. 이 회사 관계자는 “이미 2012년부터 당시 가이드라인에 맞춰 보안성을 검토해 만든 결제 기술이기 때문에 감독 규정에 어긋나는 부분은 없다”고 주장했다. 그는 “카드번호와 비밀번호 등을 분리 보관하기 때문에 유출되더라도 사용할 수 없는 쓰레기 개인정보가 된다”며 “카드사의 문제제기에 설득작업을 벌이고 있다”고 분위기를 전했다.

금융감독원은 LG CNS 손을 들어줬다. 금감원 관계자는 “감독규정 60조가 적용되기 위해서는 LG CNS 결제가 외부주문 범위에 들어가야 한다”며 “LG CNS는 사실상 전자금융거래업자가 되기 때문에 외부주문으로 볼 수 없다”고 설명했다. 즉 엠페이로 결제하면 외부주문에 포함되지 않는다는 지적이다.

하지만 이에 대한 업계의 해석이 엇갈리면서 혼선이 야기되고 있다.

한 카드사 관계자는 “참여를 확정한 카드사들이 비밀번호 두 자리를 분산보관 하는 것이 현행법 위반이라고 보고 있다”면서 “고객정보 유출, 해킹에 노출된다면 책임을 떠맡을 수 있어 재검토가 불가피하다”고 설명했다.

금융보안연구원의 스마트폰 전자금융 서비스 보안 가이드에도 위반요소가 있다는 주장도 제기됐다. 금보연의 앱 무결성 검증 항목에 따르면 스마트폰 금융거래 기록 정보보관 항목 ‘스마트폰 중요정보 저장금지’ ‘스마트폰 금융거래기록 정보보관’ 여부에 비밀번호 저장이 속한다는 것이다.

일각에서는 카드사의 문제제기가 ‘결제 주도권을 가져가기 위한 꼼수’라는 지적도 나왔다. 한 PG사 관계자는 “카드사들이 결제정보에 대한 권한을 유지하기 위해 무리한 요구를 행사한 것”이라고 지적했다.

길재식기자 osolgil@etnews.com, 한세희기자 hahn@etnews.com