일회성 이메일로 가입을 시도하는 불법 접근이 기승을 부리자 한국신용정보원이 신용정보·보험정보조회서비스 통합회원제 가입에 화이트리스트를 도입했다.
일부 독립법인대리점(GA)과 인슈어테크 업체가 고객에게 제대로 고지 없이 임의로 회원가입을 대행하면서 피해가 확산했다. 하루에 최소 300~400건 불법 가입 시도 사례가 발생해 추산 건수만 3만건에 달한다.
신정원은 하루 최소 300~400건 불법 가입 시도가 발생해, 향후 심각한 피해를 초래할 수 있다는 판단에 대응에 나섰다는 설명이다.
12일 관련 업계에 따르면 신정원은 최근 통합회원제 가입 이메일 인증에 화이트리스트를 도입했다.
화이트리스트는 유명하고 안전한 IP주소를 따로 분류해 이 주소에서 보내는 메일은 모두 안정성 있다고 판단해 수용하는 목록을 뜻한다. 화이트리스트 메일만 허용하면 역으로 악성 메일 등 일회성 메일 등은 원칙적으로 차단이 가능하다.
신정원은 화이트리스트를 도입하면서 네이버, 한메일, 다음, 네이트, 지메일 등 16개 회사 도메인만을 인증이 가능한 이메일로 등록했다. 따라서 해당 도메인을 제외한 이메일로는 가입을 할 수 없다.
신정원 관계자는 “일회성 이메일로 가입을 시도하는 불법 접근이 급증하면서 일단 수기로 차단하는 작업을 했지만, 최근 한계에 다다르게 됐다”며 “일부 피해를 입은 소비자 민원도 접수되고 있어, 더 큰 피해가 초래될 수 있다는 판단에 화이트리스트를 도입하게 됐다”고 설명했다.
앞서 신정원은 비회원제로 자유롭게 사용하던 신용정보·보험정보조회서비스를 올해부터 통합회원제로 전환했다. GA와 핀테크 및 인슈어테크 업체가 무분별하게 스크래핑하면서 개인정보 유출 우려가 크다는 판단에서다. 통합회원제로 전환하면서 문자인증을 비롯 이메일인증도 받도록 했다.
인증이 어려워지자 일부 업체가 일회성 이메일을 생성해 소비자가 인지하지 못한채 가입을 대행하는 사례가 있었다. 도메일은 살짝 변경한 이메일(예 never, hammail)을 사용하는 방식이다.
문제는 이렇게 가입된 이메일로는 추후 정보조회가 어렵다는 점이다. 만약 고객이 아이디나 패스워드를 기억하고 있다면 문제없지만, 분실해 찾을 경우 이메일 인증을 필수로 요해 다시 찾는 것은 불가능하다. 새로 가입을 하려고 해도 마지막 사용 후 1년이 지나야 가입이 가능하다. 이 때문에 막상 신용정보 조회를 해야 할 때 하지 못하는 불상사가 생길 수 있다.
이 관계자는 “고객 대부분은 자신도 모르는 사이에 신정원에 가입돼 향후 신정원 서비스를 필요로할 때 아이디나 패스워드를 몰라 접속에 제한을 받을 수 있다”며 “또 이렇게 고객이 모르는 사이에 신용정보가 열람되면서 각종 개인정보가 유출될 가능성도 있다”고 설명했다. 이어 “이번 화이트리스트 도입은 개인정보 보호를 위한 신정원 조치”라면서 “리스트 목록의 경우 국민 대부분이 사용하는 도메인으로 구성해 큰 불편은 초래하지 않을 것”이라고 덧붙였다.
박윤호기자 yuno@etnews.com
