소상공인, 자영업자 등 가맹점 카드매출 정보 수백만 건이 별도의 개인 인증 없이 타인에게 쉽게 노출되는 것으로 확인됐다.
사업자 등록번호, 대표자 생년월일, 카드 매출 입금 계좌번호만 있으면 다른 가맹점 매출 정보를 손쉽게 얻을 수 있다. 월·일별 매출 실적과 시간별 카드결제 데이터 등 민감한 정보가 사실상 무방비 상태로 열려 있는 셈이다.
정도의 차이는 있지만 관련 스타트업은 물론 여신금융협회 서비스도 비슷한 상황이다.
7일 본지가 직접 가맹점 매출관리 조회 서비스 제공 1위 기업인 K사의 애플리케이션(앱)에서 사업자 카드매출 입금, 결제 내역을 조회했다.
사업자등록번호, 대표자 생년월일, 카드매출 입금 계좌번호만 입력하면 가능했다. 특히 온라인 쇼핑몰은 사업자등록번호와 입금 계좌가 홈페이지에 노출돼 접근하기가 용이했다.
월별, 일별 카드매출 입금 및 결제 규모뿐만 아니라 타 사업장의 고객에 대한 방대한 정보를 얻을 수 있었다. 결제고객 분석 항목에서 평균 객단가와 재방문 고객 비중, 시간대별 매출까지 제공했다. 이 과정에서 조회 대상이 가맹점주와 동일 인물인지 확인하는 별도의 인증 절차는 없었다.
밴업계 등은 가맹점 매출 정보를 악용할 가능성이 있다고 경고했다.
가맹점 카드 매출은 민감한 정보다. 특정 업체의 재무 현황과 성장 속도 등을 가늠할 수 있기 때문이다. 현재 K사 서비스를 이용하면 30만 가맹점의 정보를 알 수 있는 셈이다.
이에 대해 K사 관계자는 “추가 인증이 없는 건 맞다”면서도 “자금 이체 등에는 실명 인증을 요구하고 있지만 조회만으로는 크게 문제될 소지가 없다. 실명 인증을 해야 하는 법적 의무도 없다”고 주장했다. 법적으로 문제 될 게 없다는 설명이다.
여신금융협회의 조회 시스템도 회원 가입 시 자격을 가맹점으로 한정하기는 했지만 역시 동일한 문제를 안고 있었다. K사도 가맹점 정보를 여신금융협회가 운영하는 통합 매출 조회 시스템에서 스크래핑해 가져온다.
해당 시스템은 직원이나 세무사가 가맹점주 대신 매출 현황을 분석할 수 있도록 제3자의 조회를 허용하고 있다. 세무사가 세금 계산을 위해 매출을 조회할 때 일일이 가맹점주가 실명을 인증할 수 없기 때문이다. 얼핏 보기엔 편리한 서비스지만 민감한 가맹점 정보를 타인이 접근할 수 있는 사각지대가 존재한다.
여신협회 관계자는 “가입절차를 강화할 수도 있지만 이 경우 서비스 실효성이 반감되고 실사용자의 불편을 초래할 수 있다”면서 “시스템 취약점보다는 취득한 정보를 악용하는 게 문제”라고 해명했다.
여신협회는 가맹점의 매출 정보가 신용 정보에 해당하는지 여부에 대해 주무 부처인 금융위원회에서 판단할 문제라는 입장이다. K사가 협회 조회 시스템에서 스크래핑해 가져가는 것도 가맹점주가 동의한 상황이라 법적으로 막을 근거가 없다는 입장이다.
현재 금융 당국도 이에 대한 명확한 지침이 없다. 가맹점 매출 정보 등이 민감한 개인 정보에 해당하는지 뚜렷한 가이드라인조차 없다.
이에 대해 보안업계는 개인 정보 침해 가능성이 있다고 지적한다. 특히 개인사업자의 매출 거래 내역은 개인 정보라는 입장이다.
최경진 가천대 교수는 “개인 정보를 무분별하게 활용하면 개인 정보가 침해될 수 있으며, 이는 개인을 보호하자는 세계적 흐름과 배치된다”면서 “서비스 이용의 편의성을 해치지 않는 선에서 개인 정보를 명확하게 보호하기 위한 추가 인증 등 노력이 필요하다”고 지적했다.
금융 당국도 사태를 파악하겠다는 입장을 밝혔다. 금융위 관계자는 “매출 정보는 개인 정보로 볼 수도 있다”면서 “여신협회를 통해 사태를 파악한 후 필요한 조치를 취하겠다”고 말했다.
함지현기자 goham@etnews.com, 정영일기자 jung01@etnews.com
