[뉴스줌인]8년째 방치된 비인증결제 허점…인증 없이 국경 넘는 카드정보

롯데카드의 대규모 카드정보 유출 사태는 글로벌 전자상거래가 보편화된 현 상황에서 금융권 인증 절차의 중요성을 역설하고 있다. 국내에 한정된 현행 정보보안 체계만으로는 이번 사례와 같은 대규모 유출 사태에 사후약방문으로 대응할 수 밖에 없기 때문이다. 그간 보안을 부차적인 업무로만 여겼던 금융당국과 금융권 역량 강화와 사전 대비가 시급하다.

23일 금융권에 따르면 C커머스를 통한 비인증 방식 결제는 이미 수년간 반복되 온 단골 보안 취약 요소다. 앞서 2017년에도 씨티은행 체크카드를 통해 아마존 등 해외 대형 쇼핑몰에서 소액결제 공격으로 3000만원 안팎의 침해 사고가 발생한 바 있다. 사건이 발생했던 당시 금융당국에서는 해외 가맹점에는 국내 규정을 적용하기 어렵다는 이유로 카드사 차원 자체 대응 역량 강화를 주문했다.

해당 규정은 현재까지도 별다른 변화 없이 유지되고 있다. 금융감독원 관계자는 “여신전문금융업법 감독규정상 본인인증 규정은 국내 가맹점에 해당된다”면서 “C커머스 등 해외가맹점은 글로벌 결제망을 활용하고 있어 인증을 받지 않아도 카드정보만으로 결제가 가능한 구조”라고 말했다. 현재까지도 비인증결제 보안 허점은 그대로 방치한 채 7년여간 제도가 유지되고 있는 셈이다.

이같은 규정이 국내에만 적용되는 이유는 글로벌 결제사의 내부 정책 때문이다. 당시 주된 경로가 됐던 페이팔은 물론이고 비자(VISA)나 마스터카드 등 글로벌 결제망을 보유한 기업의 경우 카드 정보 등록 이후에는 별도 인증 절차를 요구하지 않는다. 자체 보안 인증을 통해 추가적인 절차를 줄이면서도 편의성을 높여 보다 많은 결제를 유도하기 위해서다. 대신 발생하는 모든 문제에 대해서는 전액 보상하는 방식으로 운영된다.

다만 문제는 C커머스의 경우 이런 글로벌 결제사의 강력한 내부 보상 정책을 따르지 않는 경우가 허다하다는 점이다. 아마존, 넷플릭스와 같은 대형 해외 가맹점과는 달리 C커머스에 입점한 가맹점의 경우 국내 오픈마켓에 입점한 소상공인과 크게 다르지 않은 영세업체가 대부분이다. 침해사고에 따른 부정사용이 발생했을 경우 입증과 최종 보상까지 소요되는 시간과 비용 등을 가늠하기 쉽지 않다.

소액다건의 거래가 대다수를 차지하는 C커머스 특성도 보안 의식을 약화시키는 요인이다. 결제 이후에도 배송까지 걸리는 시간이 적지 않은데다, 환불 신청도 빈번한 만큼 소비자 역시 부정사용에 대한 경각심을 갖기 쉽지 않다. 이번 롯데카드 해킹으로 유출된 정보가 언제 어떻게 사용될지 여부도 현재로선 파악하기 쉽지 않은 상황이다.

정부는 연일 금융권의 안일한 보안 의식에 대해 경각심을 가져야 한다고 촉구하는 분위기다. 이날 역시 금융위원회는 권대영 부위원장 주재로 전 금융권 정보보호최고책임자(CISO)를 대상으로 긴급 회의를 열고 금융보안 역량 강화를 위한 대응 방안을 논의했다.

권 부위원장은 이 자리에서 “금융회사에서는 최고경영자 책임하에 모든 전산시스템과 정보보호체계에 보안상 허점이 없는지 사운을 걸고 즉시 전면적으로 챙겨주기 바란다”면서 “문제 될 수 있는 요소들을 샅샅이 찾아 정부와 공유하고 해법을 논의해 주시길 바란다”고 주문했다. 그러면서 “감독당국의 점검 항목만 준수하면 된다는 인식으로는 현실의 침해위협에 결코 대응할 수 없다”고도 강조했다.

금융회사들은 보안 허점을 인지하면서도 금융당국의 인식도 안일한 것은 마찬가지라는 분위기다. 이미 비인증결제로 인한 보안 허점에 대해 인지하고 있으면서도 사실상 방치했다는 불만이 적지 않다.


지급결제업계 관계자는 “비인증결제로 인한 사고 발생시 책임이 가맹점 계약 구조 상 카드사가 아닌 결제대행(PG)사에게 돌아가는 만큼 문제 해결에도 미온적”이라면서 “과거라면 다르겠지만, 지금처럼 대규모 정보가 유출된 상황에서는 국내 PG사와 카드사의 영향이 미치는 플랫폼에 대해서는 인증 방식의 결제를 의무화할 필요가 있다”고 강조했다.

류근일 기자 ryuryu@etnews.com, 김시소 기자 siso@etnews.com, 박진혁 기자 spark@etnews.com