원ID 구조 보안 취약성 불구
금융사·전금업자 분류 안돼
당국 조사권 없어 감독 공백

7일 서울의 한 쿠팡 물류센터 앞에 쿠팡 배송트럭이 주차돼 있는 모습. /사진=뉴스1

<이미지를 클릭하시면 크게 보실 수 있습니다>

쿠팡의 대규모 개인정보 유출사태 이후 계좌·신용카드 정보까지 노출된 것 아니냐는 우려가 커지며 금융감독원의 조사가 필요하다는 지적이 나온다. 쿠팡은 "결제정보는 보관하지 않는다"고 주장하지만 가입시 쿠팡 웹·앱 화면에 카드·계좌정보를 직접 입력하는 '원아이디(ID)' 구조가 불안감을 키운다. 전자금융거래업자인 쿠팡페이가 해킹을 당해도 '고의'가 아니면 1개월 밖에 영업정지를 할 수 없는 제도적 허점도 문제로 지적된다.

7일 금융권에 따르면 3370만명의 개인정보가 유출된 쿠팡에 대해 결제정보까지 해킹됐는지 금융당국이 확인할 필요가 있다는 목소리가 나온다. 그러나 쿠팡은 금융회사나 전금업자(전자금융사업자)가 아니라 금감원이 조사권을 갖고 있지 않고 금감원은 민관합동 조사단에도 포함되지 않아 전문적 조사가 막힌 상황이다.

쿠팡은 결제정보를 별도보관하지 않는다고 설명한다. 쿠팡페이는 카드번호 16자리 중 6자리만 보관하고 나머지는 카드사로 넘기며 정보는 토큰방식으로 암호화한다는 입장이다. 그럼에도 결제정보를 최초 입력하는 화면이 쿠팡이라는 점에서 실제 정보저장 여부와 쿠팡·쿠팡페이 간 망분리가 제대로 이뤄졌는지는 금융당국의 추가확인이 필요하다는 지적이다. 금융권 관계자는 "과거 롯데카드 사례처럼 기업이 '암호화했다'고 밝혀도 조사결과와 다를 수 있다"며 객관적 검증 필요성을 강조했다.

네이버·네이버페이 등 대형 플랫폼도 '원ID' 구조를 사용하고 있어 망분리, 암호화 등 전반적 보안관리 실태점검이 필요하다는 의견도 제기된다.

아울러 전금업자의 제재 실효성을 높여야 한다는 요구도 커진다. 현행 전금법은 고객 정보를 고의로 누설한 경우에는 6개월 영업정지이고 해킹과 같은 사고에는 1개월 영업정지만 가능하다. 개인정보 유출 과징금은 최대 5000만원, 신용정보 유출시에도 최대 50억원의 과징금에 그쳐 제재수위가 낮다는 비판이 나온다.

권화순 기자 firesoon@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.