쿠팡의 대규모 개인정보 유출 사태 이후 계좌, 신용카드 정보 유출 우려가 확산하고 있어 금융감독원의 조사가 필요하다는 지적이 나온다. 쿠팡 측은 "결제정보는 보관하지 않는다"고 주장하지만 첫 가입시 쿠팡 웹이나 앱에 카드, 계좌, 간편결제 정보를 등록하는 '원 아이디(ID)' 가입 구조가 불안감을 키우고 있다. 전자금융거래업체인 쿠팡페이에서 정보가 유출됐더라도 '고의'가 아니면 1개월밖에 영업정지를 할 수 없는 제도적인 허점도 보완해야 한다는 지적이다.
7일 금융권에 따르면 3370만명의 개인정보가 털린 쿠팡에 대해 결제정보(신용정보)까지 해킹 된 것인지 금융당국의 철저한 조사가 필요하다는 목소리가 나온다. 쿠팡은 금융회사나 전금업자가 아니어서 금감원이 조사권을 갖고 있지 않다. 금감원은 민관합동조사단에도 포함되지 않아 쿠팡의 결제정보 유출 여부에 대해 전문적인 조사가 막힌 상황이다.
쿠팡 측은 결제정보는 별도 보관하지 않고 있다고 밝혔다. 하지만 쿠팡 가입시 쿠팡페이 계정이 자동 생성되는 '원 아이디(ID)' 구조로 인해 개인정보 유출 고객의 불안감이 크다. 쿠팡 회원 가입시 쿠팡페이로 결제수단을 등록하기 위해서는 쿠팡 앱이나 웹 화면에 직접 신용카드, 계좌, 간편결제, 편의점결제 등의 정보를 입력해야 한다. 전체 가입자의 약 60~70%가 해당한다.
쿠팡의 화면에서 결제정보를 입력한 다음에 이후 해당 정보는 쿠팡페이로 넘어가기 때문에 쿠팡은 결제정보를 전혀 보관하지 않는다(임시메모리)는 게 쿠팡 측의 설명이다. 쿠팡페이도 계좌정보와 카드번호 16자리중 6자리만 보관하고 다른 정보는 카드사로 넘긴다. 세세한 정보는 토큰방식으로 암호화한다. 이대로라면 쿠팡페이가 해킹 피해를 입어도 결제정보가 통째 나가기 어려운 방식이다.
다만 결제정보를 최초 입력하는 화면이 쿠팡 홈페이지라서 실제 정보를 보관하지 않는지 여부는 금융당국 등이 추가 확인해야 한다. 쿠팡페이는 쿠팡에서 분사한 조직이기도 하다. 물리적인 망이 완전히 분리된 것인지도 객관적인 사실관계 확인이 필요한 대목이다.
금융권 관계자는 "롯데카드도 고객의 CVC(카드 뒷면 3자리 보안코드) 등의 민감 정보는 곧바로 암호화 한 것으로 알려졌으나 금감원 조사 결과 암호화하지 않은 신용정보가 대규모 유출되는 사태로 번졌다"며 "쿠팡이 정보보관을 안하고, 완벽하게 망을 분리했다고 하지만, 실제로 그런지 사실관계를 명확히 확인해야 결제정보 유출 불안감을 해소할 수 있다"고 말했다.
원-아이디 구조는 쿠팡 뿐 아니라 네이버-네이버페이 등 대형 플랫폼에서 광범위하게 활용하는 결제 방식이다. 고객 편의성 증대를 위해 도입했지만 망분리나 결제정보 암호화 여부 등 전체적인 보안 관리 실태점검도 필요하다는 지적도 나온다.
또한 해킹 등으로 정보를 유출한 전금업자에 대한 제재 수위를 상향해야 한다는 주장에도 힘이 실린다. 이찬진 금감원장은 지난 3일 국회 정무위원회의 쿠팡 개인정보유출 사태 현안질의에서 "이런 기업에 대해 영업정지를 할 (법적) 방법이 없다"고 밝혔다.
전금법상 '고객 정보를 타인에게 제공, 누설하거나 업무상 목적외 사용하는 경우' 6개월 이내 영업정지가 가능하다. 다만 해킹의 경우는 1개월로 확 낮췄다. 개인정보 유출에 따른 과징금은 5000만원에 불과하고, 신용정보 유출시에도 신용정보법상 최대 50억원의 과징금만 부과할 수 있다.