나이스정보통신에 대한민국 국회도 뚫렸는데...

윤정선 기자
입력 2015.04.17 10:53
수정 2015.04.17 14:09

[기자의눈]본보 보도 후 "금감원에 직접 알려줬냐?"

밴사 스스로 카드결제 정보 중요성 인식할 때

ⓒ데일리안

카드사와 가맹점의 결제업무를 중계하는 밴(VAN)사 나이스정보통신에서 가맹점의 카드결제 정보를 허술하게 관리한 사실이 밝혀진 가운데 나이스정보통신에 안일한 대응이 눈살을 찌푸리게 하고 있다.

나이스정보통신은 가맹점에 매출정보를 실시간으로 정리해서 보여주는 '통합업무지원시스템(NIBS, Nice Integrated Business Support)'을 제공하고 있다.

하지만 본보 취재 결과 나이스정보통신은 NIBS 회원가입 과정에서 허위로 '휴대폰 인증'을 해준 뒤 누구에게나 '사업자번호'만 알면 가맹점의 매출정보를 공개했다.

정상적인 휴대폰 인증이라면 통신사와 생년월일, 성별, 인증번호 등을 확인해야 한다. 이와 달리 나이스정보통신은 휴대폰 문자메시지로 전송한 인증번호만 입력하면 본인인증을 해줬다. 엉터리로 본인인증을 해온 것이다.

더구나 카드영수증에 찍히는 사업자번호만 입력하면, 누구라도 해당 사업자가 보유하고 있는 카드단말기의 결제를 한눈에 볼 수 있었다.

방법은 의외로 간단했다. 기자가 나이스정보통신 NIBS에 가입하면서 지갑 속에 보관하던 국회 본관 매점의 카드영수증에 찍힌 사업자번호를 입력하자 국회에 위치한 사실상 모든 카드단말기가 화면에 펼쳐졌다.

윤정선 데일리안 경제부 기자
어느 카드사의 카드로(카드번호 일부 마스킹) 언제, 얼마를 결제했는지 과거부터 실시간 조회가 가능했다. 당연 여기에는 이름을 알 수 없는 국회의원과 보좌관, 출입기자의 카드결제 내용도 포함돼 있을 것이다.

카드결제 정보는 금융범죄에 악용할 수 있는 중요한 정보다. 예를 들어 카드결제 정보로 카드사 직원을 사칭해 보이스피싱 범죄를 저지를 수도 있다. 또 사채업자나 가맹점과 이해관계가 얽힌 사람이 매출정보를 활용해 악용할 소지도 충분하다.

만약 국회의원이 가지고 있는 카드번호를 알고 있다면 언제, 어디서, 얼마를 결제했는지도 추정할 수 있다.

쉽게 넘어갈 수 없는 문제라는 판단에 금융감독원 고위 관계자에게 이 같은 사실을 전달했다.

금감원은 여신전문금융업법(여전법) 개정안이 시행되는 오는 7월부터 밴사를 직접 관리·감독하게 되지만 문제의 심각성을 알고 "태스크포스(TF)를 구성해서라도 바로 이번 문제를 시정할 수 있도록 하겠다"고 약속했다. 담당 국장도 직접 찾아와 바로 조치를 취하겠다고 했다.

관련 보도가 나간 이후 나이스정보통신이 어떤 개선책을 마련 중인지 궁금했다. 하지만 나이스정보통신의 반응은 뜻밖이었다.

'어떤 보완책을 마련 중이냐'고 묻자 이 회사 관계자는 "현재 (보도 이후) 전면적으로 가입을 중단시킨 상태"라며 "내부적으로 보완 중이고 신속히 우려되는 점이 없도록 하겠다"고 답했다.

그러면서 '금감원에서 어떤 조치를 받았느냐'는 질문에 "친절하게도 금감원에 직접 알려줬느냐"며 "덕분에 금감원에서 하루 종일 전화가 왔다"고 했다. 보안의식 '제로(0)' 수준의 도저히 이해하기 어려운 말투와 답변이었다.

밴사는 여러 카드사의 결제업무를 중계하는 역할을 한다. 이 때문에 카드단말기를 통해 발생하는 모든 결제 정보가 밴사에 집중된다. 카드사 한 곳보다 밴사 한 곳이 훨씬 더 많은 매출정보를 알 수 있는 구조인 셈이다.

밴사는 카드사와 직접적인 계약관계에 있다. 이에 밴사를 관리해야 할 주체는 당연히 카드사지만 제대로 된 관리가 이뤄지지 못하고 있는 실정이다.

다만 오는 7월부터 여전법 개정안이 시행되면서 금융당국이 직접 밴사를 관리·감독할 수 있게 됐다. 결제 정보를 다루기 때문에 밴사도 금융사와 마찬가지로 금융당국의 사정권 안에 들어오는 것이다.

하지만 이 같은 법적장치에도 밴사에 대한 관리·감독이 제대로 이뤄질지는 미지수다. 그동안 제대로 된 관리·감독 없이 난립한 밴사가 얼마나 통제에 따를지도 의문이다.

가장 큰 문제는 밴사 스스로가 카드결제 정보의 중요성을 인식하지 못하고 있다는 점이다. 결제정보 관리의 허술함을 지적하는 보도와 금융당국의 개입을 그저 '귀찮은 일'이나 '간섭'으로만 치부하는 행태에는 말문이 막힐 뿐이다. 결제정보 유출로 심각한 금융범죄가 발생해야만 정신을 차릴 것인지 묻고 싶다.

나이스정보통신을 비롯한 밴사들은 이제부터라도 결제정보의 중요성을 제대로 인식하고 보안과 관리에 만전을 기해주길 기대한다.

윤정선 기자 (wowjota@dailian.co.kr)
기사 모아 보기 >

윤정선 기자가 쓴 기사 더보기