“첫째도 보안, 둘째도 보안, 셋째도 보안이다.” 본격적인 핀테크(FinTech) 시대를 맞아 개인정보 보안이 또다시 화두로 떠올랐다. 지난 2월2일 서울 중구 롯데카드 본사에서 열린 ‘금융·IT 보안 강화를 위한 현장간담회’에 참여한 신제윤 금융위원장은 “정보보안이 확보되지 않은 서비스는 결국 사상누각이 될 것”이라며 이 같이 말했다.

핀테크란 IT기술을 기반으로 금융서비스를 제공하는 것으로 ‘파이낸셜’(Financial)과 ‘기술’(Technique)의 합성어다. 모바일을 통한 결제·송금·자산관리·크라우드 펀딩 등 금융과 IT가 융합된 산업을 의미한다. 카드사들도 본격적인 핀테크 시대에 발맞춰 편리한 서비스를 제공하는 동시에 보안에 심혈을 기울이는 모양새다.

◆반드시 ‘보안’ 기반 돼야

이날 열린 간담회에서 신 위원장을 비롯한 관련업계 전문가들은 핀테크 시대에 반드시 기반이 돼야할 전제 조건으로 ‘보안’을 꼽으며 시스템 보완책의 필요성을 강조했다. 신 위원장은 “금융거래가 보다 쉽고 간편하게 이뤄지다 보면 그만큼 금융사고 발생 가능성이 커질 것은 자명한 일”이라며 “고객에게 편리한 서비스를 제공하는 동시에 부정 거래 등으로 인해 고객이 피해를 보는 일이 없도록 다양한 보완책을 마련해야 한다”고 강조했다.

핀테크가 우리생활에 가져다 줄 편의성에 대한 기대는 높지만 금융권이나 통신업계 등의 정보 보안 맹점을 파고들어 개인정보 유출과 스미싱, 해킹을 통한 정보 보안 사고가 지속적으로 발생할 가능성이 적지 않다는 말이다.

지난해 5월 발생한 삼성카드의 앱카드 명의도용 사고가 대표적이다. 앱카드를 명의도용 한 해커는 스미싱 문자를 통해 공인인증서와 금융정보를 빼낸 뒤 자신의 스마트폰에 앱카드를 깔고 결제까지 진행했다. 이 같은 사실을 확인한 삼성카드는 지난 4월 앱카드 부정매출 피해가 6000만원 규모로 발생했다며 경찰과 금융당국에 자진 신고했다.

전문가들은 정보 보안에 취약한 노년층뿐 아니라 남녀노소 누구나 명의도용을 당할 수 있다고 우려의 목소리를 높였다. 이어 평소 자발적으로 명의도용방지서비스 등을 이용해 꼼꼼하게 점검하지 않으면 자신의 명의가 도용당하는 사실 조차 알 수 없기 때문에 스스로 개인정보에 대한 경각심을 가져야 한다고 강조했다.


 

지난 2월 26일 서울 종로 그랑서울에서 열린 SFIS 2015 스마트 금융&정보보호페어. /사진=머니투데이 홍봉진 기자
지난 2월 26일 서울 종로 그랑서울에서 열린 SFIS 2015 스마트 금융&정보보호페어. /사진=머니투데이 홍봉진 기자

◆카드업계, 보안관리 '총력'

각 카드사도 핀테크 시대에 발맞춰 편의성과 보안이라는 두 마리 토끼를 한번에 잡기 위해 고심하고 있다. 전자상거래에서 편의성과 보안성은 반비례 관계를 이루는 만큼 적절한 균형을 통해 고객들에게 최적화된 서비스를 제공하겠다는 것이다.

신한카드는 스마트폰 앱의 보안성과 편리성을 향상시키기 위해 다양한 노력을 기울이고 있다. 먼저 신한카드는 최근 대표 앱인 ‘스마트신한’과 ‘신한앱카드’ 개선 작업을 완료했다. 또한 앱카드 가입 시 기존 휴대폰 인증의 보안 취약점을 개선한 ‘앱안심인증’을 도입했다. 앱안심인증이란 앱카드 가입 시 휴대폰으로 본인 인증을 할 때 고객에게 문자 메시지로 발송되는 인증코드를 해커가 탈취해 명의를 도용할 가능성이 있는 취약점을 개선한 것이다.

삼성카드는 지난해 금융정보보호 분야 전문가인 성재모 전 금융보안연구원 정보보안본부장을 정보보호최고책임자(CISO) 겸 상무로 영입해 보안에 총력을 기울이고 있다. 삼성카드는 또 보안정책 기획과 고객정보보호 점검, 정보기술(IT) 보안 등의 업무를 담당하는 조직을 확대·개편해 고객 정보 보호 강화에 나섰다.

KB국민카드는 지난해 3월 정보보호팀을 정보보호부로 격상하고 전담인력도 11명에서 21명으로 2배 가까이 늘렸다. 롯데카드도 보안전문기업으로부터 전문컨설팅을 받아 금융보안통합 솔루션을 도입해 금융보안업무 프로세스를 개선 중이다. 농협카드는 지난해 3월 기존에 있던 IT조직과 정보보안조직을 분리해 최고경영자(CEO) 직속 본부 단위의 정보보안조직인 정보보안본부를 신설했다.

우리카드는 지난 2월 ‘고객정보보호 강화 TFT’ 운영을 통해 대량 정보 유출 가능성 및 불필요한 정보관리 권한 등 고객정보보호 이행 실태를 자체 점검, 개인 컴퓨터에 불필요한 고객정보 보유를 금지하도록 했다. 또 미디어(USB 등) 사용 필요 시 권한 부여자 상향 등 전산 접근권한을 최소로 부여했다.


지난 3월 3일 MWC에서 이상철 LG유플러스 부회장(왼쪽)이 핀테크 등에 대한 설명을 듣고 있다. /사진=머니투데이 DB
지난 3월 3일 MWC에서 이상철 LG유플러스 부회장(왼쪽)이 핀테크 등에 대한 설명을 듣고 있다. /사진=머니투데이 DB

◆자발적 정보보호 자세 ‘중요’

최근에는 자발적으로 개인정보를 보호하기 위한 움직임도 왕성하다. 스스로 정보를 보호하는 방법은 다양하다. 먼저 한국인터넷진흥원에서 운영하는 주민번호클린센터에서 주민번호 유출에 따른 도용 여부를 조회하는 방법이 있다. 자신도 모르는 사이에 인터넷 사이트에 가입됐는지 등 주민번호 유출에 따른 도용 여부를 무료로 조회할 수 있다.

또한 한국정보통신진흥협회에서 무료로 운영 중인 엠세이퍼(M-safer)의 ‘이동전화가입제한서비스’는 새 이동전화에 가입할 경우 가입 시 입력한 자신의 이동전화와 e메일로 그 사실을 알려준다. 이를 통해 단말기 대금, 사용료, 소액결제 등 2차 피해의 발생을 막을 수 있다.

휴대폰을 통한 본인 인증 시 명의도용을 방지하는 서비스도 있다. 개인정보 보안기업인 민앤지의 ‘휴대폰번호도용방지서비스’는 휴대폰 본인 인증 시 사용자가 직접 설정한 비밀번호를 입력해야만 승인번호를 받을 수 있어 폰을 분실하거나 스미싱이 발생하더라도 본인 인증이 도용되는 것을 차단할 수 있다. 이 서비스는 SMS나 ARS, 애플리케이션(앱) 중에 본인이 원하는 채널을 선택적으로 사용할 수 있으며 특히 앱을 이용하면 해커 등이 본인인증 내용을 스미싱 하더라도 보안문자를 해독할 수 없어 인증 정보를 가져갈 수 없다.

이밖에도 명의도용 차단을 위한 서비스는 다양하다. 인터넷 실명확인과 본인확인, 신용정보 조회를 방지함으로써 개인정보의 유출과 명의 도용을 사전에 차단해 금융 사고를 미리 예방하는 유료서비스인 사이렌24의 ‘명의도용방지서비스’와 카드발급, 대출개설 등 신규 금융 거래 시도 시 발생하는 신용조회의 알람 및 차단을 통해 제 3자가 임의로 금융거래를 할 수 없도록 예방해주는 코리아크레딧뷰로(KCB)의 ‘전국민 금융명의보호서비스’ 등이 있다.

☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제374호에 실린 기사입니다.