해당 대형 카드사, 취재 시작되자 카드등록 막는 '임시방편'
  • 금융회사와 IT기업이 제휴를 맺고 간편결제 서비스 시장에 적극 뛰어들고 있지만, 개인정보 보호는 뒷전인 것으로 나타났다. 


    카드사와 제휴를 맺고 간편결제 서비스를 제공하는 업체가 금융소비자에게 주민등록번호 입력을 요구하고 있지만 카드사의 관리·감독은 전혀 이루어지지 않고 있어, '제2의 개인정보 유출 사태' 재현 가능성이 높아지고 있다.

    14일 금융권에 따르면, 신한·비씨·씨티BC·우리·JB전북·하나카드 등 6개 카드사와 간편결제 서비스 제휴를 맺고 있는 모바일 결제 어플리케이션(이하 앱) '유비페이(UbPay)'가 최초 거래시 신용카드를 등록하는 과정에서 고객에게 주민등록번호 뒷자리까지 입력하도록 요구하고 있는 것으로 확인됐다. 


    특히 비씨카드는 은행카드사 회원들의 제휴 업무까지 일괄 진행하는 경우가 있어 영향이 크다.


    뉴데일리경제에서 취재가 시작되자 유비페이 측은 9개월 동안 방치하고 있었던 앱 화면을 수정하고 현재 주민등록번호 입력창을 모두 삭제했다. 


    한 대형 카드사는 하루동안 등록 리스트에서 내렸다가, 카드정보입력 화면이 수정된 후 다시 등록할 수 있도록 조치하기도 했다. 



  • ▲ 지난 13일까지 카드사 회원들의 주민번호 뒷자리를 요구하는 유비페이 화면.
    ▲ 지난 13일까지 카드사 회원들의 주민번호 뒷자리를 요구하는 유비페이 화면.

            

    현재 온라인에서는 주민등록번호를 입력하지 않고 생년월일·성별·휴대폰 번호 만으로 개인정보를 파악해 결제 서비스를 이용할 수 있다.

    지난해 8월 개인정보보호법 개정안이 시행되면서 이통사와 지급결제대행(PG)사의 주민등록번호 수집이 금지됐고, 올해 2월 계도기간도 종료돼 주민번호 수집은 엄연한 불법행위다.

    이와 관련, 유비페이 관계자는 현재 주민등록번호를 수집하고 있지 않으며 앱 화면에서만 입력되는 구조라고 해명했다.

    그는 "유비페이 앱 화면에서 주민등록번호를 입력했다고 해서 고객 정보가 카드사에 바로 전송되지 않고 유비페이에서 승인해야 전달되는 구조"라며 "주민등록번호 입력은 되지만 실제 수집하고 있지는 않으며, 개발자가 퇴직한 상태여서 앱 화면 수정을 못하고 있다"고 말했다. 

    하지만 유비페이의 이용약관에 따르면, 본인확인에 관한 기록을 6개월 동안 보존하고 있는 것으로 명시돼있다. 약관 상 고객이 간편결제 서비스를 이용하기 위해 회원가입을 진행하는 과정에서 제공한 개인정보를 6개월 동안 저장하고 있는 것. 


               

  • ▲ 문제가 된 간편결제 회사의 개인정보취급방침. 보인확인을 위한 기록은 6개월 동안 보관된다고 명시됐다. 하지만 해당업체에서는 주민등록번호는 저장하지 않는다고 해명했다.
    ▲ 문제가 된 간편결제 회사의 개인정보취급방침. 보인확인을 위한 기록은 6개월 동안 보관된다고 명시됐다. 하지만 해당업체에서는 주민등록번호는 저장하지 않는다고 해명했다.

     


    아울러 카드사들도 지난해 9월부터 유비페이에 고객 주민등록번호 수집을 중단하라고 요구했으나 그동안 별다른 조치가 이루어지지 않았다고 해명하며, 간편결제 회사의 문제라 어쩔 수 없다는 입장을 보였다. 


    일부 카드사는 유비페이의 주민등록번호 요구에 대해 시정할 것을 요구했다면서도, 개인정보를 저장하거나 공유하지 않아 문제되지 않을 것이라는 모호한 입장을 취했다.


    비씨카드 관계자는 "카드등록할 때 주민등록번호 뒷자리까기 요구하는 것은 비씨카드의 문제가 아니라 유비페이의 문제다. 유비페이 측에 문의한 결과 이 개인정보를 서버에 저장하거나 공유하는 것이 아니라 문제가 없다고 한다"고 설명했다.


    이어 그는 "개인정보보호법 개정안이 시행되자 내부적으로 유비페이 화면에 문제가 있다고 판단, 지난해 9월 수정을 요구하는 공문을 보냈다. (올해 2월 계도기간 종료 후) 추가 조치는 취하지 않았다. 앞으로 다시 수정을 요청할 것이다"고 덧붙였다.


    결국 간편결제 서비스 제공 업체는 9개월 동안 불필요하게 과도한 개인정보를 고객들에게 지속적으로 요구하고 있었고, 카드사들도 이를 인지하고 있었으나 손 놓고 문제를 방치하고 있던 것.


    우리. 씨티 등 비씨카드 회원사 측은 "회원사이기 때문에 문제가 발생하면 비씨카드가 관련 회사에 소명하거나 시스템을 바꿀 것이다. 비씨카드에서 회원사를 대신해 계약을 체결한 만큼 간편결제 제휴에 있어 보안 및 고객정보에 대한 책임도 비씨에 있다"고 했다. 


    비씨카드의 전산을 통하지 않고 단독으로 유비페이와 제휴된 신한.하나카드 등에서는 "그동안 주민번호 뒷자리 수집에 대해 수정할 것을 요구했다. 이후에도 회원들의 주민번호를 입력하도록 돼 있다는 점을 인지하고는 있었으나, 고객의 불편을 고려해 서비스를 유지했다"고 설명했다.


    뿐만 아니라 간편결제 서비스를 사용하기 위해 사용자가 동의해야 하는 '이용약관'에 대한 관리도 전혀 이루어지지 않고 있는 것으로 드러났다.

    LG유플러스의 간편결제 시스템인 '페이나우' 앱을 실행해본 결과, 제휴를 맺은 카드사와 계약 내용이 변경됐음에도 불구하고 이용약관에 이를 전혀 반영하지 않은 채 방치하고 있었다.

    LG유플러스 페이나우를 이용할 때 고객이 동의해야하는 '개인정보 제3자 제공 동의' 관련 약관을 살펴보면, 페이나우는 신한카드사(제3자)에 고객의 
    휴대폰번호, 주민등록번호, 단말기정보, 카드번호, 카드CVC, 유효기간, 패스워드에 대한 내용을 제공하기로 명시돼있다.


    하지만 지난 2월 신한카드가 고객 주민등록번호 정보를 제공받지 않겠다는 의사를 밝히고 양사간 계약 내용이 바뀌었지만, LG유플러스 페이나우는 해당 약관을 약 3개월 동안 손보지 않고 있었다.


                      

  • ▲ 문제가 된 간편결제 회사의 개인정보취급방침. 보인확인을 위한 기록은 6개월 동안 보관된다고 명시됐다. 하지만 해당업체에서는 주민등록번호는 저장하지 않는다고 해명했다.



    현재 LG유플러스 페이나우 앱에서 신한카드를 이용할 때 고객의 주민등록번호 입력을 직접 요구하고 있는 상황은 아니라, 개인정보 유출 가능성이 크지는 않은 것으로 파악된다. 앱 화면 내에서 고객 주민등록번호 수집이 불가능해 물리적으로 개인정보 저장이 차단돼 있기 때문이다.

    다만 금융소비자가 페이나우를 사용하기 위해 반드시 동의해야만 하는 이용약관 내에 카드사의 계약과 전혀 다른 내용이 명시돼있었음에도 무방비로 방치돼있어, 간편결제 서비스에 대한 관리·감독이 얼마나 소홀한지 확인할 수 있다.

    LG유플러스 관계자는 "신한카드가 예전에는 (페이나우에) 주민등록번호를 요청했으나 개인정보보호법이 바뀌면서 더이상 제공받지 않겠다고 요청해왔다"며 "계약내용이 바뀌었는데 담당부서에서 이용약관 수정을 안했던 것이고 바로 고칠 것"이라고 밝혔다.

    그는 이어 "페이나우는 회원가입이나 카드 등록시 고객의 주민등록번호 입력을 요구하고 있지 않으며, 수집하고 있지 않다"고 덧붙였다.  

    이에 조남희 금융소비자원 대표는 "특정 서비스를 이용하기 위해 소비자가 회원가입을 할 때 이용약관에 대해 쉽게 인지하지 못하고 동의하는 경우가 대다수"라며 "적어도 개인정보와 관련된 부분에서 소비자의 동의를 얻을 때는 그 내용을 소비자가 정확히 알 수 있도록 뚜렷하게 명시할 필요가 있다"고 지적했다.



    아울러 조남희 대표는 "현재 이용약관을 만들거나 수정할 때 검증이나 모니터링이 제대로 이루어 지지 않아, 시행되고 잘못된 부분은 나중에 발견되는 구조에도 문제가 있다"며 "이용약관에 대한 검증을 강화해야 한다"고 강조했다.