[기자수첩]씨티카드 사고와 갑-을 메커니즘

　비즈니스 세계에는 ‘갑’과 ‘을’이라는 질서가 있다. 보통 구매자가 갑이 되고 판매자가 을이 되는데 ‘소비자=왕’이라는 등식 때문에 ‘갑은 항상 옳다’는 법칙이 성립된다.

　을은 갑의 줄기찬 요구를 꿋꿋이 만족시켜야 하고 심지어 횡포까지 참아내야 하는 것이 미덕이다. 이런 갑과 을의 관계는 사고가 터졌을 때 종종 활용되곤 한다. 최근 발생한 씨티은행의 신용카드 무단결제 사고가 그랬다.

　고객 20여명의 신용카드 정보가 도용돼 5000만원가량이 무단 결제되는 황당한 사고가 발생한 데 대해 씨티은행은 자신의 ‘을’인 전자상거래 지급결제 업무 대행업체(PG)에 책임을 돌렸다.

　“보안이 취약한 PG의 시스템이 해킹당했다”는 해명이었다. 사고의 파장이 커지자 공식적으로 내놓은 해명자료에서는 “PG의 하위 가맹점 사이트가 해킹된 것으로 추정된다”고 둘러댔다. 갑에서 을로, 또다시 을의 고객사로 책임이 떠넘겨지는 ‘갑-을 메커니즘’의 전형을 보여준 셈이다.

　을 입장에 선 PG사와 전문가들은 이 같은 해명에 황당하다는 반응이다. 해킹당한 것으로 알려진 ‘안심클릭’의 경우 신용카드 번호와 비밀번호를 이용한 인증은 카드사 내부의 시스템에서 이뤄지고 PG사에는 인증결과 정보만 보내지기 때문에 PG가 해킹을 당했다고 하더라도 범행에 이용된 카드번호와 비밀번호를 알아낼 수 없기 때문이다.

　하위가맹점은 더더욱 카드번호와 비밀번호를 알 수 없다. 문제는 이 같은 갑-을 메커니즘을 통해 책임소재는 익명의 을이 떠안은 채 온데간데 없어진다는 점이다.

　전문 지식이 있어야 이해할 수 있는 IT 분야가 이 같은 익명의 을 역할을 하는 경우가 많다는 것도 문제다. 씨티카드 사고도 이름 모를 전자상거래 업체들과 정체 모를 해커의 이야기로 시선이 분산됐다. 정작 시스템 관리를 제대로 못해 고객에 피해를 끼친 씨티은행은 예봉을 피해가는 모양새다.

　기업활동의 상당부분이 온라인에서 이뤄지는 사이버 경제 사회에서 해킹이나 전산오류와 같은 사고의 피해는 상당하다. 그런만큼 서비스 주체인 씨티은행은 자체 전산의 문제점을 겸허하게 들여다보고 자신부터 철저한 대응을 하는 모습을 보여야 했다. 씨티은행은 비록 ‘갑’이지만 고객이라는 ‘슈퍼 갑’을 기망해서는 안 된다는 얘기다.

김용석기자·솔루션팀@전자신문, yskim@