6개 카드사가 뭉쳐 만든 모바일 앱카드의 위력은 막강했다. 카드사들이 이례적으로 연합전선을 편 것도 신선했지만, 결제 편의성을 극대화했다는 사실만으로도 고객은 신용카드 대신 스마트폰을 들었다.
서비스 개시 1년도 채 안된 시점에서 사용자는 600만명을 넘어섰고, 온라인 결제에 있어서 모바일 앱카드는 새 결제도구로 자리잡았다.
이 가운데 삼성카드의 모바일 앱카드 명의도용 피해가 불거지면서 카드업계는 또 한번 나락으로 떨어졌다. 카드3사의 정보유출 사고로 된서리를 맞은지 불과 몇개월도 안된 시점에서 모바일 새 서비스까지 뚫린 셈이 됐으니 보안 투자에 뒷짐을 졌다는 책임은 면하기 어렵다.
모바일 앱카드를 대대적으로 홍보했던 카드사는 당초 보안이 완벽하다고 호언장담했다. 물론 이번 사고가 고도로 지능화한 신종수법이라는 점에서 완벽하게 대응하기란 쉽지 않았을 것이다.
그럼에도 카드사들이 새 서비스의 고객 늘리기에만 혈안이 돼 정작 중요한 보안문제는 등한시했고, 금융당국 역시 방관한 책임을 면하기 어렵다.
보안성 심의가 제대로 이뤄졌는지 의문이 드는 대목이다. 당시 금융감독원은 각 카드사의 모바일 앱카드 보안성 심의를 10여일만에 전부 승인해줬다.
이번 사고는 앱카드 등록 시 본인 인증을 휴대폰 인증 등이 아닌 카드번호만으로 해결했기 때문에 발생했다. 노출된 카드번호를 사칭해 사용했다.
이를 공인인증서 문제로만 몰고가려는 금융당국의 사후약방문식 대응도 실망스럽지만, 이처럼 허술하게 서비스 구조를 설계한 삼성카드 보안팀의 수준도 혀를 차게 만든다.
일 터지고 수습하는 후진적 보안의식을 언제까지 되풀이할건가. 감독 책임을 맡고 있는 금융당국부터 ‘모바일 금융’에 대한 이해를 바탕으로 새로운 지침과 규정을 만들어야 한다. IT를 기반으로 한 스마트 금융에 대한 이해 없는 감독기관은 해커들로부터 계속 조롱꺼리가 될 수밖에 없다.
길재식기자 osolgil@etnews.com