단말기 번호 검증 없이 엉뚱한 고객에 안내문 발송... 금융감독원 민원 접수
망분리 규제 완화 앞두고 내부통제 도마

[보안뉴스 조재호 기자] 카카오페이증권이 고객 개인정보가 담긴 안내문을 다른 사용자에게 오발송했다. 고객 휴대폰 번호를 확인하는 과정에서 실제 단말기 소유주를 검증하는 체계가 누락돼 발생한 오류로 분석된다.

24일 금융업권에 따르면, 이번 사고는 자기 휴대폰 번호로 엉뚱한 사람의 개인정보를 수신한 사용자가 금융감독원에 직접 민원을 제기하면서 수면 위로 드러났다.


[출처: 카카오페이증권]

이번 오발송 사고는 알림 발송 시스템에 수신자 검증 절차가 미흡했던 것이 원인으로 꼽힌다. 통신사는 고객이 휴대폰 번호를 해지하거나 번호를 변경하면 일정 기간 후 그 번호를 다른 사용자에게 할당한다. 그러나 카카오페이증권 고객 안내 시스템은 메시지 발송 시점의 실제 단말기 소유주와 자사 고객 데이터베이스 명의자가 일치하는지 확인하는 교차 검증 로직을 거치지 않은 것으로 파악됐다.

이러한 시스템 결함은 카카오페이증권뿐만 아니라 모회사 카카오페이에도 동일하게 영향을 미치는 것으로 나타났다. 카카오페이증권에서 처음 문제가 발생한 이후 카카오페이 역시 소유주 검증 체계의 한계를 인지하고 내부적으로 공동 대응을 논의한 것으로 알려졌다.

이번 사안은 외부 해킹 공격이 아니라 기업 내부 시스템상 설계 오류가 정보 노출로 이어진 사례다. 편의성을 위해 단순 번호 매칭에 의존한 결과 보안 사각지대가 발생한 셈이다. 카카오페이증권은 법무법인과 공동 대응을 준비 중인 것으로 전해졌다.

이번 사고는 금융 당국이 AI 보안 활용을 위해 요건을 갖춘 일부 금융사에 망분리 완화를 허가하는 등 규제 완화 움직임을 보이는 가운데 일어났다. 같은 카카오 계열사 카카오뱅크는 망분리 규제 완화 조치를 적용받는 10개 금융사 중 하나로 선정된 것으로 알려졌다.

카카오페이증권은 “사실 관계를 확인해 보겠다”고 밝혔다.

한 금융보안 전문가는 “이번 일은 보안 내재화(Privacy by Design)라는 원칙이 무너진 경우 발생할 수 있는 사고 중 하나”라며 “기본이라 할 수 있는 사용자 검증에서 문제를 일으켰다면, 기초부터 다시 재검증하고 안전성을 확보해야만 추가 사고를 막을 수 있을 것”이라고 말했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>