지난 6월 3일 국내 1위 핀테크 업체인 토스에서 고객 8명의 명의로 938만원이 부정 결제되는 사건이 발생했다. 누군가가 고객의 이름과 전화번호, 생년월일, 토스 비밀번호를 도용해 결제를 한 것이다. 토스는 다음날 부정결제금액을 전액 고객에게 환불하고 사과했지만 사건의 후폭풍은 여전하다.
며칠 뒤에는 시중은행을 해킹하려다 붙잡힌 피의자의 외장하드에서 개인 신용카드 정보가 무더기로 발견되는 일도 생겼다. 61기가바이트(GB) 용량의 개인 신용카드 16자리 번호와 유효기간, 암호화된 비밀번호가 외장하드 2개에 나눠서 저장돼 있었다.
금융사의 보안이 뚫리는 일이 잇달아 발생하면서 내 금융 정보는 안전한 지에 대한 국민들의 불안감도 커지고 있다. 금융 정보는 주민등록번호나 전화번호와 달리 새어나가는 순간 직접적인 피해를 일으킨다. 중국이나 동남아에서 걸려오는 어설픈 전화 수준이 아니라 내 카드에서, 내 통장에서 실제 돈이 빠져나갈 수 있다.
지난 몇 년 동안 정부는 '핀테크 활성화'를 내세우며 보안 문제에 대해서는 큰 관심을 두지 않았다. 부정결제 사건이 터진 토스는 2015년 9월 전자금융업자로 등록했는데 이후 5년이 되도록 한 번도 금융감독원의 검사를 받지 않았다. 시중은행은 매년 받는 다양한 검사를 모두 면제받았다. 카카오뱅크나 케이뱅크 같은 인터넷전문은행도 출범 3년이 되도록 현장 검사를 한 번도 받지 않았다. 인터넷전문은행 활성화를 위해 검사 부담을 줄여줬다. 검사 유예기간이 곧 끝나지만 코로나 여파로 올해 안에 검사를 하기는 힘들 것으로 보인다.
토스는 그나마 인력과 인프라가 잘 갖춰진 핀테크 기업이다. 대부분의 핀테크 기업은 토스 수준의 보안 인력이나 인프라도 없을 텐데, 비슷한 사건이 또 터지지 말라는 법이 없다. 핀테크 기업의 보안 수준은 은행이나 카드사에 비해 허술하지만 한 번 뚫리면 고객의 돈이 사라지는 건 다를 게 없다.
지금이라도 핀테크 기업 전반의 보안 현황을 일제 점검해야 한다. 핀테크 활성화의 가장 큰 걸림돌은 핀테크에 대한 고객의 불신이다. 고객이 금융사를 믿지 못하는데 어떻게 그 금융사가 성공할 수 있을까. 핀테크 기업의 보안 문제를 해결하는 게 곧 핀테크 활성화 정책이다.
금융위원회의 역점 사업인 마이데이터 사업이 오는 8월 출범한다. 마이데이터 사업이 시작되면 여러 금융회사에 흩어져 있는 금융 정보를 개인이 직접 관리하고, 이를 바탕으로 신용이나 자산관리 등에 적극적으로 활용하는 것도 가능해진다. 하지만 이렇게 개인의 금융 정보가 계속 뚫리면 마이데이터 사업은 시작도 하기 전에 좌초할 수 있다. 마이데이터 사업이 아니라 내 정보가 다른 사람과 공유되는 '아워데이터(our data)' 사업이 될 판이라는 불만을 금융당국이 새겨들어야 한다.