토스(비바리퍼블리카)가 전국 20만개 넘는 매장에 보급한 결제 기기를 통해 국내 소비자들의 개인정보가 중국으로 유출될 수 있다는 주장이 제기됐다. 기존 부가가치통신망(VAN)사들과 달리 토스는 중국 업체의 중국 공장에서 기기를 생산하기 때문이다. 기기 생산을 위해서는 고객 결제 정보에 암호를 걸거나 풀 때 쓰는 보안키도 중국 현지로 넘어가는데, 이것이 개인정보 유출에 악용될 가능성이 있다는 지적이다.
22일 조선비즈 취재를 종합하면 토스 오프라인 결제 사업 부문 자회사인 토스플레이스는 결제 기기 생산을 중국의 선미(SUNMI) 테크놀로지에 맡기고 있다. 기존 VAN사 중 결제 기기 생산을 중국 업체에 맡기는 곳은 없다.
1980년대 말부터 등장한 VAN 업계는 해외로 고객 정보가 유출되는 것을 막는 차원에서 여전히 국내 업체에 생산을 맡긴다고 한다. 통상적으로 공장에 결제 기기 생산을 맡기는 VAN사는 회사의 고유 '보안키'까지 공장에 넘긴다. 보안키는 고객 카드 정보를 암호화하는 데 필요한 일종의 알고리즘이다. 공장에서 결제 기기에 운영체제(OS) 등 각종 시스템과 보안키까지 설치해야 생산이 끝난다.
고객이 물건을 사려고 결제 기기에 카드를 꽂으면 해당 카드 정보가 VAN사를 거쳐 카드사로 전송된다. 카드사 전산을 통해 결제 승인이 나면 그 정보가 다시 결제 기기로 전송돼 결제가 이뤄진다. 이때 결제 기기, VAN사, 카드사 사이를 오가는 고객 정보가 해킹되지 않도록 암호화해주는 게 보안키의 역할이다.
이 보안키를 악용하면 암호화를 풀어내 고객 카드 정보를 들여다보는 게 가능해진다. 18년간 국내 VAN사 프로그래머로 일한 관계자 A씨는 "보안키가 공장으로 넘어갈 때 암호화가 되긴 하지만 이는 VAN사와 공장이 아닌 제3자에게 보안키가 유출됐을 때를 대비한 것"이라며 "보안키를 기기에 설치하려면 암호화를 무조건 풀어야 하기 때문에 기기 생산 과정에서 공장 직원 중 누군가는 원본 보안키를 보게 되는 구조"라고 했다. 이어 "원본 보안키를 악용하면 고객의 결제 정보를 별도의 서버에 복호화(암호화를 푸는 것) 상태로 출력해 빼돌릴 수 있다"고 했다.
토스플레이스가 보안키를 중국 업체에 넘기는지 토스에 여러 차례 문의했으나 토스는 답하지 않았다. 공장 직원 중 누군가 원본 보안키를 보느냐는 질문에도 답하지 않았다.
공장에 보안키를 넘겨야 하는 건 다른 VAN사도 마찬가지다. 그러나 토스 말고는 모두가 국내 업체에서 결제 기기를 생산하기 때문에 보안키 유출이 발생해도 수사기관의 개입이 용이하다. 지난해 말 결제 기기를 출시한 네이버페이는 국내 업체의 중국 공장에서 기기를 생산 중이지만, 올해 중 국내 공장으로 생산을 돌릴 계획으로 알려졌다.
VAN사는 고객과 카드사 사이의 '정보 통로' 역할을 하는 점 때문에 과거부터 해커의 목표물이 돼왔다. 지난 2017년에는 북한의 해커 조직이 편의점, 은행 등에 있던 자동현금인출기(ATM)를 해킹해 해당 기기를 이용한 고객들 개인정보 23만건을 빼돌렸다.
2014년 NH농협·KB국민·롯데 등 카드 3사에서 1억건이 넘는 개인정보가 유출됐을 때도 VAN사가 주요 유출 경로로 지적받았다. 당시 직원들이 서버에 있던 고객 개인정보를 불법 신용정보 판매업자에게 돈을 받고 판매한 것이 드러났다.
일각에서는 '제2의 쿠팡 사태'가 터질 수 있다는 우려도 나온다. 쿠팡 사태는 과거 쿠팡 직원이었던 중국인이 외부로 유출된 보안키를 악용해 3000만건이 넘는 개인정보를 유출한 사건이다. 한 VAN 업계 관계자는 "고객 정보 유출이 우려돼 토스에 문의했더니, '중국에 토스 직원들이 상주하고 있기에 문제 없다'는 식으로 답변했다"고 말했다.
토스 관계자는 "중국 업체는 고객 데이터에 접근 권한이 없다"고 말했다. 중국 업체를 고른 이유에 대해서는 "시장 수요에 대응하기 위한 안정적인 생산 체계와 원가 경쟁력을 확보하기 위해, 생산 거점으로 검증된 중국 공장을 활용하고 있다"며 "글로벌 제조사들이 중국을 주요 생산 허브로 활용하는 것은 매우 일반적인 선택"이라고 했다.