[단독]ID만 알면 대출자 이름 등 신상정보 줄줄

  • 동아일보
  • 입력 2018년 4월 20일 03시 00분


코멘트

P2P업체 정보보안 ‘큰 구멍’

급성장하고 있는 핀테크(금융기술) 회사들의 정보보안 체계가 상당히 허술한 것으로 드러났다. 한 유명 개인 간(P2P) 대출업체의 홈페이지는 간단한 조작만으로 가입자의 개인정보가 줄줄이 유출되는 것으로 확인됐다. 해킹 공격을 받아 가입자의 개인정보가 유출된 사례도 있었다.

하지만 정부가 관리감독에 사실상 손을 놓고 있어 P2P 업체들이 정보 보안의 사각지대에 방치돼 있다는 지적이 나온다.

19일 금융권에 따르면 2016년 6월 서비스를 시작한 한 유명 P2P업체 홈페이지에서는 가입자의 아이디만 알면 몇 번의 클릭만으로 가입자의 성명, 성별, 이메일 주소, 거주지, 휴대전화 번호 등의 신상 정보를 확인할 수 있다. 실제로 기자가 인터넷 포털 등에서 이 업체를 통해 투자했다는 블로거를 찾아 ID를 홈페이지에 입력하니 개인정보가 줄줄이 공개됐다.

한 정보보안 업체 관계자는 “정보보안의 가장 기초적인 부분도 신경 쓰지 않은 것 같다. 투자와 대출을 중개하는 금융회사라고는 믿을 수 없을 정도”라고 지적했다. 이 업체의 누적 대출액은 19일 현재 146억 원 규모로 크지 않지만 투자자들에게는 잘 알려져 있다.

지난해 한 P2P 업체는 해킹 공격을 받아 고객 수십 명의 개인정보가 유출되기도 했다. 금융 당국 관계자는 “P2P 업계의 알려지지 않은 정보 유출 사고가 여러 건 있는 것으로 안다”고 말했다.

국내 P2P 시장 규모는 2015년 말 370억 원에서 올해 3월 현재 2조9600억 원으로 2년여 만에 80배 규모로 급성장했다. 올해 말에는 4조5000억 원대로 커질 것이라는 전망도 나온다. 국내에서 영업하는 P2P 업체도 초기 10여 곳에서 지난해 말 현재 180곳으로 불어났다.

P2P 업체는 일반 투자자와 대출을 받으려는 차주를 중개하는 역할을 하기 때문에 핀테크 업종 중에서도 방대한 개인정보를 확보하고 있다. 하지만 렌딧, 테라펀딩 등 일정 규모를 갖춘 대형 업체를 제외하면 대부분 규모가 영세해 정보 보안에 투자를 하지 못하는 실정이다.

한 P2P 업체 관계자는 “일반 금융회사와 같은 고차원의 보안은 사실상 어렵다”며 “보안 전문가 한두 명이 회사 전체의 보안을 책임지거나 일반 개발자가 보안 업무까지 겸하는 경우가 부지기수”라고 말했다. 이 때문에 보안 수준이 취약한 업체들이 해커들의 먹잇감이 돼 대규모 개인정보 유출 사고가 발생할 수 있다는 우려가 나온다.

상황이 이런데도 금융 당국은 “현행 법규상 P2P 업체에 대한 지도, 감독 권한이 없다”며 사실상 손을 놓고 있다. 문상석 금융감독원 핀테크감독팀장은 “올해 3월부터 P2P 업체들이 의무적으로 금감원에 등록하지만 당국은 주로 건전성 위주로 모니터링하고 있다”며 “보안 문제는 개인정보보호법을 관할하는 행정안전부 소관”이라고 설명했다.

하지만 행안부는 P2P 업체가 감독 대상이라는 점을 아예 알지 못하는 실정이다. 김상광 행안부 개인정보보호정책과장은 “개인정보보호법 대상이 워낙 방대해 관련 부처에서 현황을 파악해 알려주면 실태 조사에 나설 수 있다”고 말했다. 민병두 더불어민주당 의원, 김수민 바른미래당 의원 등이 금융 당국의 P2P 업체 감독 권한을 담은 ‘온라인대출중개업에 관한 법률안’을 발의했지만 1년 가까이 계류돼 있는 상태다.

김인석 고려대 정보보호대학원 교수는 “금융권은 대형 사고가 터지면 강도 높은 규제를 만들어 혁신을 가로막는 행태가 반복돼 왔다”며 “핀테크 산업이 제대로 발전하기 위해선 정부와 업계가 함께 미리 정보보안 문제에 대비해야 한다”고 지적했다.

황태호 기자 taeho@donga.com
#id#대출자 이름#신상정보#p2p업체#정보보안
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스