나 몰래 바뀐 비밀번호?..토스-카드사 계정 연결방식 논란

■ 경제와이드 백브리핑 시시각각 

[앵커]

핀테크 업체인 비바리퍼블리카가 운영하는 토스가 카드 통합조회 서비스를 하고 있는데요.

그런데 신용카드 웹사이트 비밀번호를 충분한 설명 없이 바꾸고, 이를 통해 카드 보유와 사용 내역 등을 수집하고 있었던 것으로 확인돼 논란이 되고 있습니다.

취재기자 연결합니다.

김완진 기자, 토스가 고객들의 개인정보인 비밀번호를 임의로 바꿨다고요?

[기자]

네, 토스가 제공하는 카드 통합조회 서비스를 이용하려면 사용자가 본인의 카드를 토스 서비스와 연결해야 합니다.

이 과정에서 '문자 인증' 방식으로 본인 인증을 거쳐 연결하는 경우, 카드사로부터 홈페이지 비밀번호가 변경됐다는 문자를 받게 되는데요.

하지만 비밀번호가 뭐로 바뀌었는지는 알려주지 않습니다.

결국 사용자는 본인이 쓰는 카드사 홈페이지에 직접 접속할 경우, 다시 새로운 비밀번호를 만들어야만 하고, 기존 토스 연동은 끊겨버리는 웃지 못할 상황이 벌어지면서 불만이 속출하는 겁니다.

[앵커]

사용자 불편뿐 아니라 또 다른 문제도 있습니까?

[기자]

네, 토스가 임의로 바꾸고 고객에게는 알려주지 않는 이 비밀번호를 왜, 어떤 식으로 저장하느냐를 놓고 논란이 일었습니다.

이에 대해 "연동 시 변경한 비밀번호를 암호화해 사용자 기기에 저장하고, 고객이 앱에서 조회할 때 해당 정보를 이용한다"는 것이 토스 측의 설명인데요.

고객의 인증정보로 고객 대신 특정 사이트에 들어가 개인정보를 긁어오는 '스크래핑'을 위한 겁니다.

이 스크래핑은 고객정보를 확보한 기업이 남용 또는 악용할 가능성과, 해킹 시 그대로 유출될 위험도 크다는 분석인데요.

지난해 7월 금융위원회는 현행 스크래핑 방식의 정보제공은 일정 유예기간 이후 금지한다고 밝히기도 했습니다.

논란이 커지자 토스 측은 비밀번호 변경이 필요한 문자 인증 방식을 없애고, 관련 고지를 명확히 하겠다는 입장을 내놨습니다.

SBSCNBC 김완진입니다. 

( www.SBSCNBC.co.kr )

☞ SBSCNBC 공식 [페이스북][트위터][모바일 앱] 바로가기