[단독]금감원, 비플페이 사이버사고 수시검사…위법 여부 집중 점검

금융감독원이 지역사랑상품권 충전·결제 지원사인 비플페이 앱을 운영하는 비즈플레이에 대해 수시검사에 착수하기로 한 것으로 확인됐다. 외부인이 고객 개인정보를 조회한 사실이 드러난 뒤 실시한 현장 점검과 보안업체의 추가 조사에서 전자금융거래법상 안전성 확보의무를 위반한 것으로 보이는 정황이 포착돼 더 살펴봐야 한다고 판단한 것이다. 내부 직원 개입 여부에 대한 경찰 수사도 병행되고 있어 파장이 적지 않을 전망이다.

18일 금융권과 비즈플레이에 따르면 금감원은 이번 주 초 비플페이 운영사 비즈플레이에 수시검사 예고통지서를 발송했다. 비즈플레이의 한 고위 관계자는 "금감원으로부터 수시검사 통보를 받은 것이 맞다"고 밝혔다.

아시아경제 취재 결과 금감원은 한국인터넷진흥원(KISA)과 함께 지난 9월26일 비플페이 브랜드 선불충전 상품권 해킹 사고 신고를 접수한 직후 약 1주일간 현장 점검을 진행했다. 점검은 추석 연휴 직전인 지난달 2일께 종료됐으며, 이후 회사에 사태 수습 기간을 부여했고 보안업체가 정밀 조사에 들어갔다. 금감원·KISA 조사와는 별도로 비플페이 측은 사고 직후 경찰에도 수사를 의뢰해 9월 말부터 금융감독당국·정보당국·수사당국이 동시에 사건을 살펴온 셈이다.

금감원은 보안업체의 조사 과정에서 비플페이에서 고객 정보가 외부로 유출된 흔적을 발견한 것으로 전해졌다. 애초 9월 말까지 파악된 피해는 유통 브랜드 선불충전 상품권 PIN 번호 유출, 피해 고객 약 4000명, 피해 금액 약 1억2000만원 정도였고, 비플페이는 피해 보상을 신속히 처리해 왔다. 하지만 신용·개인정보까지 새어나갔을 가능성이 제기되면서 사건의 성격이 달라지고 있다. 특히 내부 직원이 정보를 인지하거나 유출에 개입했을 가능성까지 배제할 수 없어 사안은 더 중대해졌다. 이는 신용정보법·개인정보보호법·전자금융거래법 등 다수 법규 위반에 해당될 수 있다. 경찰은 직원 개입 여부, 금감원은 운영사 비즈플레이의 시스템 관리·안전성 준수 여부를 각각 들여다보고 있는 것으로 알려졌다.

금감원은 조만간 비즈플레이에 대한 수시검사에 착수할 예정이다. 검사 일정, 인력 규모, 기간 등은 비공개다. 수시검사에서는 비플페이·비즈플레이 직원의 신용거래 정보 접근 여부, 전금법 제21조의 '안전성 확보 의무' 준수 여부, 서버·보안 시스템 업데이트 미비 등 기술적 취약점 등을 중점적으로 들여다볼 것으로 보인다. 앞서 금감원은 롯데카드 사고 조사 때 오라클 웹로직 보안 패치 미적용을 확인한 바 있어 비플페이의 보안 관리 체계에도 유사한 문제가 있는지 확인하겠다는 방침이다.

비즈플레이 고위 관계자는 "금감원으로부터 사고 안전관리 체계를 점검하겠다는 통보를 받았다"며 "사고를 낸 비플페이가 아닌 운영사 비즈플레이에 수시검사가 통보된 것은 정보 관리 체계 전반의 위법 사항을 살펴보기 위한 것으로 안다"고 말했다.

신용정보법 위반 시 금융당국의 최고 제재는 과징금 50억원이다. 또한 비플페이 사고는 개인정보보호위원회에도 보고된 상황이라 과징금 규모가 더 커질 가능성도 있다. 전금법 제21조 위반 시 처벌은 최대 10년 이하 징역 또는 1억원 이하 벌금형이 가능하다. 개보법 위반 역시 동일 수준의 처벌 규정을 둔다. 금감원 관계자는 "아직 검사가 시작되지 않아 제재 여부나 수준을 예단하기 어렵다"며 말을 아꼈다. 비즈플레이 고위 관계자는 "금감원 검사 예고 통지는 받았지만 경찰로부터는 아직 연락을 받지 못했다"며 "수시검사에 성실히 임하고 이번 일을 계기로 내부 보안 체계와 운영 프로세스를 더욱 투명하고 선진화된 구조로 개선할 계획"이라고 말했다.