신한카드가 외친 ‘디지털 혁신’과 ‘소비자 보호’가 유명무실하다는 비판이 제기됐다. 모바일 앱 관리가 제대로 이뤄지지 않으면서 다수의 소비자 피해가 발생했다. 여기에 모바일 앱의 인증 수단부터 버전 관리, 부정사용 예방 체계에 이르기까지 허점이 다수 드러나면서 신한카드가 강조해온 디지털 혁신의 진정성에 의구심이 일고 있다.

신한카드가 디지털 혁신을 강조해온 건 어제오늘일이 아니다. 올해 초 취임한 문동권 사장 역시 경영 키워드로 고객중심 디지털을 꼽았을 정도다. 그는 신년사에서 “우리의 모든 발걸음은 신한카드가 당장 내일 없어진다면 고객이 슬퍼할 이유를 만드는 대담한 여정이 될 것”이라며 “우리가 잘하는 것이 아닌 고객 원하는 것을 제대로 해내는 진정한 ‘고객중심 디지털’을 다 함께 만들어 나가자”고 말했다.

고객중심 디지털을 위해 신한카드는 먼저 대대적인 조직개편을 단행했다. 소비자보호본부와 DX본부를 신설하고 내부통제파트를 별도로 분리했다. 카드 부정사용, 사기 거래 등을 방지하는 FD팀을 소비자보호본부로 옮기고, 소비자보호팀 내 내부통제 파트도 신설했다. 이를 통해 소비자 보호 기능을 강화한다는 취지다.

디지털 혁신을 위한 전문 연구조직인 D&D(Digital&Data)연구소도 신설했다. 말 그대로 디지털과 빅데이터를 기반으로 모바일앱 등 플랫폼 역량을 강화하기 위해서다. 기존 팀 단위에 그쳤던 담당부터를 DX본부로 격상시키면서 디지털 고도화를 추진했다. 그러나 문 사장이 취임한 지 불과 1년도 채 되지 않아 모바일앱의 부실관리가 도마에 오르면서 소비자 피해 우려가 높아지고 있다.

모바일 앱카드 부정사용 예방 체계 미흡 등 경영유의 2건·개선사항 4건 적발

최근 신한카드는 금감원으로부터 경영유의조치 2건과 개선사항 4건 등 6건에 대해 시정조치가 피룡하다는 지적을 받았다. 소비자 보호와 모바일 앱의 운영 및 관리 체계가 미흡해 소비자 피해가 발생할 우려가 크다는 지적이다.

먼저 경영유의사항으로는 신용카드 부정사용에 적극적으로 대처하지 못하는 등 부정사용 예방 시스템 운영 및 관리가 미흡하다는 지적을 받았다. 신한카드는 신용카드 부정사용 예방 시스템에서 앱카드를 통한 일부 연속적 거래에 대해 이상거래 경보가 수차례 발령됐는데도 소액이라는 이유 등으로 고객에게 전화통화나 거래정지 등 별도의 대응을 하지 않은 것으로 나타났다.

복수의 신용카드를 보유한 고객에게서 이상거래가 발생했을 때 사용정지 등의 조치를 취하는데, 신한카드의 경우 고객이 보유한 전체 신용카드가 아닌 일부 신용카드에 대해서만 사용정지를 하는 등 고객의 신용카드 부정사용 피해를 예방하는데 적극적으로 대처하지 못한 것으로 드러났다.

신한카드가 운영하는 모바일 앱카드(신한pLay)에 대한 부정사용 예방 체계도 미흡했다. 신한카드의 모바일 앱카드를 설치하면 단말기의 이상징후를 탐지하는 기능도 함께 운용되지만 정작 수집한 이상징후 탐지정보를 분석해 소비자를 보호하는 예방 체계는 부실했다. 보이스피싱 등으로 인해 단말기 정보가 타인에 넘어갔을 때 신한카드 모바일 앱에선 이를 제지할 안전장치가 제대로 작동하지 않고 있다는 지적이다.

특히 신한카드가 개선해야 한다고 지적받은 4건 중 3건이 모바일 앱에서 나왔다. ▲모바일 앱 고객 통지대책 미흡 ▲모바일 앱 버전 관리 미흡 ▲모바일 앱 이용자 인증수단 관리 미흡 등이다.

신한카드는 동일한 고객이 다른 스마트폰을 통해서도 모바일 앱을 이용할 수 있도록 멀티 디바이스 정책을 운용하고 있다. 문제는 타인이 피싱 등의 방법으로 고객정보를 도용해 모바일 앱을 설치한 뒤 카드를 부정사용해도 이를 막을 수단이 없다는 점이다. 다른 스마트폰에서 로그인을 했을 때 고객에게 알리는 통지 절차도 갖춰지지 않았다.

모바일 앱 버전 관리도 제대로 이뤄지지 않았다. 통상 금융 관련 앱은 보안에 민감해 항상 최신 버전을 유지하도록 유도한다. 최신 버전으로 업데이트 하지 않으면 이용을 제한하는 식이다. 반면 신한카드는 모바일 앱을 최신 버전으로 업데이트하지 않아도 사용할 수 있어 고객이 보안에 취약한 환경을 방치했다.

또 모바일 앱 이용자의 인증수단 관리도 미흡했다. 신한pLay 가입을 위해 스마트간편인증부터 ARS인증, SMS인증 등 다양한 인증 방법을 적용해 운영중인데, ARS 인증 시 인증결과를 서버에서 확인하지 않고 앱에서만 확인하고 있는 것으로 나타났다. 인증결과 변조를 통해 ARS 인증을 우회할 수 있다는 우려가 나온다.

스마트폰 SMS인증을 할 때 인증오류 횟수도 제한하지 않고 있었다. 타인이 인증번호 전수입력 툴 등을 통해 고객 본인인증을 우회할 가능성이 높다는 지적이다. 모바일 앱에 적용된 인증 관련 프로그램 전반에 대해 변조 및 우회 인증 가능성을 점검하고, 휴대폰 SMS 인증번호 오류횟수를 제한하는 등 모바일앱 이용자 인증수단에 대한 관리 절차를 개선해야 한다는 지적이다. 

금감원 관계자는 “최근 피싱 등 금융 관련 사기피해와 민원이 급증하고 있는 만큼 모바일 앱의 보안과 사고예방 체계 마련의 중요성도 커지고 있다”며 “신한카드의 경우 모바일 앱카드의 부정사용 피해를 예방하기 위해 사고 개연성이 높은 거래에 대해선 FDS시스템 및 정보보호 시스템 등과 연계하는 등 모바일 앱 카드에 대한 사고 예방을 강화할 필요가 있다”고 밝혔다.