토스(비바리퍼블리카)가 전국 20만개 넘는 매장에 보급한 결제 기기를 통해 국내 소비자들의 개인정보가 중국으로 유출될 수 있다는 주장이 제기됐다. 토스는 중국 업체의 중국 공장에서 기기를 생산하는데, 기기 생산을 위해 넘기는 보안키를 공장 직원이 악용하면 정보를 빼낼 수 있다는 것이다.
이에 대해 토스는 “고객 결제 정보를 암호화·복호화(암호화된 데이터를 평문으로 돌리는 것)하는 결제용 보안키는 부가가치통신망(VAN·Value Added Network)사가 관리하기 때문에 개인 정보 유출 가능성은 없다”고 말했다.
22일 조선비즈 취재를 종합하면 토스 오프라인 결제 사업 부문 자회사인 토스플레이스는 결제 기기 생산을 중국의 선미(SUNMI) 테크놀로지에 맡기고 있다.
1980년대 말부터 등장한 VAN 업계는 해외로 고객 정보가 유출되는 것을 막는 차원에서 주로 국내 업체에 생산을 맡긴다. 공장에 결제 기기 생산을 맡기는 VAN사는 회사의 고유 보안키를 공장에 넘긴다. 보안키는 단말기 식별·인증을 위한 것과 결제 정보를 암호화·복호화하는 결제용이 있다. 공장에서 결제 기기에 운영체제(OS) 등 각종 시스템과 보안키까지 설치해야 생산이 끝난다.
고객이 물건을 사려고 결제 기기에 카드를 꽂으면 해당 카드 정보는 VAN사를 거쳐 카드사로 전송된다. 카드사 전산을 통해 결제 승인이 나면 그 정보가 다시 결제 기기로 전송돼 결제가 이뤄진다. 이때 결제 기기, VAN사, 카드사 사이를 오가는 고객 정보가 해킹되지 않도록 암호화해주는 게 보안키의 역할이다.
18년간 국내 VAN사 프로그래머로 일한 관계자 A씨는 “보안키가 공장으로 넘어갈 때 암호화가 되긴 하지만 이는 VAN사와 공장이 아닌 제3자에게 보안키가 유출됐을 때를 대비한 것”이라며 “보안키를 기기에 설치하려면 암호화를 무조건 풀어야 하기 때문에 기기 생산 과정에서 공장 직원 중 누군가는 원본 보안키를 보게 되는 구조”라고 했다. 이어 “원본 보안키를 악용하면 고객의 결제 정보를 별도의 서버에 복호화(암호화를 푸는 것) 상태로 출력해 빼돌릴 수 있다”고 했다.
이에 대해 토스 관계자는 “보안키는 보안모듈 하에서 관리되고 있어 생산 공정에서는 결제 보안키를 볼 수 없다. 생산 단계에서 사용되는 키와 실제 결제에 사용되는 보안키는 완전히 다른 개념이라 제조 공정에서 결제용 보안키를 취급하거나 접근할 수 없다”고 말했다.
VAN사는 고객과 카드사 사이의 ‘정보 통로’ 역할을 하는 점 때문에 과거부터 해커의 목표물이 돼왔다. 지난 2017년에는 북한의 해커 조직이 편의점, 은행 등에 있던 자동현금인출기(ATM)를 해킹해 해당 기기를 이용한 고객들 개인정보 23만건을 빼돌렸다.
2014년 NH농협·KB국민·롯데 등 카드 3사에서 1억건이 넘는 개인정보가 유출됐을 때도 VAN사가 주요 유출 경로로 지적받았다. 당시 직원들이 서버에 있던 고객 개인정보를 불법 신용정보 판매업자에게 돈을 받고 판매한 것이 드러났다. 최근에는 쿠팡 쿠팡 직원이었던 중국인이 외부로 유출된 보안키를 악용해 3000만건이 넘는 개인정보를 유출했다.
토스 관계자는 “중국 업체는 고객 데이터에 접근 권한이 없다”고 말했다. 중국 업체를 고른 이유에 대해서는 “시장 수요에 대응하기 위한 안정적인 생산 체계와 원가 경쟁력을 확보하기 위해, 생산 거점으로 검증된 중국 공장을 활용하고 있다”며 “글로벌 제조사들이 중국을 주요 생산 허브로 활용하는 것은 매우 일반적인 선택”이라고 했다.