[더팩트ㅣ이선영 기자] 쿠팡 개인정보 유출로 3000만개가 넘는 계정 정보가 털렸다는 소식이 알려지면서 불안 심리가 확산되는 가운데, 카카오뱅크의 타행 계좌 인증 절차에 불똥이 튀었다. 타행 계좌 인증시 비밀번호를 잘못 입력해도 절차가 그대로 진행된다는 사실이 알려지면서 카카오뱅크의 보안 체계가 도마에 오른 것이다. 일부 이용자들은 이를 근거로 개인정보를 수집하는 것 아니냐는 의혹을 제기했지만 카카오뱅크 측은 해당 주장은 사실과 다르다고 반박했다.
<더팩트> 취재를 종합하면 최근 한 온라인 커뮤니티에는 카카오뱅크 앱에서 인증서 발급을 위해 타행 계좌로 인증하는 과정의 캡처 화면이 올라왔다. 작성자는 "다른 은행 계좌번호와 비밀번호를 입력시킬 때, 비밀번호가 틀려도 다음 단계로 넘어간다. 인증확인용이라면서 사실상 개인정보를 수집하는 것 아니냐"고 주장했다. 비밀번호는 형식상 명목일뿐, 개인 정보를 수집하려는 것 아니냐는 주장이다.
이에 "실제 카카오뱅크 앱에 틀린 비밀번호를 입력해도 인증 절차가 진행된다"며 공감하는 댓글이 달리는 등 의혹이 확산됐다.
해당 글은 현재 삭제됐으며, 카카오뱅크 측은 비밀번호 입력 과정에 대한 일부 이용자의 의혹이 고객 오해에서 비롯된 해프닝이라고 설명했다. 아울러 카카오뱅크는 이러한 설계가 고객 편의를 위한 정상 절차라고 설명했다.
타행 계좌 비밀번호를 여러 번 틀리면 대부분 은행이 영업점 방문을 요구하는 반면, 카카오뱅크는 1회 오류 입력 시 바로 '대체 인증' 화면으로 전환되도록 설계했다. 고객이 한 번만 잘못 입력해도 영업점을 방문해야 하는 불편을 줄이기 위한 조치다. 이 화면에서는 계좌에 표시된 '인증단어' 등을 추가로 입력해 본인 여부를 확인할 수 있다.
카카오뱅크 관계자는 "타행 계좌번호 인증은 3회 실패시 대부분 영업점 방문이 필요하기 때문에 1회 실패시 바로 대체 인증으로 전환되도록 고객 불편을 최소화하기 위해 설계된 정상 인증 프로세스"라며 "하단에 안내가 되어있긴하지만, 관련 화면에 추가 설명도 반영할 예정"이라고 말했다.
아울러 타행 계좌 비밀번호는 금융결제원 공동망을 통해 해당 은행에 전송돼 '일치 여부'만 확인되며, 앱 내에서 별도로 저장되지 않는다. 카카오뱅크는 비밀번호를 저장하거나 열람할 수 없다. 회사 관계자는 "전화·ARS 상담에서 활용되는 공인된 비밀번호 인증 절차를 그대로 앱에 적용한 것"이라며 "많은 금융사에서도 활용하고 있는 공인된 비대면 실명 인증 방식"이라고 말했다.
전문가들은 정식 은행 앱 안에서 이뤄지는 표준 인증 절차와, 문자·링크를 통해 유도되는 비정상적인 정보 요구를 구분해 볼 필요가 있다고 조언한다. 금융권 관계자는 "정상적인 은행 앱에서 이뤄지는 본인확인 절차를 '개인정보 수집'로 오해하면, 정작 의심해야 할 비정상적인 링크나 문자에는 더 취약해질 수 있다"며 "은행들도 고객이 안심할 수 있도록 인증 화면과 안내 문구를 더 이해하기 쉽게 고치는 노력이 필요하다"고 말했다.