개인정보보호 취약한 P2P···금융사고 ‘경고등’
보안 취약한 HTTP프로토콜 사용하는 P2P업체 수두룩
개인정보 취급시 HTTPS적용 법에 명시됐지만 안지켜
기본적인 보안노력 기울여야 대형 금융사고 예방가능
개인간거래(P2P)대출 업체들이 개인정보보호를 위한 기본적인 장치조차 마련하지 않은 채 버젓이 인터넷 홈페이지를 운영하고 있는 것으로 드러났다.
관련법이 규정하고 있는 사항조차 지키지 않아 불법 논란까지 불거져 나오는 가운데, 자칫 해킹 등 보안 사고가 발생하기라도 하면 대량의 개인정보유출 사태를 빚을 수 있다는 우려가 나온다.
3일 금융권에 따르면 헤라펀딩, 리코펀드, 하이플러스펀딩 등 다수 P2P대출 업체들이 HTTP라 불리는 프로토콜을 사용하고 있는 것으로 나타났다.
HTTP는 인터넷상에서 서버와 정보를 주고받는데 사용되는 일종의 통신규약이다. 예컨대 투자자가 P2P업체에 가입하기 위해 이름과 주민등록번호, 전화번호 등 개인정보를 입력하고 가입하기 버튼을 누르는 순간 해당 내용들이 서버로 전달되는데 이 과정에서 HTTP는 통로 역할을 한다.
문제는 HTTP의 경우 오가는 데이터를 암호화하지 않아 중간에서 탈취당하면 개인정보가 전부 노출될 수 있어 보안에 취약하다는 점이다.
때문에 은행을 비롯한 금융기관과 국가기관 등 보안이 중요한 사이트는 HTTP 보다 한 단계 높은 보안성을 제공하는 HTTPS 방식을 필수적으로 사용한다.
HTTPS는 TLS라는 보안용 프로토콜이 적용된 차세대 방식으로 통신 데이터를 암호화해 전송과정에서 탈취 당한다고 해도 정보를 해석하기가 쉽지 않다.
특히 개인정보를 요구하는 사이트의 경우 HTTPS 프로토콜을 적용하도록 정보통신망법에서 명시하고 있기도 하다.
그럼에도 P2P대출 업체들이 HTTPS를 적용하지 않는 것은 이러한 내용 자체를 인식하지 못하고 있기 때문이라는 지적이다.
업계 관계자는 “IT전문가를 고용하지 않고 홈페이지나 플랫폼 제작을 외주에 맡기는 P2P업체들이 많다보니 보안 관련 이슈에 무지한 경우가 많다”며 “자체 인력이 없으면 문제가 발생해도 빠르게 대응할 수 없어 위험한 것이 사실”이라고 말했다.
비용도 걸림돌이다. HTTPS를 적용하려면 검증된 인증기관에서 인증서를 발급 받아야 하는데 가격이 만만치 않다. 또 서버 증설 단가가 높아 방문자가 많아질수록 지출이 늘어나는 것도 부담으로 작용한다.
물론 HTTPS를 적용한다고 개인정보 유출 문제가 모두 해결되는 것은 아니다. 프로토콜의 보안등급을 평가하는 사이트에 따르면 모아펀딩, 테라펀딩, 브릿지펀딩 등 일부 P2P업체들은 HTTPS를 적용했음에도 보안등급이 낮은 것으로 평가된다.
하지만 전문가들은 P2P업체들의 홈페이지에 적어도 HTTPS 적용은 필수적으로 이뤄져야 한다고 입을 모은다. 개인정보를 완벽하게 보호해 주지는 않지만 말 그대로 기본 사항이라는 설명이다.
IT 보안전문기업 닷네임코리아 관계자는 “기본적인 보안 시스템도 갖추지 않은 P2P업체들이 보안을 위해서 어떤 노력을 기울이고 있을지 의문”이라며 “개인정보 유출 위험이 굉장히 높다고 봐야한다”고 말했다.
©(주) 데일리안 무단전재 및 재배포 금지
P2P대출 업체들이 개인정보보호를 위한 기본적인 장치조차 마련하지 않고 있어 금융사고 발생 시 대량피해가 발생할 수 있다는 경고가 나온다 ⓒ정보문화사
![[2017 상반기 결산] ① 소문난 잔치 먹을 것 없던 드라마](https://cdnimage.dailian.co.kr/news/icon/201706/news_1498802328_643503_c.jpg){kind=icon}
![금융권 PF리스크 압도하는 '총선 후폭풍' [기자수첩-금융증권]](https://cdnimage.dailian.co.kr/news/icon/202404/news_1713168492_1351113_c.jpeg){kind=icon}