나이스정보통신 카드정보 '술술' 본인인증은 '가짜’

[단독]가맹점 매출정보 허술하게 관리해 누구든지 접근 가능

대포폰으로도 가입 가능…무늬만 '본인인증'

나이스정보통신 통합업무지원시스템(NIBS)에서 카드가맹점의 사업자번호만 알면 매출정보를 알 수 있는 것으로 나타났다. 사진은 NIBS 로그인 화면.

나이스정보통신을 통해 카드가맹점 매출정보가 무방비 상태로 빠져나갈 수 있는 것으로 나타났다. 누구라도 카드영수증만 있으면 해당 가맹점 매출규모를 비롯해 실시간 결제정보를 알 수 있었다.

특히 나이스정보통신은 회원가입 과정에서 본인인증 수단으로 활용하는 '휴대폰 인증'을 가입자와 명의가 달라도 인증해줬다. 엉터리로 휴대폰 인증을 해온 것이다.

16일 카드업계에 따르면 나이스정보통신을 비롯한 밴사는 가맹점과 카드사 결제 업무를 중계하는 역할을 한다. 여러 카드사의 결제정보가 밴사로 집중되기 때문에 가맹점은 밴사를 통해 한눈에 매출정보를 확인할 수 있다.

문제는 카드 영수증에 찍히는 '사업자번호'만 알면 나이스정보통신 통합업무지원시스템(NIBS, Nice Integrated Business Support)을 통해 해당 가맹점의 결제정보를 누구든지 볼 수 있다는 것이다.

실제 영수증에 표기된 사업자번호만으로 결제가 일어난 가맹점의 과거 결제정보부터 실시간 매출정보 확인이 가능했다.

NIBS를 통해 가맹점에서 카드결제가 발생한 시간과 카드번호(일부번호 마스킹), 결제금액 등을 확인할 수 있다. 사진은 NIBS 화면 캡처.

아울러 결제가 일어난 카드번호(일부번호 마스킹)를 비롯해 카드사, 결제시간, 결제금액 등이 포함돼 있다. 이 중에는 현금영수증 발급 정보도 있었다. 사실상 카드단말기를 통해 오가는 모든 정보를 나열하고 있다.

다만 회원가입 과정에서 휴대폰과 아이핀 인증, 법인등록번호확인 중 하나를 선택해 본인인증을 받도록 가입에 제한을 뒀지만, 이 역시 가맹점과 가입자의 관계를 입증할 수 있는 정보가 아니다.

NIBS 가입을 위해선 휴대폰 인증 또는 아이핀 인증, 법인등록번호확인 등을 거쳐야 한다. 하지만 휴대폰 인증 과정에서 가입자와 전혀 다른 명의자의 휴대폰 번호를 입력해도 인증을 받을 수 있다. 사진은 NIBS 휴대폰 인증 화면.

가장 큰 '보안 구멍'은 휴대폰 인증을 엉터리로 진행하고 있다는 점이다.

가입자와 휴대폰 명의자가 달라도 문자메시지(SMS) 수신만으로 본인인증을 해준 것이다. 대포폰으로 회원가입 후 나이스정보통신에 속한 가맹점의 결제정보를 속속들이 볼 수 있는 구조다.

'사업자번호만 알면 가맹점의 매출정보를 조회할 수 있다'고 나이스정보통신 상담원에게 문의하자 "누구라도 볼 수 있는 것은 맞다"면서도 "가입시 휴대폰 인증을 포함해 본인인증을 거치기 때문에 문제 될 것은 없다"고 답했다.

정상적인 휴대폰 인증은 문자메시지(SMS) 인증번호를 비롯해 통신사와 생년월일, 성별 등을 입력해야 한다. 사진은 일반 쇼핑몰 휴대폰 인증 화면 캡처.

엉터리로 본인인증을 해놓고 이를 근거로 문제없다는 주장이다.

카드업계 관계자는 "어떻게 가맹점 명의자 확인도 없이 이 같은 인증만으로 매출정보를 노출하는지 모르겠다"며 "사실상 불특정다수가 나이스정보통신에 속한 가맹점 결제정보를 볼 수 있는 것"이라고 지적했다.

그러면서 "매출정보는 가맹점에게 민감한 정보이기 때문에 심각한 문제"라고 강조했다.

또 다른 카드업계 관계자 역시 "마음만 먹으면 사채업자와 보이스피싱과 같은 금융사기범이 가맹점의 매출정보를 활용해 범죄에 사용할 수 있다"며 "나이스정보통신이 허술하게 매출정보를 공개하는 배경이 오히려 의심스러울 정도"라고 우려했다.

#나이스정보통신

#본인인증

#카드 가맹점

#카드정보