토스 운영사인 비바리퍼블리카가 최근 정부 긴급재난지원금 대행 서비스를 추진하면서 인터넷주소(URL)가 담긴 문자메시지를 대거 발송, 논란을 빚고 있다.
이보다 앞서 정부는 피싱, 스미싱 등을 방지하기 위해 재난지원금 지원 기관 대상으로 URL 표기 금지를 확정한 바 있다. 카드사 등이 보내는 문자 메시지에는 URL 등이 표기되지 않는다.
17일 업계에 따르면 9개 카드사가 지난 11일부터 마스크 5부제에 따라 긴급재난지원금 신청을 받는 가운데 토스도 자사 애플리케이션(앱)을 통해 긴급재난지원금 신청 대행 서비스를 선보였다.
긴급재난지원금은 코로나19로 어려운 지역 경제를 살리기 위해 정부가 전 국민에게 가구당 최대 100만원을 지급하는 정책 지원금이다. 신한, KB국민, 삼성, 현대, 하나, 롯데, 우리, 비씨, NH농협 등 9개 카드사가 긴급재난지원금 사용이 가능한 시스템을 구축하고 온라인 신청을 받고 있다.
비바리퍼블리카는 재난지원금 신청 대상자가 토스 플랫폼에 들어가 링크를 누르면 카드사 홈페이지 내 신청 페이지로 이동하는 중계 서비스를 선보였다.
신청하면 잔액 확인도 가능하다. 토스에 카드가 등록되지 않을 경우 카드사 홈페이지로 이동할 때 본인확인 절차를 거치면 데이터 스크래핑으로 카드 소유 여부도 확인해 준다.
이용이 편리해 토스 앱을 통해 재난지원금을 신청하는 이용자가 크게 늘고 있다.
서비스를 제공하는 과정에서 비바리퍼블리카는 정부가 제시한 가이드라인을 어기고 자사 앱으로 연동되는 URL이 담긴 안내문자를 대량 발송했다.
행정안전부는 카드업계에 온라인 사기 등 예상치 못한 범죄 가능성을 차단하기 위해 안내문자에 URL이 포함되지 못하도록 규정했다.
가이드라인에는 '카드사는 스미싱, 파밍 등 온라인 사기를 예방하기 위해 휴대전화 문자, 이메일 등에 일체의 URL 링크를 발송하지 않습니다'라고 명시돼 있다. 또 'URL이 포함된 메시지를 받으신 경우 터치 또는 클릭하지 말고 즉시 삭제하여 주시기 바랍니다'라고 안내하고 있다.
카드사 등 일부 금융사는 비바리퍼블리카의 이 같은 편법 마케팅에 대해 우려를 제기했다. 온라인 사기 등에 악용될 소지가 다분하기 때문이다.
한 카드사 관계자는 “약 14조원이 지급되는 긴급재난지원금의 이용자를 확보하기 위해 욕심은 나지만 온라인 사기 우려로 행안부와 카드사 지원금 신청 안내문자에 URL을 삽입하지 않기로 했다”면서 “전 국민을 대상으로 하는 공공서비스라는 점을 간과해선 안 된다”고 말했다.
실제 이 같은 형태를 차용한 온라인 사기 범죄 사이트가 기승을 부리면서 한국인터넷진흥원(KISA)은 최근 '전국민 코로나19 위기 극복을 위한 긴급재난지원금 조회 및 안내 서비스' 형태의 가짜 문자를 통해 유포된 피싱 사이트를 주의할 것을 당부하기도 했다.
행안부는 전 국민 대상의 긴급재난지원금인 만큼 토스 사례 역시 가이드라인에 따라야 한다는 입장이다.
행안부 관계자는 “정부는 긴급재난지원금 메시지에 URL이 포함될 경우 온라인 사기 등에 악용될 수 있어 카드사 또는 지방자치단체가 이를 이용하거나 유사한 방식을 적용하는 것에 대해 엄중하게 제재하고 있다”면서 “전 국민 대상의 서비스를 제공하는 만큼 면밀하게 들여다보겠다”고 밝혔다.
논란이 확산하자 비바리퍼블리카는 URL을 포함한 문자메시지 발송을 중단했다고 해명했다.
비바리퍼블리카 관계자는 “초기에 URL 링크가 담긴 문자를 발송한 사실은 맞다”면서 “다만 URL 발송은 문제가 된다고 판단해 현재 중단했고, URL 링크를 제외한 다른 형태로 안내하고 있다”고 답했다.
비바리퍼블리카는 URL이 담긴 문자메시지 대신 카카오 알림톡으로 대체했다. 그러나 알림톡에도 '확인하기' 링크가 삽입돼 있다. 버튼을 누르면 토스 긴급재난지원금 페이지로 이동된다. URL과 크게 다르지 않은 방식이다. 자사 앱 이용자를 늘리기 위해 정부가 금지한 보안 가이드라인을 정면으로 위반한 셈이다.
박윤호기자 yuno@etnews.com
