스타벅스(에스씨케이컴퍼니) 충전금이 해킹으로 부정 결제가 이뤄지는 사고가 발생했지만 개인 정보 보호 현황을 확인할 방법이 없는 것으로 드러났다.
문제가 된 스타벅스 선불충전금 역시 잔액 공시를 비롯한 각종 보호 조치 의무가 없어 사실상 법의 사각지대에 방치되고 있다는 지적이다.
스타벅스의 연매출이 2조원에 육박하고 선불충전금 규모가 네이버파이낸셜보다 많은 점을 감안하면 형평성이 없다는 비판이 힘을 얻고 있다.
20일 스타벅스는 과학기술정보통신부가 지정한 정보 보호 공시 의무 대상 기업에 포함되지 않아 개인 정보 보호 현황을 알 수 없는 것으로 확인됐다.
정보 보호 공시 제도는 정보 보호 투자·인력·활동 등 기업의 정보 보호 현황을 공개하는 자율·의무공시 제도다. 대통령령으로 정한 사업분야·매출액·이용자 수를 고려해 해당 기업만 공시하도록 돼 있다.
제도에 따르면 매출액 3천억원 이상인 경우 공시 대상이다. 하지만 작년 매출액 2조5천939억원인 스타벅스는 올해 정보보호 공시 대상에 포함되지 않았다. 매출액은 기준을 넘었지만 비상장 기업이라 대상에서 제외됐다.
클라우드 시스템을 사용하고 있음에도 불구하고 정보보호 공시 의무가 없다.
■ 선불금 감시할 수 있는 법적 규정도 없어
지난 13일 스타벅스 이용자 90여명의 계정이 해킹돼 충전금 약 800만원이 부정 결제됐다. 올 초에는 스타벅스를 운영하는 에스씨케이컴퍼니가 홈페이지를 고도화하는 과정에서 개인 정보가 유출됐지만 당국에 신고하지 않아 개인정보보호위원회로부터 1천만원의 과태료를 부과 받았다.
개인정보보호위원회 측은 "이번 건에 대해 스타벅스가 신고하지는 않았다"며 "개인정보 유출 여부를 확인하는 중"이라고 설명했다. 또 과거 스타벅스가 개인정보보호위원회로부터 받은 과태료 처분은 "신고 기간이 있는데 이를 넘긴 건"이라고 말했다.
정보 보호뿐만 아니라 선불금에 대한 관리를 감시할 수 있는 법적 규정도 전무한 실정이다. 스타벅스의 작년 말 기준 선불금은 약 2천983억원으로 집계됐다. 추후 고객에게 포인트로 돌려줘야 하는 미사용 포인트 부채는 205억7천957만원이다. 올해 6월말 기준 네이버파이낸셜의 선불충전금이 1천36억7천만원 수준이다.
네이버파이낸셜이나 카카오페이 등은 전자금융법상 선불전자업체로 등록돼 금융당국의 가이드라인을 따르고 있다. 매월 선불충전금 잔액을 공시하고 이 충전금이 어떻게 운영되고 있는지를 공개하고 있다.
그렇지만 스타벅스는 선불전자업체가 아니라 선불금이 어떻게 쓰이는지 또 얼마나 되는지를 고객이 확인할 길이 없다.
금융감독원 전자금융팀 측은 "스타벅스에서 충전해서 사용할 때가 스타벅스밖에 없어 선불전자업체 등록 요건에 맞지 않다"며 "미용실에서 미리 10만원이나 20만원을 내놓고 기한 내 서비스를 공급받는 것과 다를게 없다. 선불충전금이 아닌 선수금"이라고 답했다.
선불전자업계에서는 '형평성'에 어긋나는 것으로 보고 있다. 전자금융법 개정안이 국회 문턱을 통과하면 선불전자업체는 법에 따라 관리되지만, 스타벅스는 관리·감독 대상이 아니기 때문이다.
관련기사
- '제2의 머지사태 막자'…이제서야 첫 관문 통과2023.05.22
- 올해 3월말 OO페이 충전금 8137억여원…이자만 218억원 생긴다2023.04.14
- OO페이 결제, 가게 사장님에게 카드보다 더 부담됐다2023.03.31
- 빅테크 선불지급수단도 서비스 변경 시 사전 고지해야2022.07.11
선불전자업체 관계자들은 "중·소형 업체들도 현재는 가이드라인에 따라 선불금 규모나 관리 방식을 공지하는데 이보다 몸집이 큰 스타벅스가 해당되지 않는다면 법이 무슨 소용이 있겠느냐"며 "사각지대를 관리할 수 있는 방식이 필요하다"고 입을 모았다.
스타벅스 관계자는 "100% 보증보험을 가입해 고객 선불금을 보호하고 있다"며 "계정 도용을 인지한 즉시 한국인터넷진흥원에 신고했고 현재 수사기관에 의뢰해 수사가 진행 중이다"고 발언했다. 또 이 관계자는 "이번 계정 정도용과 관련해 보완할 점이 있으면 프로젝트에 즉시 착수해 안전한 운영에 만전을 기할 것"이라고 첨언했다.