일부 가회화폐 거래소에서 보안을 이유로 OTP를 도입하고 있다. 물론 금융결제원에서 운영하는 금융권 공동 OTP가 아니라 Google OTP와 같은 사설 OTP이다.
문제는 보안을 챙긴다는 이유로 이런 OTP를 이용하는 것과는 대조되게, OTP 분실시에 대한 재발급 절차나 방침은 OTP 사용을 통한 보안성을 상쇄하고도 남을 만큼 허술하고 개인정보 보호에 취약하다는 것이다.
모 가상화폐 거래소에서는 OTP를 분실할 경우 재발급 하기 위해 신분증을 들고, 신분증과 얼굴이 보이도록 찍은 셀카를 이메일로 보내라고 요구한다. 개인정보 보호에 대한 상식조차 없는 그 회사에서는 무조건 빡빡한 정책만 만들어 놓으면 '다른건 몰라도 보안은 철저하구나'라고 생각할 것이라고 기대했을 수도 있지만, 전혀 그렇지 않다는 것을 알린다.
OECD 및 개인정보보호법에서 공통적으로 정의하고 있는 개인정보 최소 수집의 원칙에선, 업무에 필수적인 개인정보만 수집하도록 되어 있다. 물론 국내법은 이용자의 동의를 받으면 뭘 수집하든 문제가 없도록 설계되어 있지만 과도한 개인정보 수집은 나중에 사고가 발생하였을 때 배상 책임을 증가시킬 수 있다. 회사의 책임이 어찌되었든 과도한 개인정보 수집은 개인의 프라이버시를 침해하는 것이기 때문에 부당한 요구엔 당당하게 거부할 수 있어야 한다.
정보보안을 업으로 하는 사람으로서 말씀드리지만,
신분증과 인증사진을 이메일로 보내는 것은 매우 위험한 행위이고
회사에서 개인에게 요구해서도 안되는 행위이며
개인이 그에 따르는 것도 바람직하지 못한 행위이다.
개인을 인증할 수 있는 방법은 이런 무식한 방법 말고도 다양한 방법이 있다. 국가에서 인정한 본인확인기관(휴대폰 인증 또는 신용카드 인증 등)을 이용하는 방법도 있고, 사용자가 사전에 입력해 둔 여러가지 수단(이메일, 휴대폰, 비밀번호 찾기 질답, 바이오정로 등)을 이용할 수도 있다. 어떤 방법을 사용해야 부정인증 없이 안전한 재발급이 이루어질 수 있을지는 회사에서 신경을 써야 한다. 하지만 신분증을 들고 얼굴이 드러나는 셀카를 찍어서 회사 공용 메일로 보내라고 하는 것은 분명 좋은 방법은 아니다.
좀 과장되게 비유하자면,
"A가상화폐 거래소의 OTP 재발급 절차의 정당성 검증을 위해 벌거벗고 A라는 글자를 엉덩이로 쓰는 영상을 올리시오"
라고 한다면 납득이 되는가?
셀카도 마찬가지다. 굳이 보정도 없는 내 쌩얼을 보안의식도 없는 가상화폐 거래소 직원들에게 보내는 것은 프라이버시에 대한 명백한 침해이며, 이걸 보내지 않으면 내 계정을 막아두겠다는 것은 헌법에서 보장된 개인정보자기결정권에 대한 침해이다. 이딴 정책을 시행하는 회사의 보안실태는 안봐도 뻔하다. 개인정보보호 교육도 제대로 받지 않은 직원들이 이메일 계정을 공유하며 사용하면서 사용자가 보낸 인증 사진을 돌려보며 킥킥댈지도 모를 일이다. 가장 중요한 것은 신분증을 들고 찍은 얼굴 사진은 만에 하나 유출이라도 되면 엄청난 2차피해를 가져올 수 있다는 것이다. 각종 사기에 활용되기 딱 좋다.
이 글을 보고 찔리는 가상화폐거래소는 무조건 정책을 빡세게 돌린다고 안전하게 보일거라는 안일한 생각은 집어 치우고 제대로된 인증 절차를 마련하길 당부드린다.
댓글