보안 투자 줄이며 유료 ‘피싱케어’ 권유…삼성카드 전략의 간극

[사진=삼성카드]

【투데이신문 김효인 기자】 최근 해킹과 개인정보 유출 사례가 이어지며 보이스피싱 우려가 커지는 가운데, 일부 카드사의 유료 보안 서비스 전화 영업 방식의 적절성을 둘러싼 지적이 제기되고 있다. 특히 과거 금융당국이 정보유출 사태 이후 ‘불안 심리 자극 영업’을 공개적으로 경계한 전례와 맞물리면서, 보안 서비스의 제공 방식과 금융회사의 책임 범위를 다시 짚어야 한다는 목소리가 나온다.

15일 본지 취재를 종합하면, 삼성카드는 최근 고객을 대상으로 보이스피싱 피해 예방을 내세운 유료 보안 서비스 ‘피싱케어플러스’를 전화로 안내하며 가입을 권유하고 있다. 상담 과정에서는 최근 금융권에서 발생한 해킹·개인정보 유출 사례가 먼저 언급된 뒤, 보이스피싱 피해 보상과 신용관리, 각종 보장 내용, 월 7900원의 이용료 등이 순차적으로 설명되는 방식인 것으로 파악됐다.​

실제 통화에서 상담원은 “최근 금융권 사고가 많이 발생하고 있어 회원 피해를 예방하기 위한 안내”라는 취지로 운을 뗀 뒤, 보이스피싱 피해 보상, 신용관리 서비스, 일상생활 배상책임 보장 등을 소개하고 “유지 시 월 7900원이 다음 달 카드 결제대금으로 청구된다”며 가입 여부를 확인했다는 게 고객들의 설명이다. 

일부 소비자는 “혜택 설명이 빠르게 이어졌고, 해킹 등 불안한 이야기를 먼저 들은 탓에 즉석에서 가입 여부를 판단하기 쉽지 않았다”고 토로했다. 또 다른 고객은 “상담 말투가 ‘혜택 안내’에 가깝게 들려, 사실상 유료 가입 제안이라는 점을 뒤늦게 알았다”고 말했다.

불안 국면의 유료 보안서비스 권유…과거 정책 판단과의 접점

피싱케어플러스와 유사한 보이스피싱 대응 유료 서비스는 다른 카드사들도 운영하고 있다. 서비스 구성과 피해보상 한도에 따라 월 이용료는 수백 원대부터 7900원 수준까지 다양하다. 

보상 한도가 최대 2500만원에 이르는 상품의 경우 월 7000원 후반대 가격이 업계 전반에서 크게 이례적인 수준은 아니라는 평가다. 충분한 설명과 숙고 과정이 보장된다면, 이를 소비자 선택권을 넓히는 상품으로 평가할 여지도 있다. 

다만 문제 제기의 초점은 서비스 자체보다, 보이스피싱 불안이 커진 시점과 전화 영업 방식이 결합된 설명 구조가 소비자의 합리적 판단을 제약했는지 여부에 맞춰져 있다. 해킹·개인정보 유출 등 금융사고를 먼저 강조한 뒤 ‘안심’, ‘예방’, ‘피해 보상’을 전면에 내세우는 흐름이 과도한 심리적 압박으로 작용했는지에 대한 의문이 제기되고 있다.

이 지점에서 과거 금융당국의 판단이 다시 언급된다. 2014년 카드사 고객정보 대규모 유출 사태 당시 금융당국은 해당 카드사에 대해 신규 회원 모집과 대출, 카드슈랑스 판매 등을 포함한 3개월간의 영업정지 조치를 내렸다. 이 기간 텔레마케팅을 통한 신규 상품 판매도 사실상 중단됐다.

당시 일부 금융회사가 정보유출로 불안해진 소비자를 상대로 신용정보 보호 서비스를 적극 판촉하자, 금융당국은 “불안 심리를 자극한 영업은 바람직하지 않다”며 영업 자제를 강하게 주문했다. 해당 서비스 역시 ‘안심’을 전면에 내세운 유료 상품이었다.

금융권 관계자는 “당시 규제의 핵심은 상품의 필요성 여부가 아니라, 불안이 고조된 상황에서 전화 영업이 이뤄졌다는 점이었다”며 “최근 보이스피싱 공포가 커진 국면에서 유료 ‘피싱 케어’ 가입을 권유하는 구조가 그 전례와 어떻게 겹치는지 따져볼 필요가 있다”라고 설명했다.

보안 투자 줄여온 회사의 ‘유료 안심’…전략적 우선순위 ‘의문’

삼성카드는 ‘딥체인지(Deep Change)’를 내세워 데이터 통합과 플랫폼 혁신을 가속화하고 있지만, IT 예산 대비 정보보호 관련 지출 비중은 최근 몇 년간 낮아진 것으로 나타났다. 2019년 14%대 수준이던 정보보호 예산 비중은 2023~2024년에는 8% 안팎으로 줄었고, 이는 카드업계 평균(10~12%)에도 못 미친다.

보안·내부통제 관련 이력도 누적돼 있다. 2011~2012년 내부 직원에 의한 고객정보 유출 사건을 비롯해, 2022년에는 통합 플랫폼 ‘모니모’에서 고객 정보가 타인에게 노출되는 사고가 발생했다. 지난해에는 금융감독원으로부터 개인정보 관리 부실, 본인 확인 절차 미흡, IT 침해 대응 훈련 부족 등을 이유로 총 19건의 경영유의·개선 조치를 받았다. 

이 가운데에는 계열사와 연계된 통합 플랫폼 ‘모니모’ 운영 과정에서 전산 변경·테스트 절차가 미흡하다는 지적 등, 정보보호·내부통제 관련 항목도 포함된 것으로 알려졌다.

전문가들은 유료 보안 서비스의 필요성보다, 기본적인 보안 수준과 불안이 커진 국면에서의 판매 방식, 그리고 설명 책임이 더 중요하다고 지적한다.

정보보호 분야의 한 전문가는 “유료 보안 서비스는 그 자체로 문제라고 보긴 어렵다”면서도 “기본적인 보안 투자와 통제에 대한 신뢰가 충분히 확보되지 않은 상태에서 유료 ‘안심’을 먼저 내세우면 소비자 반감이 커질 수 있다”고 말했다.

이은희 인하대 소비자학과 명예교수는 “해킹이나 금융사기 위험을 먼저 강조한 뒤 전화로 유료 서비스 가입을 권유하는 방식은 소비자의 판단에 심리적 영향을 줄 수 있다”며 “이런 국면에서는 특히 설명의 충분성과 숙고 기회가 보장돼야 한다”고 지적했다.

조연행 금융소비자연맹 회장도 “금융회사는 불안을 자극해 상품을 판매하기보다, 기본적인 보안과 보호 체계를 통해 신뢰를 먼저 확보하는 것이 우선돼야 한다”며 “유료 서비스 확대 이전에 소비자가 안심할 수 있는 최소한의 보안 수준을 갖추는 것이 금융회사의 책임”이라고 덧붙였다.