스퀘어(Square)가 민감한 지불 정보를 다른 고객에게 유출한 것으로 알려졌다. 이로써 개인 정보를 보다 보호하는 지불 솔루션의 필요성이 강조되게 되었다.

 

월스트리트저널의 보도에 따르면 인기 있는 소매점 POS 시스템인 스퀘어가 사고로 잘못된 이메일 주소로 지불 영수증을 보내면서, 의도와 다르게 개인 정보를 제3자에 노출하게 되었다. 이는 커피와 같은 일상 구매부터 이혼 변호사와 휴가 선물과 같은 민감한 거래에 이르기까지 다양한 거래에 영향을 미쳤다. 누출된 영수증은 카드가 지불 단말기에 입력된 이후 자동으로 전송되었으며 그 중 많은 수가 잘못된 수령인에게 발송되었다고 한다.

 

대규모 데이터 유출 사고로 확인하는 신분 연결 지불 및 이로 인한 개인 정보 보호의 위험

 

이번 사고는 개인의 신원과 쉽게 연결될 수 있는 지불 시스템에 내재된 개인 정보 보호 문제를 강조한다. 카드가 스퀘어와 같은 지불 프로세서를 통해 사용되는 경우 영수증을 수령하기 위해 이메일이 사용되는데, 이 카드 번호는 파일에 저장될 수 있으며 이와 연결된 개인의 신원도 함께 저장될 수 있다. 이는 단일 당사자가 소비자의 금융 활동의 상당 수에 접근할 수 있도록 하며, 데이터 유출이 발생하는 경우 추가적인 문제가 발생할 수 있다.

 

최근에 발생한 이 개인 정보 유출 사고는 지난 수 년간 발생한 개인 정보 유출 사고 대열에 합류하게 되었다. 지난 해 벤모(Venmo)가 그 설정의 기본값에 따라 모든 구매 데이터를 SNS에 유출해온 정황이 발견되었다. 올해 초, 유명한 체인 레스토랑에서 수백만 개의 신용 카드 번호를 도난 당하였으며, 지난 해 메리어트 호텔의 개인 정보 유출 사고로 인해 일부 신용 카드 정보를 포함한 500만 명의 고객에 대한 개인 정보가 노출되었으며, 이보다 한 해 전에는 Equifax 사고로 인해 20만 개의 신용 카드 정보가 유출되기도 했다. 마지막으로, 2년 전 아마존에서 고객 로그인 정보와 이메일이 유출되었고, 2018년 아마존과 마스터카드가 데이터 공유 파트너십을 맺고 자사 정보망에서 누락된 고객 구매 데이터를 서로로부터 충족하고 있다는 정황이 드러나기도 했다.

 

프라이빗샌드와 같은 기능이 지불의 표준이 될 지도

 

암호화폐는 사적인 구매를 위한 강력한 대안으로서 역할을 수행하는데, 이는 일반적으로 주소가 개인의 신원과 연관되지 않고, 최신 버전의 지갑의 경우 각 구매 시마다 새로운 주소를 생성하여 어떤 특정한 개인 신원과의 연관 가능성을 감소시킨다. 그러나 구매에 암호화폐를 사용하는 것 역시 불완전한 개인 정보 보호라는 결과를 낳을 수 있다. 더스팅 공격(Dusting attack)과 같은 특정 개인 정보 공격은 주소와 개인 신원을 연결하는 데 사용될 수 있으며. 프린스턴 대학의 연구 결과에 따르면 온라인 구매 시 비트코인 거래가 개인의 신원과 연결될 수 있으며 이에 따라 이메일 주소와 같은 기타 신원 확인 정보가 유출될 수 있음이 밝혀지기도 했다. 이와 같은 경우, 대시의 프라이빗샌드와 같이 향상된 개인 정보 보호 기능을 사용하고 사적 구매를 위한 최고의 사용 방법을 따르는 경우 원하지 않는 데이터 유출로부터 개인 정보를 보호할 수 있게 될 것이다.