수백만 명의 미국인이 모바일 결제 앱 ‘캐시앱’(Cash App)을 사용해 가족이나 친구에게 돈을 송금하거나 업체에 제품 구매 대금 등을 결제한다. 캐시앱은 사용자 개인 정보 유출과 관련, 회사 측 대응에 불만을 품은 사용자가 제기한 집단 소송에서 합의금으로 1,500만 달러를 지급하기로 최근 결정했다. 캐시앱은 ‘벤모’(Venmo), ‘젤’(Zeller) 등과 유사한 모바일 결제 앱으로 송금 서비스 외에도 주식 투자, 비트코인 구매, 특정 가맹점 결제 서비스 등을 제공한다. 이번 합의에 따라 지난 6년 사이 캐시앱 사용자 중 개인 정보 유출에 따른 피해를 입은 사용자는 2,500달러 이상의 보상금을 받을 길이 열렸다.

■2021년, 2023년 정보 유출

캐시앱 사용자들은 캐시앱과 소유 업체인 ‘블록’(Block)을 대상으로 집단 소송을 제기한 바 있다. 원고 측은 소송에서 2건의 개인 정보 유출 사고와 관련, 업체의 고객 불만에 대한 대응 의무를 소홀히 했고 충분한 보안 조치를 마련하지 못해 사용자의 피해와 우려를 키웠다고 주장했다.

원고 측이 소송을 통해 제기한 첫 번째 정보 유출 사고는 2021년 발생했다. 캐시앱의 전 직원이 일부 미국 사용자의 거래 내역 등이 담긴 보고서를 동의 없이 다운로드한 일이 발생했다. 해당 직원이 다운로드한 보고서에는 고객의 이름, 계좌 번호, ID, 주식 거래 현황 등이 포함됐다.

직원은 근무 당시 고객 개인 정보 접근 권한이 있었지만, 회사와 계약이 끝난 이후에도 계속해서 정보를 열람하고 저장한 것으로 밝혀졌다. 2023년에는 승인되지 않은 사용자가 일부 고객 계좌 데이터에 무단으로 접속하는 사건이 터지면서 이번 집단 소송으로 이어졌다.

원고 측은 소송을 통해 피해자 대부분이 캐시앱 계좌에서 최고 4만 달러에 달하는 피해를 입었다고 주장했다.

이번 집단 소송 원고 중 한 명인 미쉘 샐리나스는 자신의 계좌가 해킹당한 뒤 문제를 처리하기 위해 100시간이 넘는 시간을 썼다고 밝혔다. 그러나 캐시앱과 블록 측은 책임과 잘못을 모두 부인하며 이번 합의는 유죄를 인정하는 의미가 아니라는 입장을 밝혔다.

■2018년 8월~2024년 8월 사용자

합의 따른 보상금 지급 대상은 캐시앱 이전 또는 현재 사용자와 연관 서비스 사용자다. 지난 2018년 8월 23일부터 2024년 8월 20일 사이 동의 없이 계좌 정보나 개인 정보가 타인에 의해 무단으로 접속된 사용자, 이로 인해 사기 거래 피해를 입은 사용자, 업체 측의 미흡한 대비를 경험한 사용자 등이 보상금 지급 대상에 포함된다.

캐시앱과 블록 측은 합의금 지급을 위해 1,500만 달러의 예산을 책정했고 이중 법률 수수료와 기타 수수료를 제외한 나머지 금액을 해당 사용자에게 지급할 예정이라고 밝혔다.

또 업체 측은 만약 합의금이 충분하지 않을 경우 사용자 청구 금액을 기준으로 합의금이 감소할 수 있다고 덧붙였다.

합의금은 ‘본인 비용 손실’(out-of-pocket losses), ‘시간 손실’(lost time), ‘거래 손실’(transaction losses) 등 3가지 지급 대상으로 나뉘어 지급된다.

본인 비용 손실 피해자는 최고 2,500달러까지 합의금을 청구할 수 있다. 합의금에는 계좌 초과 인출 수수료와 연체료, 크레딧 모니터링 비용, 신원 도용 보험료, 크레딧 보고서 발급 수수료, 크레딧 카드 및 은행 계좌 취소 수수료 등이 포함된다.

이와는 별도로 개인 정보 유출 피해를 처리하기 위해 사용한 시간에 대한 보상으로 시간당 25달러씩, 최고 3시간까지 합의금을 청구할 수 있다. 무단 거래로 피해를 입은 사용자는 피해 금액에 대한 손해 배상을 청구할 수 있다. 합의금 지급 대상 사용자는 오는 11월 18일까지 합의금 웹사이트(https://cashappsecuritysettlement.com/submit-claim) 또는 우편으로 합의금 청구 양식을 제출하면 된다. 합의금 지급 최종 승인 청문회는 12월 16일 열릴 예정이다.

■‘송금 정보 중복 확인·다단계 인증 절차’

캐시앱은 벤모, 젤 등과 함께 3대 모바일 결제 앱으로 알려져 있다. 캐시앱은 웹사이트를 통해 최첨단 암호화 기술과 사기 방지 기술 등을 통해 고객의 돈을 안전하게 관리한다고 설명하고 있지만 2건에 걸친 정보 유출 사고 뒤 사용자들의 신뢰도 하락을 피할 수 없게 됐다.

캐시앱은 또 소비자 평가 웹사이트 BBB에서 A+ 등급을 받았다고 홍보하고 있지만 등급과 관계없는 소비자 평점(5점 만점)은 평균 1.11 점으로 낮은 편이다.

‘소비자 금융 보호국’(CFPB) 이번 집단 소송 등과 관련, 소비자들에게 모바일 결제앱 사용 시 각별히 주의할 것으로 당부했다. CFPB에 따르면 모바일 결제앱에서 관리되는 고객의 자금은 정부 보증 대상이 아니기 때문에 피해가 발생하면 보상받을 길을 마땅치 않다.

지난 5월 정부가 모바일 결제 서비스를 제공하는 업체를 일반 은행에 포함해 일부 운영을 정기적으로 감독하는 방침을 검토 중인 것으로 알려진 바 있다. ‘전국 은행업 협회’(American Bankers Association)는 디지털 결제 서비스를 사용하는 소비자에게 송금 전 정보 재확인, 다단계 인증 사용, 이메일이나 문자를 통한 거래 알림 설정 등의 예방 조치를 취할 것을 권장한다.