세계일보

간편 송금을 내세운 모바일 금융서비스 '토스'에서 고객 모르게 938만원이 결제된 사실이 알려지면서 고객들이 불안감에 휩싸였다. 토스 측은 첫 민원 접수 이후 전수조사를 했을 뿐만 아니라 추가 피해가 없도록 시스템을 정비한다는 입장이다.

9일 토스를 운영하는 비바리퍼블리카에 따르면 지난 3일 온라인 가맹점 3곳에서 토스 고객 8명 명의를 도용한 부정 결제가 발생했다. 부정 결제에 사용된 고객 정보는 사용자 이름과 전화번호, 생년월일, 비밀번호다.

이에 대해 토스 측은 해킹은 아니라고 밝혔다. 어떻게 고객 정보를 도용했는지는 수사를 통해 밝혀져야겠지만 토스가 보유한 수백만명의 정보를 한번에 탈취해가거나 금액 피해가 큰 여느 해킹 사례와는 다르다는 것이다.

비밀번호의 경우 암호화되고 토스 서버에 저장되지 않아 유출이 불가능하다고 보고 있다. 토스 측은 고객 4명의 민원이 접수된 뒤 문제의 계정을 차단하고 가맹점 결제내역을 전수 조사했는데, 그 결과 추가 피해 고객 4명을 발견해 이를 안내했다.

부정결제 금액 938만원은 다음날 전액 환불 조치됐다. 토스 측은 경찰청 사이버수사대와 유관 기관과 협력해 고객 정보를 부정한 방법으로 취득하고 이용한 도용자를 파악하고 검거하는데 협조하겠다는 방침이다.

하지만 불안한 가입자들은 이탈 움직임을 보이고 있다. 그동안 토스 서비스를 이용해온 유모(35)씨는 "어제 뉴스를 보고 놀라서 바로 토스를 탈퇴했다"며 "계좌관리를 안 하던 지인도 이번 일로 이상거래가 없는지 내역을 확인해보고 가슴을 쓸어내렸다고 들었다"고 말했다.

관건은 추가 피해 사례가 없도록 예방하는 조치다. 토스 측은 모바일 금융 서비스를 제공하는 회사인만큼 고객 정보 보호와 보안이 최우선 순위라고 강조하고 있다. 회사 설립 이후 지속적으로 매년 업계 최고 수준의 보안 투자를 유지하고 있고, 높은 수준의 글로벌 보안 인증을 자발적으로 획득하고 있다는 게 토스 설명이다.

관련 업계에서는 이상금융거래탐지시스템(FDS)을 갖췄더라도 감지하기 쉽지 않았을 것이라고 본다. 이상거래로 감지하기에는 소규모인데다 특이점이 없었기 때문이다.

모바일이 아닌 웹거래로 이뤄져 사전 파악이 쉽지 않았을 것이라는 게 업계 설명이다. 모바일거래는 고유 단말기 정보를 갖고 있어서 본인이 아닌 제3자 거래가 웹거래 보다 쉽지 않다는 것이다. 다만 최근 인터넷전문은행, 증권업 등 업권을 확장하고 있는 토스가 보안시스템을 점검하는 계기가 돼야 한다고 보고 있다.

금융보안업계 관계자는 "FDS에는 이상거래 룰(rule)이 심겨져 있어서 고객이 국내에 거주하는데 해외 승인 요청이 들어온다던가 하는 이상 거래를 차단한다"며 "누군가 고객 정보를 도용해서 웹거래를 한 경우 모바일보다 본인 확인이 쉽지 않을 수 있다"고 설명했다.

그러면서 "이번 부정 결제 사례에서는 아이디, 비밀번호 등만 알면 웹거래를 할 수 있는 허점이 있었던 것 같고, 이런 이유로 토스가 본인확인 절차를 보강하겠다고 한 것 같다"고 부연했다.

토스 관계자는 "고객들께 심려를 끼치게 돼 매우 안타까운 마음"이라며 "도용된 정보로 결제가 불가능하도록 시스템을 고도화하고, 더욱 안전한 서비스를 제공하는 데 최선을 다하겠다"고 말했다.

한편 손병두 금융위원회 부위원장은 토스 이용자의 개인정보로 부정 결제가 발생한 것과 관련해 "해킹과 제도의 문제는 분리해서 봐야 한다"는 입장을 전했다.

손 부위원장은 9일 오전 서울 중구 은행연합회에서 열린 '금융리스크 대응반 회의' 직후 기자들을 만나 이같이 말했다.

앞서 토스를 운영하는 비바리퍼블리카에 따르면 지난 3일 온라인 가맹점 3곳에서 토스 고객 8명 명의로 부정 결제가 발생했다. 금액은 총 938만원으로 전액 환급조치가 이뤄졌다.

토스는 회사를 통한 유출이 아닌 개정정보가 도용돼 부정 결제가 일어난 것으로 파악하고 있다.

손 부위원장은 "현황을 파악하고 있는 중이다"며 "문제 파악이 되는 대로 대응을 할 예정"이라고 밝혔다.

김현주 기자 hjk@segye.com   

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]