최근에 JTBC에서 <1700만 가입 ‘토스’ 뚫렸다…”나도 모르게 200만원 빠져나가”>라는 제목의 기사가 보도됐다. 해커가 토스의 간편결제를 이용해서 3곳의 온라인 서비스에서 수백만원을 결제했다는 내용이다. 기사 제목만 보면 토스가 해킹을 당해 1700만명의 고객정보가 유출됐을 것 같은 인상을 준다. 이 기사를 본 토스 이용자들은 불안감에 토스 앱을 삭제하거나 회원탈퇴를 하기도 했다.

이에 대해 토스 측은 해킹이 아니라고 강변했다. 토스 측에 따르면, 토스의 시스템이 해킹돼서 고객정보가 유출된 사건이 아니라 기존에 다른 서비스를 통해 유출된 개인정보를 활용해서 토스로 결제한 사건이라는 것이다.

토스 측의 주장을 받아들인다면 해킹이 아니라 부정결제 사건이라고 볼 수 있다. 현재로서는 피해자가 8명에 그치고 있다는 점에서 토스 측의 주장에 무게가 실리는 상황이다.

물론 해킹이 아니라 부정결제라고 해서 토스에게 책임이 없는 것은 아니다. 토스가 유출한 개인정보가 아닐 지라도 이용자가 스스로 원하지 않는 결제가 일어났다는 점에서 토스는 책임을 져야 한다. 또 앞으로 유출된 개인정보를 조합해 일어나는 부정결제를 막을 대안도 마련해야 한다.

문제는 이 사태를 보는 시각이다. “간편결제, 그럴 줄 알았어” “역시 보안을 위해서는 더 복잡한 인증 시스템(a.k.a 공인인증서)을 갖춰야해” 라는 식의 주장이 쉽게 대두된다. 자극적인 소재를 좋아하는 언론은 ‘토스에 8건의 부정결제가 일어났다’는 사실 이상으로 뉴스를 확대 재생산하며 간편결제에 큰 문제가 있는 것처럼 보도한다.

그러나 부정결제는 비단 간편결제 서비스에서만 발생하는 문제는 아니다. 분실된 신분증으로 은행에서 계좌를 개설하거나 신용카드를 만들어 사용하는 사례가 심심치 않게 언론에 등장한다. 최근에는 한 공무원의 신분증을 도용해서 한화생명에서 7400만원, 광주은행에서 4000만원을 대출해간 사건이 벌어지기도 했다. 심지어 범인은 공인인증서까지 가짜로 발급받아 활용했다. 비대면 거래뿐 아니라 대면거래에서도 도용된 신분증으로 부정결제나 부정대출을 받는 사례가 벌어진다.

부정결제는 모든 결제 시스템에서 나올 수 있는 문제다. 다른 사람의 정보를 이용해 이득을 취하려는 이는 어디에나 있다. 부정결제를 최소화 하는 것은 중요하지만, 부정결제가 한두번 일어났다고 해서 마치 간편결제라는 시스템에  문제가 있다고 결론 내리는 것은 성급하다.

중요한 것은 부정결제 그 자체가 아니라, 부정결제가 일어난 이후에 보이는 금융사의 태도다. 부정결제가 일어났을 때 이용자의 피해회복이 빠르게 일어나고, 피해를 최소화 해야 한다.

이런 점에 오히려 이번 토스의 태도는 신선하다. 토스는 이례적으로 피해자에게 선보상을 했다. 아직 수사가 끝나지도 않았고, 피해자의 잘잘못이 가려지지도 않았는데 일단 피해를 보상한 것이다. 피해자 입장에서는 비록 도용된 개인정보로 결제가 일어났다는 점에서 찜찜함은 남겠지만, 금방 보상을 받았기 때문에 피해가 크지 않다.

이는 지금까지 금융기관의 태도와는 완전히 다른 모습이다. 기존에는 신용카드 등을 통한 부정결제가 확인돼도 이용자들은 피해를 쉽게 구제받지 못했다. 검찰수사 등을 통해 피해자의 귀책사유 없음이 증명되어야 겨우 피해를 구제받을 수 있었다. 귀책사유 없음이 증명되기까지는 많은 시간이 소요됐고, 피해자들은 그 기간동안 금전적, 정신적 이중의 고통을 감내해야 한다.

이런 점에서 토스의 선보상 사례는 국내 금융 서비스에 새로운 전기가 될 수 있을 것으로 보인다. 일단 피해부터 보상하고, 사건의 원인과 결과를 분석해나가는 모습이다.

사실 해외에서는 이런 모습이 일반적이다. 세계 최대의 간편결제 시스템인 ‘페이팔’에서는 우리나라에서보다 훨씬 더 많은 부정결제가 일어난다. 그러나 이용자들은 페이팔을 신뢰한다. 부정결제가 일어나도 금방 피해를 구제받을 수 있다고 믿기 때문이다.

부정결제가 절대로 일어나지 않도록 할 수 있다면 좋겠지만, 이는 쉽지 않은 미션이다. 부정결제를 0건으로 하겠다는 과도한 목표 때문에 공인인증서 등 이용자를 괴롭히는 시스템이 등장했다. 정부 정책이나 규제가 관심을 가져야 할 것은 금융사가 아니라 이용자다. 문제가 발생하면 이용자의 피해를 먼저 구제하는 관점으로 접근해야 한다. 일단 피해를 보상하고, 추후에 잘잘못을 차근차근 따져도 금융사가 망하지는 않는다.

그런 점에서 토스는 달랐다. 이번 부정결제 사건에서 전통적인 금융사와 핀테크사는 이용자의 피해를 먼저 구제한 토스의 선보상 시스템을 배워야 할 것이다.

글. 바이라인네트워크
<심재석 기자>shimsky@byline.network