토스 부정결제 사건 “해킹 당한 건 아니다”

모바일 금융 앱 토스를 통한 부정결제 사건이 발생했다. 현재 토스(비바리퍼블리카)는 피해를 입은 사용자들에게 피해금액을 전액 환급하고, 문제가 된 계정을 차단했다. 또 이번 사건의 정확한 원인 파악과 해결을 위해 토스는 경찰청 사이버수사대, 유관 기관과 협력한다.

토스는 “지난 6월 3일 세 곳의 온라인 가맹점에서 8명의 고객 명의로 부정 결제가 발생했다”며 “제3자가 사용자의 인적사항, 비밀번호 등을 이용해 웹결제를 이용한 부정 결제로 파악된다”고 전했다.

토스는 문제가 발생한 사용자의 계정을 차단하고, 해당 가맹점의 결제 내역을 전수조사해 피해고객 4명을 추가로 발견했다. 회사 측은 다음날인 4일, 피해금액인 938만원을 전액 환급했다.

이번 부정결제는 웹 결제를 통해 이뤄졌다. 모바일이 아닌 PC에서 이뤄지는 웹 결제는 토스의 사용자 이름, 전화번호, 생년월일, 토스 비밀번호만 입력하면 결제가 이뤄진다. 도용범은 입수한 개인정보로 한 게임 사이트에서 토스 웹 결제를 했다. 이 과정에서 몇 번의 입력 오류가 있었으나, 끝내 이 도용범은 결제에 성공한 것으로 전해진다.

토스는 이번 사건이 토스를 통한 정보 유출이 아닌, 도용된 개인정보를 활용한 부정 결제라고 강조했다. 토스는 “고객의 비밀번호를 서버에 저장하지 않고, 단방향 암호화 과정을 거쳐 해시 값만 저장한다”며 “개인정보 유출이 발생할 수 있는 구조가 아니”라고 강조했다.

특히 보안업계에서는 도용범이 외부 경로를 통해 파악한 비밀번호를 악용하는 경우, 업체 입장에서 사용자가 입력한 것인지 제3자가 입력한 것인지 파악하기 어렵다고 봤다.

한 보안업체 해킹 전문가는 “해커가 완벽하게 해당 서비스의 비밀번호를 알아온다면, 사실 서비스 업체 입장에서는 막기가 어렵다”고 전했다. 그래서 “금융권에서는 2차, 3차 인증, 캡챠 등의 추가인증을 도입하지만, 간편 송금 서비스는 편의성을 위해 이 과정을 생략한 것”이라고 설명했다.

결국 토스는 웹 결제 인증을 강화하는 방식을 택했다. 웹 결제 방식을 사용하는 토스의 가맹점은 전체 가맹점 가운데 5% 정도다. 토스는 부정결제가 이뤄진 가맹점은 앱으로 한 번 더 인증하는 방식으로 전환했다. 남아있는 웹 결제 가맹점은 필요한 경우 가맹점과 협의해 적용할 계획이다.

아울러 토스 측은 이번 개인정보 유출 사건의 재발을 막기 위해 부정거래 시스템을 고도화하고 관련 정책을 강화하겠다고 밝혔다. 토스 측은 “궁극적으로 도용된 고객의 정보라 할지라도 토스에서는 부정 결제가 이뤄질 수 없도록 더욱 고도화된 이상 거래 감지 및 대응 시스템을 만들 것”이라고 밝혔다.

토스, 혁신 잃지 않길

이번 계정도용 사건으로 토스는 적지 않은 타격을 받을 것으로 보인다. 일각에선 이용자들이 토스 이용을 해지하고 있다는 이야기도 들린다. ‘돈’이 걸린 문제인 만큼 서비스 사용자들은 보안 이슈에 민감할 수밖에 없다. 수많은 시중은행들이 불편함을 감수하더라도, 보안을 강화하고 신기술에 보수적으로 접근하고 있는 이유도 이 점 때문이다.

보안업계에서는 보안성과 편의성의 두 마리 토끼를 잡을 수 없다고 늘 강조한다. 보안을 강화하기 위해서는 편의성을 어느 정도 포기해야 하고, 편의성을 위해서는 어느 정도의 보안 위험성을 감수해야 한다는 이야기다.

그렇다고 보안을 위해 편의성을 포기하거나 편의성을 위해 보안을 포기할 수는 없다.  어렵겠지만 혁신을 이끄는 핀테크 업체가 가져가야 할 숙제로 보여진다.

아울러 이번 사건으로 산업적인 측면에서 한 가지 우려되는 점이 있다. 이제 막 기지개를 편 토스가 크게 위축되지 않았으면 한다.

토스는 아직 할 일이 많다. 카카오뱅크가 먼저 닦아 놓은 인터넷전문은행에 새로운 반향을 일으킬 준비를 하고 있다. 증권업도 마찬가지다. 넓게 봤을 때 국내 금융업계의 혁신을 이끌어내야 한다. 기술적으로 보강할 것은 하되, 기존에 토스가 내세운 혁신은 져버리지 않았으면 한다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network