1700만 가입자 토스, 이용자 몰래 결제… 938만원 피해

토스 "해킹아냐" 해명…내년 인터넷전문은행 출범에 악재

1700만 명의 회원을 보유한 간편결제 플랫폼 토스에서 이용자 모르게 결제가 진행되는 사고가 발생했다.

9일 토스 운영사인 비바리퍼블리카에 따르면 지난 3일 이용자 8명이 모르는 사이 게임 웹사이트 등 토스 온라인 가맹점 3곳에서 총 938만 원이 결제됐다.

일각에서 재기한 해킹 의혹에 대해 토스 측은 "해킹 등으로 인한 토스의 정보유출이 아닌, 다른 경로로 유출된 개인정보를 활용해 이뤄진 부정 결제"라고 해명했다. 제3자가 이용자들의 토스 비밀번호 등 개인정보를 별도로 불법취득해 토스의 간편결제 서비스를 이용했다는 주장이다.

토스 관계자는 "3일 고객 4명이 토스 고객센터로 자신이 결제하지 않은 결제 건을 신고해 해당 사용자의 계정과 결제를 진행한 IP를 차단했다"며 "부정 결제 건 938만 원 전액을 환급했다"고 덧붙였다.

이번 사고는 모바일 애플리케이션(앱)이 아닌 웹 서비스에서 발생했다. 토스의 웹 결제 서비스는 이름과 생년월일, 토스 비밀번호(PIN) 5자리만 파악하면 결제가 진행된다.

토스 관계자는 "토스는 비밀번호를 서버에 저장하지 않아 해킹으로 볼 수 없다"며 "웹 결제 방식의 변경이 필요한 경우 가맹점과 협의를 거쳐 개선할 것"이라고 말했다.

토스는 도용된 정보로도 결제가 불가능 하도록 시스템을 고도화하겠다고 약속했다. 이 관계자는 "이번 부정 결제는 해당 고객의 신상 정보와 비밀번호를 제 3자가 도용한 건으로, 일부 도용 시도 건에 대해서는 토스의 이상 거래 감지 시스템을 통해 차단됐다"며 "도용된 고객의 정보라 할지라도 토스에서는 부정 결제가 이루어질 수 없도록 더욱 고도화된 이상 거래 감지 및 대응 시스템을 구축 하겠다"고 강조했다.

토스가 시스템 해킹 의혹에 대해 적극 해명하고 있지만, 내년 인터넷전문은행 출범을 앞두고 있는 상황을 고려할때 악재다. 일부 인터넷 IT 커뮤니티에서는 이번 사고로 토스를 탈퇴하겠다는 의견이 올라오기도 했다.

토스는 앞서 지난해 6월 고객센터 직원이 이용자의 휴대전화번호를 동의없이 제3자에게 전달해 징계를 받기도 했다.