고객 몰래 938만원 결제된 토스…금감원 "개인정보 유출 없었다"

다크웹 등에서 개인정보 확보해 부정결제, 토스 웹결제 방식 앱결제로 방식으로 전환

모바일 금융 서비스 토스에서 고객 몰래 938만 원이 결제된 사고는 개인정보 도용에 따른 부정 결제인 것으로 잠정 결론이 났다. 토스에서 직접적인 개인정보 유출은 없었다는 것이다. 다만, 별도의 본인인증 방식을 거치지 않은 결제방식을 택한 토스의 보안의식에 근본적인 문제가 있다는 지적도 있다.

◇ 금융당국 토스 조사 결과 개인정보 유출無= 30일 금융권에 따르면 금융감독원은 토스를 운영하는 비바리퍼블리카를 조사한 뒤 토스를 통한 개인정보 유출은 없었다고 잠정적으로 판단했다.

토스가 해킹당한 것은 아니고, 누군가 다크웹 등 다른 곳에서 확보한 타인의 개인정보를 활용해 부정 결제를 했을 개연성이 크다고 본 것이다.

지난 3일 토스 이용자 8명은 자신들도 모르게 게임 웹사이트 등 토스 온라인 가맹점 3곳에서 총 938만 원이 결제됐다.

금감원은 문제가 불거지자 비바리퍼블리카로부터 관련 서류를 제출받아 검토한 뒤 지난 11∼12일 현장 점검을 벌였다. 서류 및 현장 조사에서 토스 측이 보고한 내용과 다른 특별한 내용은 발견되지 않은 것으로 알려졌다.

사고 발생 초기부터 토스 측은 미리 입수한 사용자의 인적사항과 비밀번호를 활용한 것으로 해킹은 아니라고 주장했다.

토스 측은 "제3자가 사용자의 인적사항과 비밀번호 등을 이용해 웹 결제를 한 것으로 파악했다"며 "토스를 통한 정보 유출이 아닌 도용된 개인정보를 활용한 부정 결제 이슈"라고 입장을 밝힌 바 있다.

금감원은 이와 별도로 간편결제 시스템 전반에서 보완이 필요한 부분을 파악하기 위해 간편결제 사업자 전체를 상대로 토스와 유사한 사고가 있었는지 등을 점검 중이다.

◇토스 간편결제 시스템 문제 지적… 웹결제→앱 결제로 전환 추진= 이번 사고는 모바일 애플리케이션(앱)이 아닌 웹 서비스에서 발생했다. 토스의 웹 결제 서비스는 이름과 생년월일, 토스 비밀번호(PIN) 5자리만 파악하면 결제가 진행된다. 때문에 해킹 리스크는 벗었지만, 보안에 취약한 '웹결제' 방식을 채택했다는 점에서 토스가 책임 소재에서 자유롭기 힘들다는 시각이 많다.

반대로 앱 결제 방식은 고객 본인이 결제하는 게 맞는지 확인할 수 있도록 스마트폰 등 기기 인증을 한 차례 더 거친다. 고객이 휴대폰을 가지고 있지 않으면 결제할 수 없도록 만들어 부정 결제를 방지하는 구조다. 토스는 간편성을 위해 앱결제 대신 웹결제 시스템을 사용했다.

금감원과 기존 금융사들은 토스의 결제 시스템이 허술하다고 지적한다. 다른 간편결제 서비스의 경우 PC에서 휴대전화 문자 등을 통한 인증을 한번 더 거치는데 토스는 PC에서 내 PIN 번호만 넣으면 된다. 휴대전화를 거치는 인증절차가 선택사항이긴 하지만 결과적으로 보안성이 허술했다는 것이다.

금융권 관계자는 "온라인 상거래나 서비스 가입시에도 휴대전화를 통해 본인인증을 거치는 것이 일반적인데 토스는 편의성을 위해 이런 절차를 너무 간소화 한 것이 화근이 됐다"고 언급하기도 했다.

업계 일각에서는 추가 본인 인증 조차 거치지 않도록 한 토스의 보안 인식에 근본적인 문제가 있다고 지적한다. 토스는 현재 '웹결제' 방식을 본인 인증이 추가된 '앱결제' 방식으로 전환하겠다며 진화에 나선 상태다.