[일요시사 취재1팀] 김태일 기자 = 초간편 모바일 금융서비스 앱 ‘토스’의 일부 이용자들 계좌서 최근 부정결제 사고가 발생해 소비자들의 주의가 요구되고 있다. 토스 측은 해킹이나 개인정보 유출이 아니라고 해명했지만 토스 앱을 이용하는 소비자들의 불안감은 커져만 가는 상황이다. 4개월 전, 생체인증 방식을 악용한 보이스피싱 피해도 발생한 것이 드러나며 모바일 금융 플랫폼에 대한 안전망 점검이 시급하다는 목소리도 나오고 있다.
1700만명이 가입한 모바일 금융서비스 앱 ‘토스’의 일부 가입자 계좌서 본인도 모르게 돈이 빠져 나간 것으로 드러났다. 토스 측은 개인정보 단순 도용 사건으로 규정하고 진화에 나섰지만 간편성을 무기로 한 신생 모바일 금융서비스에 대한 불신이 커지고 있다.
부정 결제
토스 측에 따르면 지난 3일, 토스 가입자 4명이 고객센터로 연락해 본인이 결제하지 않은 결제 건에 대한 민원을 제기했다. 이에 토스 측은 문제가 발생한 사용자의 계정을 즉시 차단 조치하고, 의심되는 IP로 접속된 계정을 미리 탐지·차단해 사고 확산을 막았다. 이후 해당 온라인 가맹점서 추가로 4명에 대한 부정결제 건을 확인해 가입자에게 통지했으며, 고객 8명에 대한 부정결제 건 938만원 전액을 환급 조치했다고 밝혔다.
토스를 통해 결제된 곳은 게임업체와 상품권업체다. 부정결제범은 도용된 가입자 개인정보를 이용해 게임 아이템 등을 사들인 뒤 이를 되팔아 미리 마련된 대포통장으로 돈을 송금하는 방식을 사용한 것으로 추정된다.
토스 측은 이와 관련해 “일부 사용자의 경우, 타사 서비스를 통해 이미 부정결제 피해를 입은 것으로 확인한 것을 근거로 도용된 개인정보가 활용된 것으로 판단된다”며 “본 건은 토스를 통한 정보 유출이 아니다”라고 선을 그었다.
이 같은 해명에도 불구하고 사고 소식이 알려지자 가입자들의 탈퇴 문의가 빗발치고 있는 것으로 파악됐다. 게다가 지난 2월에도 토스의 생체인증 방식을 악용한 보이스피싱으로 200만원을 부정결제당하는 사고가 드러나 소비자의 불안감을 증폭시키고 있다.
SNS에는 ‘혹시 몰라 토스 연동 계좌를 삭제했다’는 글들이 줄을 이었고, 검색 포털 사이트에는 ‘토스 탈퇴’ ‘토스 계좌 삭제’ 등이 토스 연관 검색어로 올라왔다. 토스는 아예 계좌를 삭제하려는 고객을 상대로 ‘토스를 통한 정보 유출이 아니니 안심해달라’는 팝업 메시지를 띄우고 있다.
토스 측 설명처럼 부정결제범이 토스의 서버를 해킹해 가입자 정보를 빼가거나 보안시스템 자체를 무력화시키고 돈을 빼간 것이 아니라면 통상 자주 일어나는 개인정보 도용 사고로 볼 수 있다.
한 금융보안 관련 전문가는 “카드사에서도 다른 곳에서 빼돌린 고객 개인정보를 이용한 부정결제 사건이 종종 발생한다”며 “이번에 토스서 발생한 금융사고도 크게 다르지 않은 유형으로 보인다”고 설명했다.
다만 토스의 경우 기존 금융업계의 복잡한 인증 방식을 과감히 간소화하는 ‘간편성’을 전면에 내세워 가입자를 폭발적으로 끌어모았다는 점에서 이전부터 보안에 대한 우려가 컸던 것이 사실이다.
이번 금융사고 경우에도 본인 소유의 휴대전화가 아닌 PC 등을 이용해 이름과 전화번호 등 개인정보와 결제 비밀번호(PIN)만 입력하면 결제가 되는 ‘웹 결제’ 방식이 이용됐다.
‘간편성’ 내세우더니…내부정보 유출 의혹
이용자들 불안감 증가 속 탈퇴 문의 빗발
그런데 웹 결제 방식이라 하더라도 대부분 간편결제 서비스의 경우 휴대전화 인증을 거치는 것이 통상적인데 토스의 경우 이를 생략했고 이 때문에 가입자 본인도 모르는 사이 부정결제가 이뤄질 수 있었다.
금감원 관계자는 “다른 간편결제 서비스의 경우 PC서 휴대전화 문자 등을 통한 인증을 한 번 더 거친다”며 “강제가 아닌 선택적인 규정이긴 하지만 PC서 내 PIN 번호만 넣는 것은 인증절차 하나가 빠진 꼴”이라고 설명했다.
다른 금융권 관계자도 “온라인 상거래는 물론이고 돈이 오가지 않는 온라인 서비스 가입 시에도 휴대전화를 통해 본인인증을 거치는 것이 통상적인데 토스는 이런 절차를 너무 간소화한 것 같다”고 지적했다.
이와 관련해 토스 측은 “전체 가맹점 중 5%, 실제 결제액 기준으로는 1%가 웹 결제 방식을 채택하고 있다”며 “방식 변경이 필요할 경우 가맹점과 협의를 거쳐 적용할 예정”이라고 밝혔다.
그러나 그동안 간편성을 강조해오다가 금융사고가 터지고 나서야 뒤늦게 인증 절차를 하나 더 추가하는 셈인 만큼 한발 늦은 조치라는 비판을 피하기 어려워 보인다.
동시에 이번 사고를 통해 신생 핀테크 업체의 보안시스템이 기존 금융업체에 비해 허술할 수밖에 없는 상황이라는 지적도 나오고 있다. 대표적인 예가 FDS(Fraud Detection System, 이상금융거래탐지시스템)이다. FDS는 결제자의 다양한 정보를 수집해 패턴을 만든 후 패턴과 다른 이상 결제를 잡아내고 결제 경로를 차단하는 보안 방식이다.
토스 역시 FDS를 갖추고 있지만 이번 금융사고의 경우 사고 발생을 전후해 FDS가 작동하지 않았다. 토스 관계자는 “4명 가입자의 민원 제기 이후에 이상 거래를 확인하고 나머지 4건의 이상 거래를 확인했다”고 설명했다.
이는 토스의 FDS 자체에 결함이 있다기보다는 서비스를 시작한지 얼마 되지 않은 신생 핀테크 업체의 경우 FDS의 고도화 자체가 쉽지 않기 때문이다.
다시 말해 카드사 등 기존 금융권의 경우 그동안 축적된 방대한 데이터를 기반으로 어느 정도 FDS가 고도화돼있지만 토스를 비롯한 신생 핀테크 업체의 경우 사업기간이 짧아 FDS를 고도화할 데이터 자체가 부족하다.
한 카드사 관계자는 “FDS는 데이터가 있어야 패턴을 학습시킬 수 있다”며 “토스의 경우 FDS를 고도화할 데이터나 경험이 부족한 것”이라고 설명했다.
탈퇴 러시
한 금융 전문가는 “결국 단기간에 급속하게 성장한 모바일 금융서비스 업체의 경우 고도의 보안시스템을 갖추더라도 금융사고 대처 능력이 떨어질 수밖에 없는 한계가 있다는 점에서 보완책 마련이 필요해 보인다”고 밝혔다.