(사진=연합뉴스/자료사진)
1700만명이 가입한 모바일 금융서비스 앱 '토스'의 일부 가입자 계좌에서 본인도 모르게 돈이 빠져 나간 것으로 드러났다.
토스 측은 개인정보 단순 도용 사건으로 규정하고 진화에 나섰지만 간편성을 무기로한 신생 모바일 금융서비스에 대한 불신이 커지고 있다.
◇토스 "내부 정보 유출 아냐" 선긋기토스 측에 따르면 지난 3일 토스 가입자 4명이 고객센터로 연락해 와 자신이 결제하지 않은 결제 건에 대한 민원을 제기했다.
이에 토스 측은 문제가 발생한 사용자의 계정을 즉시 차단 조치하고, 의심되는 IP로 접속된 계정을 미리 탐지·차단해 사고 확산을 막았다.
이후 해당 온라인 가맹점에서 추가로 4명에 대한 부정 결제건을 확인해 가입자에게 통지했으며, 고객 8명에 대한 부정 결제건 938만원 전액을 환급조치 했다고 밝혔다.
(사진=연합뉴스/자료사진)
토스를 통해 결제된 곳은 게임업체와 상품권업체로 부정결제범은 도용된 가입자 개인정보를 이용해 게임아이템 등을 사들인 뒤 이를 되팔아 미리 마련된 대포통장으로 돈을 송금하는 방식을 사용한 것으로 추정된다.
토스 측은 이와 관련해 "일부 사용자의 경우, 타사 서비스를 통해 이미 부정 결제 피해를 입은 것으로 확인한 것을 근거로 도용된 개인정보가 활용된 것으로 판단된다"면서 "본 건은 토스를 통한 정보 유출이 아니다"라고 선을 그었다.
토스 측 설명처럼 부정결제범이 토스의 서버를 해킹해 가입자 정보를 빼가거나 보안시스템 자체를 무력화시키고 돈을 빼간 것이 아니라면 통상 자주 일어나는 개인정보 도용 사고로 볼 수 있다.
한 금융보안 관련 전문가는 "카드사에서도 다른 곳에서 빼돌린 고객 개인정보를 이용한 부정결제 사건이 종종 발생한다"면서 "이번에 토스에서 발생한 금융사고도 크게 다르지 않은 유형으로 보인다"고 설명했다.
(사진=연합뉴스/자료사진)
◇'간편성 내세우더니'…뒤늦게 인증절차 강화다만, 토스의 경우 기존 금융업계의 복잡한 인증 방식을 과감히 간소화는 '간편성'을 전면에 내세워 가입자를 폭발적으로 끌어모았다는 점에서 이전부터 보안에 대한 우려가 컸던 것이 사실이다.
이번 금융사고의 경우에도 본인 소유의 휴대전화가 아닌 PC 등을 이용해 이름과 전화번호 등 개인정보와 결제비밀번호(PIN)만 입력하면 결제가 되는 '웹 결제' 방식이 이용됐다.
그런데 웹 결제 방식이라 하더라도 대부분의 간편결제 서비스의 경우 휴대전화 인증을 거치는 것이 통상적인데 토스의 경우 이를 생략했고 이 때문에 가입자 본인도 모르는 사이 부정결제가 이뤄질 수 있었다.
금감원 관계자는 "다른 간편결제 서비스의 경우 PC에서 휴대전화 문자 등을 통한 인증을 한번 더 거친다"라며 "강제규정은 아니라 선택적이긴 하지만 PC에서 내 PIN 번호만 넣는 것은 인증절차 하나가 빠진 꼴이다"라고 설명했다.
금융권 한 관계자 역시 "온라인 상거래는 물론이고 돈이 오가지 않는 온라인 서비스 가입시에도 휴대전화를 통해 본인인증을 거치는 것이 통상적인데 토스는 이런 절차를 너무 간소화 한 것 같다"고 지적했다.
이와 관련해 토스 측은 "전체 가맹점 중 5%, 실제 결제액 기준으로는 1%가 웹 결제 방식을 채택하고 있다"면서 "방식 변경이 필요할 경우 가맹점과 협의를 거쳐 적용할 예정"이라고 밝혔다.
그러나 그동안 간편성을 강조해 오다가 금융사고가 터지고 나서야 뒤늦게 인증절차를 하나 더 추가하는 셈이어서 한발 늦은 조치라는 비판을 피하기 어려워 보인다.
(사진=연합뉴스/자료사진)
◇신생 핀테크, 이상거래 감지 등 경험부족 '한계'동시에 이번 사고를 통해 신생 핀테크 업체의 보안시스템이 기존 금융업체에 비해 허술할 수밖에 없는 상황이라는 지적도 나오고 있다.
대표적인 예가 FDS(Fraud Detection System, 이상금융거래탐지시스템)이다. FDS는 결제자의 다양한 정보를 수집해 패턴을 만든 후 패턴과 다른 이상 결제를 잡아내고 결제 경로를 차단하는 보안 방식이다.
토스 역시 FDS를 갖추고 있지만 이번 금융사고의 경우 사고 발생을 전후해 FDS가 작동하지 않았다. 토스 관계자는 "4명의 가입자의 민원 제기 이후에 이상거래를 확인하고 나머지 4건의 이상거래를 확인했다"고 설명했다.
이는 토스의 FDS 자체에 결함이 있다기 보다는 서비스를 시작한지 얼마되지 않은 신생 핀테크 업체의 경우 FDS의 고도화 자체가 쉽지 않기 때문이다.
다시말해, 카드사 등 기존 금융권의 경우 그동안 축적된 방대한 데이터를 기반으로 어느정도 FDS가 고도화 돼 있지만 토스를 비롯한 신생 핀테크 업체의 경우 사업기간이 짧아 FDS를 고도화할 데이터 자체가 부족하다.
한 카드사 관계자는 "FDS는 데이터가 있어야 패턴을 학습시킬 수 있다"면서 "토스의 경우 FDS를 고도화할 데이터나 경험이 부족한 것"이라고 설명했다.
결국 단기간에 급속하게 성장한 모바일 금융서비스 업체의 경우 고도의 보안시스템을 갖추더라도 금융사고 대처 능력이 떨어질 수밖에 없는 한계가 있다는 점에서 보완책 마련이 필요해 보인다.