서울 노원경찰서는 지난 4일 제3자가 토스 가입자 8명의 결제 비밀번호 등을 도용해 몰래 938만원을 결제한 사실을 입수하고 내사에 착수했다. 지난 8일 토스 측은 “해킹이 아니라 외부에 유출된 비밀번호가 도용된 것이며, 피해 사실 접수 후 즉시 전액 환급했다”고 밝혔다.
액수가 크지 않고 대응도 빨랐지만 토스 앱을 일상적으로 이용해 온 2030세대에선 후폭풍이 크다. 회사원 이모(28)씨는 “모든 은행 계좌를 연동해서 써왔는데 불안감이 크다. 일단 탈퇴한 뒤 시스템 보완을 지켜볼 예정”이라고 말했다. 탈퇴 문의가 이어지면서, 현재 토스 고객센터 안내화면에는 “(해당 사고는)토스를 통한 정보 유출이 아닌 제3자가 사용자 인적사항 및 비밀번호 등을 이용한 부정결제다. 안심하고 사용해달라”는 공지가 떠 있다.
보안 취약 '웹 결제' 뚫려
휴대폰으로 QR코드를 촬영하거나(제로페이) 단말기에 입력된 카드정보를 바코드처럼 쓰는(삼성페이) 오프라인 간편결제와 달리, 토스·카카오페이·네이버페이 등의 온라인 간편결제 서비스는 처음부터 끝까지 비대면 방식이다. 간단한 정보만 입력하면 결제가 완료된다.
이번에 사고가 발생한 토스의 ‘웹 결제’ 방식은 보안에 특히 취약한 방식이다. 휴대폰에서 한 번 더 인증을 거치는 ‘앱 결제’와 달리, 웹상에서 전화번호·생년월일·비밀번호만 입력하면 결제가 이뤄진다. 토스 관계자는 “웹 결제 거래금액은 전체 간편결제 거래금액의 1% 정도인데, 보안상 우려 때문에 앱 결제로 전면 개편하는 중”이라고 전했다. 이에 대해 손병두 금융위원회 부위원장은 9일 “토스 측은 해킹이 아니라는 입장인데, 해킹의 문제와 (간편결제) 제도의 문제는 분리해서 봐야 한다”고 말했다.
'더 쉽게' 아닌 '더 안전하게' 경쟁으로
그러나 위조 기술이 고도화하면 비대면 금융거래 시스템이 언제든 공격당할 수 있다는 게 업계 지적이다. 금융감독원 관계자는 “최근 위조신분증으로 ‘대포폰’을 만들어서 비대면 인증을 통과해 타인 명의로 금융거래를 한 사건을 조사 중”이라며 “비대면으로 계좌를 개설할 수 있는 곳에서는 언제든지 이런 사고가 발생할 수 있다”고 말했다. 김인석 고려대 정보보호대학원 교수도 “웹상에 돌아다니는 비밀번호 도용은 물론, 위조 신분증을 이용해서도 비대면 인증 시스템을 통과할 수 있다. 소비자 경각심이 필요하다”고 지적했다.
금융권에선 향후 간편결제 시장의 경쟁이 “누가 더 쉽게”에서 “누가 더 안전하게”로 이동할 것으로 전망한다. 임형진 금융보안원 보안기술연구팀장은 “간편결제의 보안·인증기술은 사용자 단말 구간에만 집중돼 있어 정교한 악성코드에는 취약하다”며 “향후 간편결제에 특화된 보안정책을 도입하거나, 이상금융거래탐지를 공유하는 체계를 구축해야 한다”고 지적했다. 김인석 교수는 “기존 금융권도 비대면 거래 시 통신사 본인확인 시스템에 의존하는데, 그 단계에서 문제가 생기면 바로 사고가 발생한다”며 “다소 불편함은 있더라도 추가 인증시스템을 더 마련해야 한다”고 주장했다.
성지원 기자 sung.jiwon@joongang.co.kr