![[오늘의 운세] 5월 14일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/14/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
간편결제 서비스 이용자들이 토스를 떠나고 있다. 모바일 금융 애플리케이션 ‘토스’에서 고객 몰래 900여만원이 결제되는 사건이 발생하면서다. 비바리퍼블리카가 운영하는 토스는 1700만명 넘는 가입자를 보유하고 있다. 온라인 간편결제 시장에선 ‘빅3’로 꼽힌다. 9일 온라인 소비자 커뮤니티에는 “토스 불안해서 못 쓰겠다. 가족들도 해지시켰다”는 내용의 게시글이 다수 올라왔다.
모바일 금융 서비스 앱 '토스'를 운영 중인 비바리퍼블리카.
서울 노원경찰서는 지난 4일 제3자가 토스 가입자 8명의 결제 비밀번호 등을 도용해 몰래 938만원을 결제한 사실을 입수하고 내사에 착수했다. 지난 8일 토스 측은 “해킹이 아니라 외부에 유출된 비밀번호가 도용된 것이며, 피해 사실 접수 후 즉시 전액 환급했다”고 밝혔다.
액수가 크지 않고 대응도 빨랐지만 토스 앱을 일상적으로 이용해 온 2030세대에선 후폭풍이 크다. 회사원 이모(28)씨는 “모든 은행 계좌를 연동해서 써왔는데 불안감이 크다. 일단 탈퇴한 뒤 시스템 보완을 지켜볼 예정”이라고 말했다. 탈퇴 문의가 이어지면서, 현재 토스 고객센터 안내화면에는 “(해당 사고는)토스를 통한 정보 유출이 아닌 제3자가 사용자 인적사항 및 비밀번호 등을 이용한 부정결제다. 안심하고 사용해달라”는 공지가 떠 있다.
모바일 금융 애플리케이션 '토스'에서 부정결제 사고가 발생한 직후인 8일, 온라인 소비자 커뮤니티에서 토스 탈퇴를 '인증'하는 소비자들의 게시물이 이어졌다. 온라인 커뮤니티 캡처
보안 취약 '웹 결제' 뚫려
금융권에선 국내 간편결제 시장이 급성장하면서 간편성에 비해 보안문제가 주목받지 못했다고 지적한다. 공인인증서 등 별도의 인증절차 없이 간단한 개인정보 입력만으로 결제가 가능한 간편결제 서비스는 2014년 9월 카카오가 카카오페이를 출시하면서 국내에 본격 도입됐다. 이후 공인인증서 의무사용이 폐지된 후 간편결제 서비스 업체들이 우후죽순 생겨났다. 최근엔 금융회사를 비롯해 유통‧통신 등 다양한 업체가 ‘OO페이’라는 이름의 간편결제 서비스를 제공한다. 한국은행에 따르면 국내 간편결제 일평균 이용금액은 2016년 255억원에서 2019년 1656억원으로 급증했다.
휴대폰으로 QR코드를 촬영하거나(제로페이) 단말기에 입력된 카드정보를 바코드처럼 쓰는(삼성페이) 오프라인 간편결제와 달리, 토스·카카오페이·네이버페이 등의 온라인 간편결제 서비스는 처음부터 끝까지 비대면 방식이다. 간단한 정보만 입력하면 결제가 완료된다.
이번에 사고가 발생한 토스의 ‘웹 결제’ 방식은 보안에 특히 취약한 방식이다. 휴대폰에서 한 번 더 인증을 거치는 ‘앱 결제’와 달리, 웹상에서 전화번호·생년월일·비밀번호만 입력하면 결제가 이뤄진다. 토스 관계자는 “웹 결제 거래금액은 전체 간편결제 거래금액의 1% 정도인데, 보안상 우려 때문에 앱 결제로 전면 개편하는 중”이라고 전했다. 이에 대해 손병두 금융위원회 부위원장은 9일 “토스 측은 해킹이 아니라는 입장인데, 해킹의 문제와 (간편결제) 제도의 문제는 분리해서 봐야 한다”고 말했다.
손병두 금융위 부위원장. 뉴시스
'더 쉽게' 아닌 '더 안전하게' 경쟁으로
보안사고 우려가 커지면서 온라인 간편결제 업계는 최근 대응 수위를 높이고 있다. 페이코 관계자는 “로그인부터 결제까지 모든 상황을 이상금융거래탐지시스템(FDS)로 면밀히 모니터링하고, 내부 보안전문 인력을 배치해 24시간 공격 모니터링을 진행 중”이라고 전했다. 카카오페이 관계자는 “머신러닝, 딥러닝을 결합해 FDS를 지속적으로 고도화하고, 계좌번호나 수취인을 틀리게 송금할 경우엔 착오송금중지 프로그램을 가동해 지원 중”이라고 설명했다. 또 “사용자 명의의 다른 계정이 생성되면 바로 카카오톡으로 알린다”고도 덧붙였다.
그러나 위조 기술이 고도화하면 비대면 금융거래 시스템이 언제든 공격당할 수 있다는 게 업계 지적이다. 금융감독원 관계자는 “최근 위조신분증으로 ‘대포폰’을 만들어서 비대면 인증을 통과해 타인 명의로 금융거래를 한 사건을 조사 중”이라며 “비대면으로 계좌를 개설할 수 있는 곳에서는 언제든지 이런 사고가 발생할 수 있다”고 말했다. 김인석 고려대 정보보호대학원 교수도 “웹상에 돌아다니는 비밀번호 도용은 물론, 위조 신분증을 이용해서도 비대면 인증 시스템을 통과할 수 있다. 소비자 경각심이 필요하다”고 지적했다.
금융권에선 향후 간편결제 시장의 경쟁이 “누가 더 쉽게”에서 “누가 더 안전하게”로 이동할 것으로 전망한다. 임형진 금융보안원 보안기술연구팀장은 “간편결제의 보안·인증기술은 사용자 단말 구간에만 집중돼 있어 정교한 악성코드에는 취약하다”며 “향후 간편결제에 특화된 보안정책을 도입하거나, 이상금융거래탐지를 공유하는 체계를 구축해야 한다”고 지적했다. 김인석 교수는 “기존 금융권도 비대면 거래 시 통신사 본인확인 시스템에 의존하는데, 그 단계에서 문제가 생기면 바로 사고가 발생한다”며 “다소 불편함은 있더라도 추가 인증시스템을 더 마련해야 한다”고 주장했다.
성지원 기자 sung.jiwon@joongang.co.kr
