ADVERTISEMENT

토스가 뚫렸다? 938만원이 뒤흔든 ‘페이’ 보안

중앙일보

입력

지면보기

경제 03면

‘토스’에서 부정결제 사고 발생 직후인 8일, 온라인에서 토스 탈퇴를 인증하는 게시물이 줄을 이었다. [사진 온라인 커뮤니티 캡처]

‘토스’에서 부정결제 사고 발생 직후인 8일, 온라인에서 토스 탈퇴를 인증하는 게시물이 줄을 이었다. [사진 온라인 커뮤니티 캡처]

모바일 금융 애플리케이션 ‘토스’에서 고객 몰래 900여만원이 결제되는 사건이 발생했다. 비바리퍼블리카가 운영하는 토스는 1700만 명 넘는 가입자를 보유하고 있다. 온라인 간편결제 시장에선 ‘빅3’로 꼽힌다. 서울 노원경찰서는 지난 4일 제3자가 토스 가입자 8명의 결제 비밀번호 등을 도용해 몰래 938만원을 결제한 사실을 파악하고 내사에 착수했다. 지난 8일 토스 측은 “피해 사실 접수 후 즉시 전액 환급했다”고 밝혔다.

비번 도용에 간편결제시장 후폭풍 #하루 이용금액 1656억으로 급성장 #비대면 금융거래 해킹 불안 커져 #편의성보다 안전성 중시하게 될 듯

액수가 크지 않고 대응도 빨랐지만 토스 앱을 일상적으로 이용해 온 2030세대에선 후폭풍이 크다. 회사원 이모(28)씨는 “모든 은행 계좌를 연동해서 써왔는데 불안감이 크다. 일단 탈퇴한 뒤 시스템 보완을 지켜볼 예정”이라고 말했다. 현재 토스 고객센터 안내화면에는 “(해당 사고는)토스를 통한 정보 유출이 아닌 제3자가 사용자 인적사항 및 비밀번호 등을 이용한 부정결제다. 안심하고 사용해달라”는 공지가 떠 있다.

금융권에선 국내 간편결제 시장이 급성장하면서 간편성에 비해 보안문제가 주목받지 못했다고 지적한다. 공인인증서 등 별도의 인증절차 없이 간단한 개인정보 입력만으로 결제가 가능한 간편결제 서비스는 2014년 9월 카카오가 카카오페이를 출시하면서 국내에 본격 도입됐다. 이후 공인인증서 의무사용이 폐지된 후 간편결제 서비스 업체들이 우후죽순 생겨났다. 최근엔 금융회사를 비롯해 유통·통신 등 다양한 업체가 ‘OO페이’라는 이름의 간편결제 서비스를 제공한다. 한국은행에 따르면 국내 간편결제 일평균 이용금액은 2016년 255억원에서 2019년 1656억원으로 급증했다.

휴대폰으로 QR코드를 촬영하거나(제로페이) 단말기에 입력된 카드정보를 바코드처럼 쓰는(삼성페이) 오프라인 간편결제와 달리, 토스·카카오페이·네이버페이 등의 온라인 간편결제 서비스는 처음부터 끝까지 비대면 방식이다. 간단한 정보만 입력하면 결제가 완료된다.

이번에 사고가 발생한 토스의 ‘웹 결제’ 방식은 보안에 특히 취약한 방식이다. 휴대폰에서 한 번 더 인증을 거치는 ‘앱 결제’와 달리, 웹상에서 전화번호·생년월일·비밀번호만 입력하면 결제가 이뤄진다. 토스 관계자는 “웹 결제 거래금액은 전체 간편결제 거래금액의 1% 정도인데, 보안상 우려 때문에 앱 결제로 전면 개편하는 중”이라고 전했다. 이에 대해 손병두 금융위원회 부위원장은 9일 “토스 측은 해킹이 아니라는 입장인데, 해킹 문제와 (간편결제) 제도의 문제는 분리해서 봐야 한다”고 말했다.

보안사고 우려가 커지면서 온라인 간편결제 업계는 최근 대응 수위를 높이고 있다. 페이코 관계자는 “로그인부터 결제까지 모든 상황을 이상금융거래탐지시스템(FDS)로 면밀히 모니터링하고, 내부 보안전문 인력을 배치해 24시간 공격 모니터링을 진행 중”이라고 전했다.

그러나 위조 기술이 고도화하면 비대면 금융거래 시스템이 언제든 공격당할 수 있다는 게 업계 지적이다. 금융감독원 관계자는 “최근 위조신분증으로 ‘대포폰’을 만들어서 비대면 인증을 통과해 타인 명의로 금융거래를 한 사건을 조사 중”이라며 “비대면으로 계좌를 개설할 수 있는 곳에서는 언제든지 이런 사고가 발생할 수 있다”고 말했다.

금융권에선 향후 간편결제 시장의 경쟁이 “누가 더 쉽게”에서 “누가 더 안전하게”로 이동할 것으로 전망한다. 임형진 금융보안원 보안기술연구팀장은 “간편결제의 보안·인증기술은 사용자 단말 구간에만 집중돼 있어 정교한 악성코드에는 취약하다”며 “향후 간편결제에 특화된 보안정책을 도입하거나, 이상금융거래탐지를 공유하는 체계를 구축해야 한다”고 지적했다.

성지원 기자 sung.jiwon@joongang.co.kr

ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT