1700만명의 가입자를 보유한 모바일 금융 앱 토스에서 이용자 동의 없이 900만원이 넘는 돈이 결제되는 사고가 발생했다. 모바일 금융 서비스의 대표주자인 토스는 간단한 개인정보 입력만으로 적립금 ‘토스머니’를 현금처럼 사용할 수 있도록 웹 결제 서비스를 제공하고 있다.

9일 토스 운영사 비바리퍼블리카에 따르면 지난 3일 고객 4명으로부터 ‘본인도 모르게 온라인 결제가 됐다’는 신고가 접수됐다.

먼저 피해사실을 인지하고 신고한 피해자 3명 외에 토스 측의 통지를 받고 부정결제를 인지한 피해자는 4명이다. 현재까지 확인된 피해자는 총 8명으로 게임 업체 등 온라인 가맹점 3곳에서 총 938만원이 결제됐다. 이 중 2명은 200만원에 가까운 피해를 입었다.

비바리퍼블리카는 “고객 4명으로부터 부정결제에 대한 신고를 접수한 즉시 의심되는 IP 주소로 접속된 계정을 차단하고 가맹점의 결제 내역을 전수 조사했다”며 “조사 결과 추가 피해 고객 4명을 발견해 이에 대해서도 계정을 차단하고 해당 고객에게 안내했다”고 설명했다. 그러면서 문제가 발생한지 하루 만인 지난 6월 4일, 부정 결제된 938만원 모두를 환급 조치했다고 밝혔다.

비바리퍼블리카는 “제3자가 사전에 외부에서 입수한 사용자 인적 사항과 비밀 번호를 활용한 것으로 해당 부정결제는 토스 앱이 해킹된 것은 아니다”라며 “일부 도용을 시도한 건에 대해서도 토스의 이상 거래 감지 시스템을 통해 사전에 차단됐다”고 해명했다. 해킹을 통한 정보유출이 아니라 개인정보 도용의 문제라는 것이다. 비바리퍼블리카에 따르면 부정결제에 사용된 고객 정보는 사용자 이름, 전화번호, 생년월일, 비밀번호이며, 특히 비밀번호는 토스 서버에 저장되지 않기 때문에 유출이 불가능하다.

하지만 일각에서는 토스의 웹 결제 방식에 허술한 점이 있다는 지적도 제기됐다. 토스 측은 가맹점 이용자 정보가 외부로 유출된 것은 맞지만, 토스를 통해 이용자 정보가 유출된 건 아니라고 주장하고 있다. 현재 이 사건에 대한 경찰 수사가 진행 중이다.

이번 부정결제는 모바일이 아닌 웹 사이트에서 이뤄졌는데, 토스의 웹 결제방식은 이름, 생년월일, 전화번호 등 개인 정보와 4자리 숫자와 알파벳 1개로 구성된 비밀번호만 입력하면 된다.

유출된 개인 정보와 금융기관 비밀 번호를 조합하면 충분히 결제가 가능한 구조로, 비밀 번호와 결제 휴대폰 정보를 이중으로 확인하는 모바일 결제에 비하면 허점이 있다. 간편결제 서비스를 제공하는 카카오페이의 경우 웹 결제를 제공하지 않는다는 점 등을 감안할 때 지나치게 편의에 치중하다 부정결제를 초래했다는 비판도 제기된다.

토스 측은 이와 관련해 “쇼핑몰이나 생필품 판매처 등 부정결제가 이뤄지더라도 현금화가 용이하지 않은 극소수 가맹점을 위해 웹 결제 방식을 지원해왔다”며 “현재 앱 로그인을 수반하는 앱 결제 방식으로 전환을 가맹점에 요청하고 있다”고 말했다.

이번 사건으로 토스는 문제가 발생한 가맹점에 웹 결제 지원을 중단하고 웹 결제 방식을 적용하는 전체 가맹점과 협의해 결제 방식 변경을 검토할 방침이다.

비바리퍼블리카는 “ 궁극적으로 도용된 고객의 정보로도 부정 결제가 이루어질 수 없도록 더욱 고도화된 이상 거래 감지·대응 시스템을 만들어가겠다”고 말했다. 이어 “경찰청 사이버수사대 등 유관 기관과 협력해 고객의 정보를 부정한 방법으로 취득하고 이용한 도용자를 파악하고 검거하는데 협조하겠다”고 덧붙였다.

김세화 다른기사 보기