/사진=김민준 기자
“토스 탈퇴하는 방법을 알려주세요. 그동안 믿고 썼는데, 개인정보 다 털리기 전에 탈퇴해야겠어요.” - 금융·IT카페 글
“토스 애플리케이션에 들어가서 회원탈퇴 누르고 닫기 누르면 끝! 저는 이제 더 안전한 간편결제 플랫폼으로 갈아탑니다.” - 지역 맘까페 글

1700만명의 회원을 보유한 핀테크 공룡 토스에서 고객이 이탈하는 움직임이 가속화되고 있다. 토스에서 이용자의 동의 없이 돈이 결제되는 사고가 발생했기 때문이다. 커뮤니티와 소셜미디어(SNS)엔 ‘토스 10초 탈퇴’란 제목으로 탈퇴 방법을 안내하는 게시물이 공유되고 탈퇴를 인증하는 글도 올라오고 있다.


토스의 간편함에 “편리하다”며 열광하던 소비자가 “불안하다”는 불신의 감정으로 돌아서고 있다. 금융혁신 플랫폼으로 순항하던 토스는 이번 개인정보 부정결제 사고로 신뢰와 기업 이미지에 타격을 입게 됐다.

툭 하면 터지는 보안사고
이번 사건은 토스와 제휴한 일부 지급결제(PG) 업체의 5자리 비밀번호(PIN)와 생년월일, 이름이 있으면 결제가 되는 웹 결제 방식에서 발생한 사고다. 토스는 6월3일 온라인 가맹점 3곳에서 고객 8명 명의로 부정결제가 이뤄졌다고 밝혔다. 금액은 총 938만원이다.

토스는 고객 4명으로부터 민원을 접수한 즉시 해당 계정을 차단했으며 가맹점의 결제 내역을 전수 조사했다. 이어 추가 피해 고객 4명을 발견해 선제적으로 계정을 차단하고 이를 안내했다.
/사진=김민준 기자
토스는 사건 발생 하루만인 6월4일 총 8명의 고객에게 피해금액을 환불 조치했다. 토스 측은 “해킹을 통한 정보 유출이 아닌 개인정보 도용으로 부정 결제가 발생했다”고 강조했다. 웹 결제 방식은 실물 거래 기반 가맹점 등 일부 가맹점에 적용됐던 방식으로 사용자의 개인 정보 및 비밀번호를 모두 입력할 경우 결제가 가능하다.
토스는 내부 시스템이 해킹당한 것이 아니라 고객의 개인정보가 도용된 것이라고 진화에 나섰지만 소비자는 토스의 허술한 보안 시스템에 동요하고 있다. 앞서 토스는 보이스피싱 범죄에 악용된 사례도 있었다. 올해 초 경찰을 사칭한 전화를 받고 보이스피싱범의 주문대로 페이스 인증을 한 뒤 200만원을 결제한 A씨 사례가 대표적이다.


보이스피싱범은 A씨를 상대로 ‘당신의 계좌가 털렸으니 생체 인증을 거쳐 로그인한 뒤 지시대로 하라’고 말한 것으로 전해졌다. 이후 수상하게 여긴 A씨는 경찰에 신고한 뒤 토스에 피해 사실을 알려 계정을 차단한 상태다. 토스는 이를 다각화되는 신종사기 방식 중 하나로 파악한다.

서비스 쫓다가 신뢰 놓칠라
‘금융을 뒤집겠다’는 구호를 내걸며 급성장한 토스는 잇달아 발생한 보안 문제로 최대 위기를 맞았다. 그동안 고객의 이목을 사로잡기 위해 간편한 서비스를 강조한 나머지 이상거래감지 시스템(FDS) 등 보안시스템 구축은 부실했다는 평가다.

2015년 간편송금 사업을 시작한 토스는 3년 만에 1000만 가입자를 모았다. 터치 몇 번으로 단순해진 토스의 간편송금서비스는 시장에 새바람을 일으키며 빠르게 안착했다. 2020년 5월말 기준 누적 다운로드 4400만, 누적 송금액 90조원 등 거래가 늘었고 2020년 4월에는 출시 이후 처음으로 월간 흑자를 기록했다.

하지만 도용된 정보로 결제가 가능한 웹 결제 방식 등 여전히 낡은 결제시스템을 사용하는 점은 한계로 꼽힌다. 시중은행이 사용하는 앱결제는 고객 본인이 스스로 결제하는지 확인할 수 있도록 인증을 한 차례 더 거친다. 고객이 휴대폰을 가지고 있지 않으면 결제할 수 없어 부정결제를 방지할 수 있다.

해킹기술이 나날이 발전하면서 구글, 페이스북 등을 포함해 대다수 해외 결제기업도 앱 결제 방식으로 바꾸고 있다. 토스와 비슷한 카카오페이도 사용자 이름과 전화번호, 생년월일, 비밀번호를 모두 알고 있더라도 실제 스마트폰을 통해 확인된 경우에만 결제가 이뤄진다.

최운호 서강대 기술경영전문대학원 교수는 “결제의 편안함을 강조하다 보니 해커에게는 더 쉬운 환경이 됐다”며 “시스템을 봐야 해킹 여부를 판단할 수 있겠지만 토스가 책임에서 자유로울 수는 없을 것”이라고 말했다.

이상거래시스템 등 보안 시스템을 개선하는 것도 시급하다. 토스가 하반기 토스뱅크와 토스증권 출범을 앞두며 금융거래를 확대하는 만큼 안심하고 거래할 수 있는 전산과 인프라 구축이 필요하다는 지적이다.

시중은행은 고객의 전자금융거래가 이상거래라고 판단되면 위험 정도에 따라 해당 거래를 지급정지하거나 추가인증 처리하는 방식으로 FDS를 운용하고 있다. 이상거래를 분류하는 기준은 수천 개에 달한다.

토스는 현재 110개인 시스템의 이상거래 분류 기준에서 감지범위를 추가해 부정결제 시도를 사전에 막겠다는 방침이다. 최근 금융당국은 토스 사고가 해킹이 아닌 부정결제라는 잠정 결론을 내리고 사실 관계를 확인 중이다. 또 향후 조사 결과를 바탕으로 전자금융거래제도 개선에 반영할 계획이다.

현재 토스는 전자금융업자로 등록돼 전자금융업법과 신용정보법 적용 대상이다. 전자금융업자의 결제 오류사고는 해킹으로 인한 정보유출 사고와 특정인에 의한 부정결제 사고로 나뉜다. 해킹은 해당 업체의 시스템 문제로 간주돼 시스템 개선이 필요하지만 부정결제의 경우 개별 범죄로 사법당국의 수사 대상이 된다.

금융감독원 관계자는 “부정결제 사고는 특정 제재를 사안별로 적용하기보다 전반적인 사안에 따라 대응한다”며 “토스는 간편결제 자체가 아닌 웹 인증 절차 보안 문제에 무게를 두고 있다”고 말했다. 


<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>