유출된 개인정보만 있으면 추가인증 없이 '웹결제' 허점
휴대폰 기기 인증 절차 추가된 '앱결제'로 조속히 전환 해야
토스 측 "앱결제 전환은 가맹점과 협의 사항...일괄 전환 어려워"

모바일 금융 서비스 토스에서 부정결제로 추정되는 사고가 발생해 논란이 일고 있다. 개인정보 유출이 아닌 도용이라는 토스 측 입장 표명에도 비난은 거세진다. 간단한 인적사항과 비밀번호만 알면 결제가 가능하고 보안에도 취약한 '웹결제' 방식을 채택했다는 점에서 책임 소재에서 자유롭기 힘들다.

업계 일각에서는 추가 본인 인증 조차 거치지 않도록 한 토스의 보안 인식에 근본적인 문제가 있다고 지적한다. 여기에 토스는 '웹결제' 방식을 본인 인증이 추가된 '앱결제' 방식으로 전환하겠다며 진화에 나섰지만 쉽게 해결이 될 수 있을지는 미지수다.

이승건 대표/토스
이승건 대표/토스
해킹에 취약한 '웹 간편 인증'…앱방식으로 일괄 전환해야

9일 토스에 따르면 6월 3일 8명의 고객은 자신도 모르는 사이 938만원이 빠져나가는 금전적 피해를 당했다. 토스는 이번 부정 결제가 해당 고객의 신상 정보와 비밀번호를 제3자가 도용한 건으로 토스를 통한 고객정보 유출은 없다고 주장했다.

이번 사고 핵심은 단순한 인적사항과 비밀번호만으로 결제가 가능한 '웹결제' 방식을 이용했다는 데 있다. 부정 결제가 일어난 해당 온라인 사이트도 이 웹 결제 방식을 이용했다.

웹결제는 휴대전화를 통한 본인 인증 절차 없이 고객 이름과 생년월일, 토스 비밀번호만 입력하면 결제가 가능하다. 제3자가 도용하기 쉽도록 돼 있는 셈이다. 지인·친척 등이 알았거나 키보드 해킹을 통해 입력 패턴을 알아낸 경우가 이에 해당한다.

간편·편리함만 강조하다 된서리 맞아

토스가 웹방식을 도입한 이유는 간편함 때문이다. 비밀번호만 있으면 가능하다. 여기에 개인정보와 비밀번호 결합이 필요없는 사용처를 대상으로 적용했다. 전체 가맹점의 5%쯤이 해당한다.

토스 관계자는 "간편하게 결제를 할 수 있다는 점에서 웹결제를 도입했다"며 "이번 건과 같이 결합된 정보로 부정사용이 일어날 수 있는 가능성은 내다보지 못했다"고 설명했다. 이어 "이번 건을 겪으면서 앱 인증 방식으로 교체하기로 했다"고 덧붙였다.

앱 결제 방식은 고객 본인이 결제하는 게 맞는지 확인할 수 있도록 스마트폰 등 기기 인증을 한 차례 더 거친다. 고객이 휴대폰을 가지고 있지 않으면 결제할 수 없도록 만들어 부정 결제를 방지하는 구조다.

하지만 토스는 온라인 가맹점의 결제 방식을 일괄 전환 조치하지 않았다. 또 다른 피해자가 나올 수 있는 상황인 셈이다. 같은 사고가 반복될 수 있음에도 불구하고 토스 측은 가맹점과 계약상 충분한 논의가 필요하다는 입장을 내놨다. 토스 관계자는 "온라인 가맹점에서 웹 결제와 앱 결제의 수수료 차이는 없다"며 "가맹점 수수료는 가맹점과의 협의를 통해 진행한다"고 설명했다. 여기에 상호 계약 관계라는 특성상 특정 결제 방식을 강요하기도 어렵다는 입장이다.

핀테크 업계 한 관계자는 "웹결제 사용 온라인 가맹점에서만 일어난 사고이기 때문에 자체 전수 조사를 통해 위험 사이트를 공개하고 고객이 해당 가맹점을 이용하지 못하도록 선제적으로 대응한다면 추가 피해를 막을 수 있지 않겠느냐"고 조언했다.

"토스 간편 인증 못 믿어" 네이버·카카오페이로 불씨 번지나

이번 사고로 인해 간편 결제 보안에 불안감을 느낀 고객들은 8일 저녁부터 토스 연동을 해지하거나 토스 서비스를 탈퇴하려는 움직임을 보인다. 온라인 커뮤니티를 중심으로 토스 회원 탈퇴 방법을 공유하거나 인증하는 글이 올라오고 있다.

특히 업계 일각에서는 이 같은 사용자 탈퇴 움직임이 자칫 핀테크 전반으로 번지는 것 아닌가 하는 우려의 목소리를 내기도 한다. 다만, 토스 사고로 야기된 탈퇴 움직임이 간편 결제 업계 전체로 번지지 않을 전망이다.

카카오페이 관계자는 "자사는 보안에 취약한 웹결제 방식이 아닌 기기인증을 통한 앱결제 방식을 사용하고 있으며, 최근 핀테크 업계 최초로 금융보안원의 정보보호·개인정보 관리체계 통합 인증을 획득하는 등 철저한 보안 체계를 구축하고 있다"고 밝혔다

또 이번 사고를 계기로 핀테크 업체 보안과 비대면 인증 안정성을 정비할 기회라고 입을 모은다. 경각심을 불러 일으켰다는 것이다.

핀테크 업계 관계자는 "그동안 간편하다는 이유만으로 너도나도 간편 결제에 뛰어들었지만 이번 사고로 보안 인증 절차가 강화되면 결국 기존 금융 보안 절차처럼 불편한 게 맞다는 논리가 납득되는 꼴이다"라며 "은행 송금 절차나 다른 서비스와 차별화 포인트가 사라진다. 간편결제 시장 전체를 놓고 보면 신규 진입이 주춤해질 수도 있다"고 경고했다.

윤미혜 기자 mh.yoon@chosunbiz.com

키워드