피해자 8명, 938만원 결제 피해 사고 발생
토스 "고객정보 유출 없었다"…수사 적극 협조·유사 피해 없도록 시스템 고도화
지난달 기준 누적 1700만명이 가입한 모바일 금융 서비스 '토스'에서 최근 이용자 몰래 결제가 이뤄지는 사고가 발생했다. 피해자는 총 8명으로 금액은 983만원이다. 보안이 상대적으로 취약한 간편결제 시스템의 문제점이 여실히 드러난 게 아니냐는 지적이 나온다. 토스는 시스템 고도화를 통해 문제점을 개선하겠다고 밝혔다.
9일 토스를 운영하는 비바리퍼블리카는 지난 3일 토스 이용자 8명이 본인도 모르는 사이 게임 웹사이트 등 토스 온라인 가맹점 3곳에서 총 938만원이 결제됐다고 밝혔다. 이어 "이는 해킹 등으로 인한 토스 정보 유출이 아닌 다른 경로로 유출된 개인정보가 부정 사용된 것이다"라고 해명했다.
앞서 JTBC는 8일 "최근 토스 간편결제 서비스를 이용하던 고객의 은행 계좌에서 돈이 결제되는 사고가 발생했다"며 "이 중 두 명은 각각 200만원 가까운 돈이 출금됐다"고 보도했다.
JTBC에 따르면 피해자 중 한명은 3일 오후 11시부터 48만4000원씩 총 4차례에 걸쳐 200만원 가까운 돈이 빠져나가는 피해를 봤다. JTBC는 "그는 이후 토스 고객센터에 문의했지만 정상 결제라는 이유로 환불받기 어렵다는 답을 들었다"며 "또 피해자가 해킹 아니냐고 따지자 토스 측은 곧바로 입장을 바꿔 피해금액을 돌려줬다"고 밝혔다.
특히 토스는 논란이 일자 문제가 발생한 사용자 계정을 차단하고 피해 금액을 모두 환급 조치했다고 JTBC는 전했다.
토스 측은 공지를 통해 "사건은 이용자들이 ‘나도 모르는 사이 온라인 결제가 됐다’는 신고를 접수하면서부터다"라며 "피해 신고를 접수한 직후 문제가 발생한 사용자 계정을 차단했고, 의심되는 IP로 접속한 계정도 미리 탐지해 확산을 막았다"고 설명했다.
특히 토스 측은 고객 결제 비밀번호를 저장하지 않고 있는데, 피해 고객의 개인정보가 다른 경로로 유출돼 제삼자가 이를 입수해 간편 결제에 이용했다는 주장이다. 토스 측은 그 근거로 일부 사용자가 타사 서비스에서 이미 부정 결제 피해를 봤다는 점을 근거로 들었다.
토스 관계자는 "피해 계정을 즉시 차단하고 가맹점 지급보류 조치를 취했다"며 "현재까지 피해를 파악한 고객에 대해 모두 환급 조치했다"고 밝혔다.
간편결제 시스템 문제 드러나
한국 간편결제 앱 시장에서 가장 많은 이용자를 확보한 토스에서 이 같은 사고가 발생하면서 보안에 취약한 간편결제 시스템 문제가 여실히 드러났다는 지적이 나온다. 이번에 피해가 발생한 '웹 결제' 방식은 5자리 결제번호(PIN)와 생년월일, 이름이 있으면 번거로운 절차 없이 간단한 인증만으로 결제가 가능하다. 일부 개인정보만 활용해도 부정 결제가 일어날 수 있는 다소 취약한 인증 방식인 셈이다
토스 측은 전체 가맹점 중 5% 정도가 이번에 문제 된 웹 결제 방식을 사용한다며, 향후 결제 시 추가 인증이 필요한 '앱 결제' 방식으로 전환할 계획이라고 밝혔다.
하지만 불안감을 느낀 이용자들은 토스 연동을 해지하거나 토스 서비스를 탈퇴하려는 움직임을 보인다. 또 피해자들은 보상과 별개로 이번 사건을 경찰에 신고했다.
토스 측은 공식 입장문을 통해 "수사 기관에 신고하고자 하는 고객에게 거래 명세서 등 증빙서류 발급 및 안내 조치했다"며 "추후 회사 차원에서 수사 기관 요청 시 적극 협조할 예정이다"라고 밝혔다.
윤미혜 기자 mh.yoon@chosunbiz.com