1700만명 이용자를 보유한 우리나라 대표 간편결제 서비스 토스(Toss)에서 ‘부정 결제' 사고가 발생해 논란이 커진다. 서비스 제공 과정에서 간편성만 추구하다 보니 보안성을 놓친 것 아니냐는 비판이 쏟아진다.
하지만 보안업계를 중심으로 이번 논란이 다소 부풀려졌다는 우려의 목소리가 나온다. 사고 위험보다 과한 비판이 이어지면서 간편결제 전체를 향한다는 지적이다. 기존 금융권 보안 사고가 대부분 사용자 책임으로 결론나다 보니 해외와 달리 보안 사고에 더 민감한 여론이 조성됐다는 주장도 나온다.
11일 보안업계에 따르면 이번 토스 부정결제 사고와 관련해 우려의 목소리가 나온다. 이번 사고 논란이 간편결제 전체의 보안 문제로 확대되는 모양새이기 때문이다.
보안 업계는 "완벽한 보안 기술은 없다"며 간편결제 편의성이 높아지다 보니 보안성이 낮아질 순 있지만 이것 자체가 간편결제 기술을 지양할 이유는 아니라고 입을 모은다. 토스 보안 정책 또한 특이점이 없었다고 평가한다.
한 정보보안 전문가는 "최근 공인인증서가 폐지된 이유는 보안성은 높지만 불편함이 컸던 데 이유가 있다"며 "점차 사용성이 중시되는 추세다"라고 설명했다. 그는 이어 "하지만 금융 서비스를 하는 곳은 다른 업계보다도 보안을 예민하게 생각하기 때문에 보안을 아예 신경 쓰지 않았다고 비판하긴 힘들다"고 밝혔다.
손병두 금융위원회 부위원장 역시 9일 기자들을 만난 자리에서 토스 사건과 관련해 해킹이 맞더라도 간편결제 제도와는 구분해야 한다고 명확히 선을 그었다. 그는 "해킹과 제도의 문제는 분리해서 봐야 할 것 같다"며 "현황을 파악하는 대로 다 같이 대응할 계획이다"라고 했다.
사고 발생 시 ‘기업이 책임지는 문화’ 조성이 더 중요
이번 사고가 보안사고 발생 시 기업의 책임을 먼저 살펴보도록 하는 정책 마련의 계기가 돼야 한다는 주장도 나온다.
그 동안 국내 금융권은 보안사고가 발생했을 때 배상에 신경쓰기 보다는 이용자 책임만 앞세웠다. 공인인증서를 앞세워 제도권의 보호를 받은 셈이다. 여기에 금전 피해가 발생하면 이용자가 지난한 법적 절차를 거쳐 배상을 받는 구조였다. 당연히 온전한 배상 사례도 드물 수밖에 없었다.
김승주 고려대 정보보호대학원 교수는 "그간 금융 업계가 보이스 피싱 등 다수 사고에서 배상보다는 이용자 책임을 앞세우면서 여론이 금융 보안 사고에 더 민감해졌다"고 평가했다.
그는 또 "미국 대표 간편결제 서비스인 페이팔(PayPal)은 보안에 힘쓰지만 ID와 비밀번호만으로 결제할 수 있도록 제공하면서 종종 사고를 경험한다"며 "일부러 발생시킨 피해가 아닌 이상 사고 피해자에 먼저 배상한 후 문제 원인을 찾는 대응 덕분에 지금까지 서비스가 인기를 모으고 있다"고 설명했다. 토스도 피해 사실이 알려지자 바로 전액 환불을 한 만큼 책임 있는 대응으로 봐야 한다는 평가다.
김 교수는 "토스 부정결제 사고 발생으로 여론은 간편결제의 기술 해법을 마련하라고 요구하고 있다"며 "이번 사고 피해 규모가 상당하다면 그런 주장이 맞다고 봐야 하지만 1700만명 사용자 중 피해자는 8명으로 극히 일부다. 예외적인 보안 사고 범위로 봐야 한다"고 강조했다.
해외 사업에 주력하는 핀테크 생체인증 업체 관계자 역시 "유럽도 보안 사고가 발생하지만 이번 토스 사건처럼 민감하게 여론이 조성되지는 않는다"며 우리나라는 좀 더 예민하게 반응하는 것 같다"고 짚었다.
이번 사고를 이유로 토스가 내부 해킹 피해를 입은 것 아니냐는 의혹을 제기하는 목소리도 있다. 하지만 보안업계는 그럴 가능성은 희박하다고 내다봤다.
토스 부정결제를 시도한 사이버 공격자는 PIN 번호를 여러 번 잘못 입력한 후 계정 접근에 성공한 걸로 알려졌다. 보안 업계는 "서버 침입 등 내부 해킹으로 PIN 번호를 알았다면 이같은 반복 입력은 없었을 것이다"라고 설명했다. 1700만명에 이르는 토스 사용자 중 현 시점에서 8명의 피해만 발생한 점도 이같은 주장을 뒷받침한다. 만약 내부에서 해킹으로 정보를 빼냈다면 피해 규모는 더 커졌을 것이라고 입을 모은다.
문종현 이스트시큐리티 이사는 "이번 사고는 사용자 개인정보가 특정 경로로 외부에 유출되면서 발생한 크리덴셜스터핑(Credential Stuffing) 수법으로 추정된다"며 "사이버 공격자가 사전에 암시장이나 다크웹에서 거래되는 개인정보를 가져왔거나 보안이 취약한 웹사이트를 해킹 후 정보를 취득해 토스 계정에 성공한 것으로 보인다"고 설명했다.
크리덴셜스터핑은 특정 경로로 유출된 개인의 로그인 정보를 다른 사이트나 계정에 무작위로 대입해 개인정보를 탈취하는 수법이다. 대다수 개인이 여러 계정에 유사성이 높은 로그인 정보를 입력하는 것을 악용한 사례다. 올해 초 다수 발생한 연예인 스마트폰 해킹 사건에도 이같은 방법이 쓰였다.
실제 다크웹에는 개인의 금융 정보가 다수 거래되고 있다. 최근에는 우리나라 신용카드 정보 90만건이 해외 다크웹에서 불법 거래된 것으로 드러났다. 신용카드 번호와 유효 기간, 카드 고유번호(CVC) 등이다.
금융 당국은 IC 단말기가 아닌 과거 마그네틱 방식의 포스(POS) 단말기를 통해 이같은 정보가 해킹으로 유출된 것으로 추정한다. 최근에는 해외 직구 사이트 이용 비중이 늘면서 별도 보안 프로그램 없이 카드정보와 개인정보까지 모두 입력하다 보니 여러 정보가 유출되고 상황이다.
문 이사는 "보안은 본질적으로 편의성과 반비례 관계에 있을 수밖에 없다"며 "결국 서비스를 제공할 때 어느 정도로 편의성과 보안성을 조화할지가 서비스 핵심 포인트가 될 수밖에 없다"고 평가했다.
김평화 기자 peaceit@chosunbiz.com