최근 벌어진 토스(Toss) 부정결제 사고를 두고 아쉬움을 표하는 보안 업계 관계자의 말이다. ‘뚫렸다'는 사실에만 여론이 집중되다 보니 사고의 근본 원인과 정확한 피해 규모, 실효 대책 등은 뒷전으로 밀렸다는 게 관련 업계의 볼멘 목소리다. 설상가상 피해 규모는 부풀려지거나 비판 대상이 와전되기도 했다.
이번 사고는 1700만명 이용자를 보유한 대표 간편결제 서비스 토스에서 이용자 몰래 결제가 이뤄지면서 여론 비판이 집중됐다. 단순히 토스만 질타한게 아닌 간편결제 서비스와 다수 핀테크 업체까지 싸잡아 문제로 지적됐다. 이들 서비스와 플랫폼 존재 자체에 회의를 표하는 여론까지 나타났다.
걷잡을 수 없이 커진 비판 여론처럼 토스 부정결제 사고는 정말 문제였던 것일까. 내부 해킹으로 사고가 발생한 것 아니냐는 의혹이 있었지만 그 가능성은 적다는 게 보안 업계 설명이다. 통상 내부 해킹으로 핀(PIN) 번호 등이 유출됐다면 피해 규모가 8명보다는 훨씬 컸어야 하기 때문이다.
또 해커는 핀 번호 오류 없이 결제를 진행했어야 한다. 하지만 해커는 결제 성공 전 여러번 핀 번호를 잘못 입력했다. 내부 해킹이 아닌 외부 특정 경로로 피해자 개인정보를 얻은 후 여러 번의 조합으로 결제에 성공했을 것이라는 추정이 나온 이유다.
토스를 운영하는 비바리퍼블리카에 따르면 이번 부정결제 피해자 일부는 이미 다른 사이트에서 외부인에 의한 수상한 계정 로그인 시도가 있었다. 타 사이트에서 부정결제 피해를 한 차례 경험도 했다. 이미 개인정보 유출이 있던 상태에서 이번 토스 사고로까지 도용 문제가 이어진 것이다.
혹여나 해커가 토스 내부 서버에 침입했더라도 핀 번호를 온전하게 알긴 힘들다. 비바리퍼블리카는 사용자 핀 번호를 사내 서버에 그대로 저장하지 않는다. 단방향 암호화 기술을 사용해 암호화된 값만 서버에 저장한다. 가져가더라도 복호화가 힘들기에 다수가 우려하는 대량 부정결제 등의 문제가 일어나기 힘들다.
일각에서는 외부에서 손쉽게 결제했다는 점을 들며 간편결제 기술 자체를 비판한다. 하지만 이번 사고는 1700만명 중 8명에게 일어난 극히 이례적인 사고다. 기존의 모바일 앱 결제 방식이 아닌 일부 웹 결제에서 발생한 사고이기도 하다. 기술 자체가 지닌 치명적인 결함이기보다는 해결해야 할 사각지대, 혹은 과제로 봤어야 했다. 실제 토스는 사고 발생 후 웹 결제를 추가 인증 방식으로 바꾸는 등 피해가 발생하지 않도록 문제를 해결했다.
그럼에도 8명의 토스 사용자가 938만원의 재산 피해를 본 것은 부인할 수 없는 사실이다. 비바리퍼블리카는 이 문제에서 책임 회피를 하지 않았다. 문제 소지를 법적으로 규명한 후에야 뒤늦게 보상하던 금융 업계 문법도 따르지 않았다. 대신 100% 즉시 보상이라는 카드를 꺼내 들었다.
신용석 비바리퍼블리카 개인정보보호최고책임자(CISO)는 이달 열린 한 행사에서 "기업의 개인정보 유출 사고 시 기업 책임을 유럽 수준으로 높여야 한다"고 주장하기도 했다. 이번 사고를 의식한 발언일 수도 있지만 "책임이 과도하다"고 소리 높이던 기존 업계 목소리와 다른 태도라는 점에서 주목할 수밖에 없다. ‘사업 확장을 위해 고객 신뢰나 보안은 신경 쓰지 않는다’는 식으로 토스를 비판할 순 없는 이유다.
이같은 책임은 비단 업체에만 한정해선 안된다. 일반 소비자도 개선된 보안 수칙을 준수해야 한다. 불필요하거나 귀찮다는 이유로 여러 사이트에 같은 비밀번호를 사용하는 등의 습관을 버려야 한다. 해커가 여러 경로로 유출된 로그인·개인정보를 악용해 특정 계정에 접근하는 시도를 막기 위해서다.
‘100% 완벽한 보안은 없다.’ 보안 업계를 취재하며 가장 많이 들은 말이다. 야속하게 느껴지기도 했지만 부인할 수 없는 사실이다. 애초에 뚫는 이가 있으니 막는 자가 생기는 게 아닌가. 흔히 보안을 창과 방패의 싸움이라고 하는 이유다. 뚫기가 막기보다 더 쉽다는 게 보안 업계 중론이다. 서비스 제공자와 이용자 간 책임 확대가 이번 토스 부정결제 사고의 교훈이자 나아갈 방향이어야 한다.
김평화 기자 peaceit@chosunbiz.com