1일 금융권에 따르면 금융감독원은 토스를 운영하는 비바리퍼블리카를 조사한 뒤 이 같이 판단했다.
금감원은 비바리퍼블리카로부터 부정 결제 관련 서류를 제출받아 검토한 뒤 6월 11일과 12일 이틀간 현장 점검을 진행해 경위를 파악했다. 그 결과 금융당국은 당시 사고가 토스 해킹이 아닌 개인정보 도용 가능성에 무게를 실었다. 해커가 다크웹을 통해 고객 개인정보를 확보했을 가능성이 더 크다고 봤다.
앞서 6월 3일 온라인 가맹점 3곳에서 총 8명의 토스 고객 명의로 938만원 상당의 부정 결제가 발생했다. 결제는 모바일 앱이 아닌 웹상에서 이뤄졌다. 고객 전화번호와 생년월일, 비밀번호가 이용됐다. 경찰은 금융당국과 별개로 해당 사건을 수사하고 있다.
당시 토스는 "제3자가 사용자의 인적사항과 비밀번호 등을 이용해 웹 결제를 한 것으로 파악했다"며 "토스를 통한 정보 유출이 아닌 도용된 개인정보를 활용한 부정 결제 이슈다"라고 주장해 왔다.
한편 금감원은 보안이 허술하다는 비판을 받은 간편결제 시스템의 문제점을 파악하고자 간편결제 사업자 전체를 대상으로 토스와 유사한 사고가 있는지 점검하고 있다.
윤미혜 기자 mh.yoon@chosunbiz.com