간편결제란 신용카드나 은행 계좌 등 결제 정보를 최초 한 번만 입력해두면 이후부터는 비밀번호나 지문 인식, 패턴 인식 등으로 바로 결제할 수 있는 서비스다. 공인인증서를 일일이 옮길 필요가 없어 편리하다. 덕분에 2016년 시장규모가 26조 8000억 원 수준이었던 간편결제 시장은 2019년 80조 1000억 원 규모로 커지며 3년 새 2.5배의 성장세를 보였다.
하지만 이번에 토스에서 ‘웹 결제 방식’의 취약성이 확인되면서 논란이다. 토스 시스템이 해킹당했든, 고객 신분증이 위조돼 개인정보가 도용당했든, 간편결제 시스템 전반의 보안성을 다시 점검해야 한다는 지적이다.
9일 토스를 운영하는 비바리퍼블리카에 따르면 지난 3일 총 3곳의 온라인 가맹점을 통해 8명의 고객 명의를 도용한 부정 결제가 발생했다. 토스는 고객 4명으로부터 부정 결제 민원을 접수해 해당 계정을 차단했고, 가맹점의 결제 내역을 전수 조사한 결과 추가 피해 고객 4명을 발견해 계정을 차단했다. 이들의 피해 금액은 총 938만 원으로 토스는 전액 환급했다.
|
토스 “해킹 아냐” 주장.. 보안 전문가 “신분증 도용이라도 문제”
토스는 해킹당한 것은 아니라는 입장이다. 토스 관계자는 “비밀번호 자체를 저장하지 않고, 정보를 식별할 수 없도록 암호화된(해시) 값을 서버에 저장하는 단방향 암호화 방식”이라며 “해시값만 가지고 비밀번호를 복원하기는 힘들어 해킹을 통한 정보유출 자체가 불가능하다”고 밝혔다.
하지만 전문가는 토스 서버가 해킹당하지 않았다고 해도, 보안이 취약한 ‘웹 결제 방식’을 유지한 책임이 있다고 지적했다. 사고가 난 웹 결제 방식은 5자리 비밀번호(PIN)와 사용자의 이름, 전화번호, 생년월일 등만 있으면 결제되기 때문이다. 토스는 전체 가맹점 중 5%(실제 결제액 기준 1%)를 웹 결제 방식으로 하고 있다.
한국인터넷진흥원(KISA) 출신인 최운호 서강대 기술경영전문대학원 교수는 “편하게 결제하기 위해 지문, 인증서 같은 시큐리티를 덜어냈으면 해커들에게는 더 쉬운 환경이 된 것”이라며 “시스템을 봐야 해킹 여부를 판단할 수 있겠지만 고객 신분증이 도용돼 사건이 발생했어도 토스는 책임에서 자유로울 수 없다”고 말했다.
그는 “지난해 5년 동안 1천 만장의 신분증이 분실됐고 이 중 5%만 본인에게 돌아왔다는 통계가 있다”면서 “이 신분증을 믿고 다른 보안을 소홀히 한 채 비대면 결제를 하게 하는 것은 위험천만한 일”이라고 지적했다.
토스의 95% 가맹점은 결제 이전에 지문 인증, 패턴 인증 등 기기인증을 한 차례 더 거치는 ‘앱 결제’ 방식이라지만, 이번 사고로 간편결제 전반의 신뢰성이 흔들리는 것이다.
|
경찰 수사..방통위·금융위도 관계 법령 점검
토스는 사건 발생 즉시 신고해 경찰청 사이버범죄수사대가 수사를 진행 중이다. 또, 전자금융감독규정을 운영 중인 금융위원회 전자금융과와 정보통신망법의 소관부처인 방송통신위원회 개인정보침해조사과도 관련 법령 위반 여부를 점검중이다.
방통위 관계자는 “토스 사건은 경찰 수사가 시작됐고 금융위와 별도로 법령 위반 여부를 들여다 보고 있다”며 “토스는 해킹이 아니라고 주장해 맞다면 망법상 신고 의무는 없지만 다른 법규 위반 사항이 있는지 보고있다”고 말했다.
