`나 몰래 결제` 토스, 회사는 해킹 아니라는데

by이후섭 기자
2020.06.09 10:34:42

[이데일리 이후섭 기자] 증권, 은행 등으로 영역 확장을 벌이던 토스가 `보안 사고`로 곤혹을 겪고 있다. 회사는 개인정보를 도용한 부정 결제가 발생한 것으로, 해킹을 통해 정보가 유출된 것은 아니라는 입장이다.

하지만, 개인정보가 어떤 과정을 통해 유출됐는지 파악하지 못해 간편결제 시스템의 보안 우려는 여전하다.

토스는 문제가 됐던 `웹 결제` 방식을 본인 추가 인증이 필요한 `앱 결제` 방식으로 변경하고, 이번과 같은 부정 결제 사례도 사전에 방지할 수 있도록 이상거래탐지 시스템을 고도화하겠다는 방침이다.

9일 토스를 운영하는 비바리퍼블리카에 따르면 최근 전자지급결제대행(PG)업체 페이시온 가맹점의 결제 방식을 앱 결제 방식으로 전환했다. 앞서 지난 3일 총 3곳의 온라인 가맹점을 통해 8명의 고객 명의를 도용한 부정 결제가 발생해 취한 조치다.

토스는 고객 4명으로부터 부정 결제에 대한 민원을 접수해 해당 계정을 차단했고, 가맹점의 결제 내역을 전수 조사한 결과 추가 피해 고객 4명을 발견해 사전적으로 계정을 차단하고 이를 안내했다. 총 8명의 고객이 입은 피해 금액 938만원을 전액 환급했다.

웹 결제 방식은 5자리 비밀번호(PIN)와 사용자의 이름, 전화번호, 생년월일 등이 있으면 결제된다. 토스 관계자는 “전체 가맹점 중 5%, 실제 결제액 기준으로는 1%가 웹 결제 방식을 채택하고 있는데, 일부 남아 있는 가맹점과도 협의를 통해 앱 결제 방식으로 바꿔갈 계획”이라고 말했다.토스는 비밀번호가 토스 서버에 저장되지 않기 때문에 유출이 불가능하다고 주장한다. 토스 관계자는 “비밀번호 자체를 저장하지 않고, 정보를 식별할 수 없도록 암호화된(해시) 값을 서버에 저장하는 단방향 암호화 방식”이라며 “해시값만 가지고 비밀번호를 복원하기는 힘들어 해킹을 통한 정보유출 자체가 불가능하다”고 강조했다.



그러나 개인정보가 어떻게 유출됐는지는 아직 파악하지 못하고 있다. 다만 일부 사용자의 경우 토스에 앞서 다른 회사의 서비스에서도 부정 결제 피해를 입은 것으로 확인돼 이미 도용된 개인정보가 활용된 것으로 판단하고 있다. 토스는 경찰청 사이버수사대 및 유관 기관과 협력해 개인정보 도용 경위를 파악하는 데 적극 협조한다는 입장이다.

웹 결제 방식으로는 이번 사태처럼 고객의 신상 정보와 비밀번호를 제 3자가 도용한 경우 뚫릴 수 있기에 토스는 앱 결제 방식으로의 변경을 추진하고 있다. 앱 결제 방식은 고객 본인이 스스로 결제하는지 확인할 수 있도록 기기 점유 인증을 한 차례 더 거친다. 고객이 휴대폰을 가지고 있지 않으면 결제할 수 없도록 만들어 부정 결제를 방지하겠다는 것이다. 다만 이는 임시 방편일뿐 개인정보 유출 경로를 파악해 보안 취약점을 보완하는 것이 시급해 보인다.

한편 토스는 도용된 정보로도 결제가 불가능하도록 이상거래감지 시스템을 고도화하겠다는 계획이다. 이번 사건과 별개로 일부 도용 시도 건이 이상거래감지 시스템을 통해 차단됐는데, 현재 시스템에서 이상거래로 분류하는 110개 정도의 기준에서 감지 범위를 더 추가해 부정결제 시도도 사전에 막을 수 있도록 하겠다는 것이다.

다만 도용 시도가 이미 발견됐는데, 바로 조치를 취하지 않고 사고가 터지고 나서야 시스템을 고도화하겠다는 계획을 밝힌 점에 대해서는 논란이다.

이번 사고로 인해 금융 보안에 불안감을 느낀 고객들이 지난 8일 저녁부터 토스 연동을 해지하거나 토스 서비스를 탈퇴하려는 움직임이 이어지고 있다. 온라인 상에서는 토스 회원 탈퇴 방법 문의가 급증하고 있는 것으로 알려졌다.

이에 대해 토스는 홈페이지에 부정 결제 관련 공지사항을 올려 해킹을 통한 정보유출이 아니라고 설명하며 고객을 안심시키려 하고 있다. 토스 관계자는 “전날 저녁 회원 탈퇴가 있었지만, 부정 결제 관련 보도가 나간 이후 1시간 안에 다시 정상화됐다”고 말했다.

토스는 총 8명의 고객 명의를 도용한 부정 결제가 발생한 것에 대해 홈페이지에 공지사항을 올려 조치사항, 향후 대응 등을 설명했다.(사진=토스 홈페이지 캡처)