1700만 명이 가입한 모바일 금융 플랫폼 ‘토스’에서 고객 모르게 900만 원이 결제되는 사고가 발생했다. 토스 측은 해킹을 통한 정보 유출이 아닌 개인정보 도용에 따른 부정결제라고 해명했다.
8일 토스를 운영하는 비바리퍼블리카에 따르면 지난 3일 오후 1시쯤 온라인 가맹점 3곳에서 고객 8명 명의로 부정 결제가 발생했다. 금액은 모두 938만 원이다. 이 신고가 접수된 이후 현재까지 비슷한 피해를 입은 고객은 모두 8명이다. 이들은 3곳의 온라인 가맹점에서 모두 17건의 피해를 입었다. 이 중 한 피해자는 200만 원에 달하는 피해를 입기도 한 것으로 알려졌다.
토스 간편결제 서비스는 계좌나 카드와 연결해 ‘토스 머니’를 충전해 사용하는 서비스다. 피해가 생긴 ‘웹 결제’ 방식은 고객의 생년월일과 이름, 5자리 토스 결제번호(PIN)만 있으면 손쉽게 결제할 수 있다. 현재 토스앱 가입자는 약 1700만명에 달하며 이들 중 상당수가 이 간편결제 서비스를 이용하는 것으로 추정된다.
토스 측은 해킹을 통한 정보 유출이 아닌 개인정보 도용으로 부정 결제가 발생한 것이라고 해명했다. 토스 측은 “고객의 개인정보를 알아낸 제3자가 비밀번호를 조합해 결제한 것”이며 “결제 전 수차례 비밀번호 오류가 발생하기도 했다”고 말했다.
토스 측은 첫 피해 접수 후 의심되는 IP로 접속된 계정을 미리 탐지해 차단했으며 이로인해 선제적으로 4명의 추가 피해자를 파악했다고 설명했다. 피해 계정을 즉시 차단하고 가맹점 지급 보류 조처를 했으며 현재까지 피해를 파악한 고객에 대해 모두 환급 조치했다고도 했다.
이 사건이 발생하지 금융권에서 부정사용방지시스템(FDS)을 갖춘 금융사와 달리 보안 시스템이 미비한 토스 시스템의 문제점이 드러난 것이라는 반응이 나오고 있다. 금융보안원 등은 간편결제 시스템에서는 번거로운 절차 없이 간단한 인증만으로 결제가 가능한 만큼 일부 개인정보만 활용해도 ‘부정 결제’가 일어날 수 있다는 얘기다.
이에 대해 토스 측은 “신고가 접수되기 전까지 결제가 진행되는 과정에서 이상금융거래탐지시스템(FDS)이 이를 인지하지 못한 것은 사실”이라며 “웹 결제 방식이 적용되는 전체 가맹점을 대상으로 고환금성 거래 여부 등을 면밀히 확인해 방식 변경이 필요할 경우 가맹점과 협의해 적용할 예정”이라고 밝혔다.
천금주 기자 juju79@kmib.co.kr