토스, 개인정보 도용 주장···80조 간편결제시장이 위험하다
상태바
토스, 개인정보 도용 주장···80조 간편결제시장이 위험하다
  • 황동현 기자
  • 승인 2020.06.10 10:06
  • 댓글 0
이 기사를 공유합니다

전문가들, "전자금융거래의 안전성 확보, 점검 필요"
금융당국, 사태 심각성 인지, 진위조사 나서

모바일 금융 서비스 토스에서 개인정보 도용으로 938만원이 결제되는 사고가 드러나자 토스가 도용을 주장하며 적극 해명하고 나섰지만, 간편결제의 안전성이 도마위에 오르고 있다

간편결제 시장은 지난해 80조 원 규모로 커지며 3년 새 2.5배의 급성장중이다. 차제에 간편결제 시스템 전반의 보안성을 다시 점검해야 한다는 지적이 높다.

금융당국도 사태의 심각성을 인지하고 진위 조사에 나섰다. 토스 뿐 아니라 관련 전자금융사업자 모두를 전수조사한다는 계획이어서 핀테크 보안 문제가 도마위에 오를 것으로 전망된다.

온라인 송금 서비스 '토스'가 이용 고객 명의를 도용한 부정 결제 사고가 터지자 지난 8일 '토스' 커뮤니케이션팀은 해당 사고가 보도된 이후 입장을 발표하고 상황을 적극 해명했다.

지난 6월 3일, 3곳의 온라인 가맹점을 통해 8명의 고객 명의를 도용한 부정 결제가 발생한 것에 대해 토스는 "부정 결제에 사용된 고객 정보는 사용자 이름과 전화번호, 생년월일, 비밀번호"며 "비밀번호의 경우 토스 서버에 저장하지 않기 때문에 유출이 불가능하다"고 밝혔다.

토스는 고객 4명으로부터 부정 결제에 대한 민원을 접수한 즉시, 해당 계정을 차단했으며 가맹점 결제 내역을 전수 조사했다고 밝혔다.

8명의 고객들이 입은 피해금액은 모두 938만원이었고, 토스측은 사고 발생 하루만인 6월 4일 전액 환불 조치를 완료했다고 밝혔다.

웹 결제 방식은 실물 거래 기반 가맹점 등 일부 가맹점에 적용됐던 방식으로, 사용자의 개인정보 및 비밀번호를 모두 입력하는 경우에만 결제가 가능한 구조다.

비록 일부 도용 시도 건에 대해 토스가 이상거래 감지 시스템을 통해 차단 조치했다고는 하지만, 고객의 신상 정보와 비밀번호를 3자가 도용해 악용할 경우 발생할 수 있는 보안 위협에 대해 우려하던 현실이 벌어졌다.

토스는 "궁극적으로 도용된 고객의 정보라 할지라도 부정 결제가 이뤄질 수 없도록 더욱 고도화된 이상 거래 감지 및 대응 시스템을 만들어가겠다"고 밝혔다.

전문가들은 토스 서버가 해킹당하지 않았다고 해도, 보안이 취약한 ‘웹 결제 방식’을 유지한 책임이 있다고 지적했다. 사고가 난 웹 결제 방식은 5자리 비밀번호(PIN)와 사용자의 이름, 전화번호, 생년월일 등만 있으면 결제되기 때문이다. 토스는 전체 가맹점 중 5%(실제 결제액 기준 1%)를 웹 결제 방식으로 하고 있다.

토스의 95% 가맹점은 결제 이전에 지문 인증, 패턴 인증 등 기기인증을 한 차례 더 거치는 ‘앱 결제’ 방식이라지만, 이번 사고로 간편결제 전반의 신뢰성이 의심받고 있다.

금융당국은 이번에 발생한 토스 정보 도용 금융사고와 관련해 조사에 착수했다. 토스를 포함한 핀테크 회사 전반 보안상황을 점검할 계획이다.

손병두 금융위원회 부위원장도 '금융리스크 대응반 회의' 후 기자들과 만나 토스 금융사고와 관련해 "현황파악을 하고 있다"라며 "문제가 파악되는대로 같이 대응할 계획"이라고 밝혔다.

한편, 9일 금융권에 따르면 비대면 거래의 취약점을 악용한 명의도용 대출 피해 사건이 발생해 금융당국이 내용을 파악중에 있다.

위조된 운전면허증 하나로 금융권의 실명인증이 뚫려버린 이번 사건은 1억 원대의 대출을 일으켜 돈을 빼갔으며, 대출피해를 입을 때까지 피해자는 전혀 알 수 없었다. 

공무원 김 모(30) 씨는 최근 전세자금 마련을 위해 은행을 찾았다가 자신도 모르는 사이 1억1400만원의 빚이 생긴 것을 알게 됐다.

위조범은 증권사 3곳과 인터넷은행 1곳에서 영업점 방문 없이 '비대면 계좌'를 개설해 광주은행과 한화생명에서 대출을 받은 것으로 드러났다.

올해 4월 김씨의 연금보험을 담보로 한화생명에서 7,400만원을, 광주은행에서 신용대출로 4000만 원을 받아간 것이다. 

광주은행에서 비대면 신용대출을 받을 당시 휴대폰 본인인증과 위조된 신분증만으로 범행이 가능했다. 

또한 한화생명에서는 김 씨가 들어놓은 보험금을 담보로 대출을 받았는데, 대출시 한화생명 모바일 애플리케이션을 활용해 본인인증을 한 것으로 확인됐다. 

범죄의 이용 경로는 ‘위조 운전면허증’이 사용됐다. 신종 비대면 계좌 사기는 유출된 신분증 정보로 나도 모르는 새 대출이 이뤄진다는 점에서 피해자도 알길이 없어 위험하다. 김 씨는 대출이 이뤄지고 한 달 뒤에야 계좌 개설과 대출 사실을 알았다.

특히 금융권이 마련한 보안 대책이 위조 신분증과 휴대전화로 모두 뚫렸다는 것이 문제로 제기된다. 

금감원 관계자는 "최근 비대면 금융거래의 취약점을 악용한 사례가 여러 건 발생해 예의 주시하고 있다"며 "김씨 사례도 접수해 내용을 파악하고 있다"고 말했다.

근래 위조된 운전면허증으로 금융권에서 비대면 사기대출을 받은 사건에다 간편결제앱 토스의 부정결제 사건까지 이어지면서 비대면 금융 거래의 보안허점에 대한 우려가 높아지고 있다

 

황동현 기자  financial@greened.kr

▶ 기사제보 : pol@greened.kr(기사화될 경우 소정의 원고료를 드립니다)
▶ 녹색경제신문 '홈페이지' / '페이스북 친구추가'

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.