[미디어SR 김사민 기자 ] 금융감독원이 고객 몰래 938만원의 부정 결제가 이뤄진 모바일 금융 서비스 토스에 대해 사실 조사에 들어갔다.
11일 금융감독원에 따르면 최근 금감원은 토스 운영사 비바리퍼블리카 시스템에 보안 문제가 없는지 부정 결제 관련 사실 조사에 착수했다.
앞서 지난 3일 총 3곳의 온라인 가맹점에서 고객 8명의 명의가 도용돼 토스를 통해 938만원의 금액이 결제되는 사고가 발생한 데 따른 후속 조처다.
당시 토스 측은 외부에서 제3자가 피해 고객의 신상 정보와 비밀번호를 도용해 토스에서 결제를 시도한 건으로 토스 시스템을 통한 정보 유출은 없었다고 해명했다.
부정 결제에 사용된 '웹 결제' 방식은 5자리 결제번호와 생년월일, 이름만 있으면 결제가 가능한데, 다른 경로로 유출된 신상정보에 비밀번호를 조합해 결제에 성공했다는 추측이다.
토스 관계자는 "부정 결제에 사용된 비밀번호의 경우 토스 서버에 저장되지 않기 때문에 유출이 불가능하다"면서 신상정보와 마찬가지로 비밀번호를 해킹당했을 가능성도 없다고 일축한 바 있다.
토스 측은 자사의 책임이 아님을 명시하면서도 고객 보호 차원에서 피해 금액 전액을 바로 환불 조치했다. 또한 이번 부정 결제에 사용된 웹 결제 방식을 적용하고 있는 일부 가맹점과 협의해 모두 '앱 결제' 방식으로 변경하겠다 밝혔다. 앱 결제 방식은 추가 인증 절차가 추가돼 본인이 아니면 결제를 시도하기 어렵다.
이러한 토스 측의 대응에도 불구하고 이번 사고는 간편결제시스템 전체의 보안 신뢰 문제로 일파만파 번져 나갔다. 간편 비밀번호만으로 쉽게 결제를 할 수 있다는 것은 토스를 비롯해 카카오페이, 네이버페이 등 간편결제서비스의 장점이지만, 늘 상주하던 보안에 대한 우려가 현실화한 것이다.
실제로 고객들은 "토스를 통한 유출이 아니다"는 적극적인 해명에도 불구, 불안해서 못 쓰겠다며 줄줄이 토스를 탈퇴하는 등 해프닝이 벌어지기도 했다.
이에 금융감독원은 토스 사실조사를 통해 이번 사고가 토스 측 주장대로 외부에 유출된 개인정보 도용을 통한 부정 결제인지, 내부 시스템 보안 문제인지 제대로 확인하겠다는 방침이다.
금감원 관계자는 이날 미디어SR에 "토스 측 주장이 맞는지 사실관계를 확인하는 과정이며, 이후 조사를 통해 유사 시스템을 운영하는 다른 업체에도 같은 문제가 있다고 판단되면 전수 조사로 확장할 여지가 있다"면서 "다만 조사 결과를 통해 결정해야 할 부분이기 때문에 현재까지 전수 조사에 대한 계획은 없다"고 밝혔다.
조사 결과 외부 경로로 유출된 개인정보를 이용한 부정 결제로 확인되면 사실상 전수 조사는 진행되지 않을 것으로 관측된다.
이 관계자는 "외부 개인정보 노출을 통한 부정 결제 사고는 간편결제시스템 외 다른 산업에서도 일어날 수 있는 일이므로 간편결제사업자 전체를 조사하는 것은 시간, 인력적 측면에서 어려울 것"이라면서 "아직은 간편결제시스템 전체의 문제라고 확장해서 보는 것은 무리가 있다"고 강조했다.