1700만 고객을 확보하며 승승장구하던 금융서비스 업체 토스(toss)가 '부정결제 사고' 논란에 휩싸였다.
보안에 대한 불안감으로 토스를 탈퇴하거나 계좌 연결을 끊는 가입자들이 늘어나면서, 제3인터넷전문은행 출범과 증권·보험 서비스 영역 확대를 눈앞에 둔 토스에 '악재'가 됐다는 지적이다. 또한 금융당국의 간편결제 전면 점검 선언으로 관련 업계에서도 '불똥이 튈까' 우려하는 상황이다.
비중 1% 웹결제 사고라지만…가입자 줄줄이 탈퇴 '위기'
토스와 관련업계에 따르면, 지난 3일 블리자드 등 온라인 가맹점 3곳에서 총 8명의 고객 명의로 총 938만원의 부정 결제가 발생했다.
토스는 피해 신고 접수 직후 문제가 발생한 사용자의 계정을 차단했고, 의심되는 IP로 접속한 계정도 미리 탐지해 확산을 막았다고 밝혔다. 고객 4명으로부터 민원 접수 후 가맹점 결제 내역을 전수 조사해 또다른 피해 고객 4명에게 해당 사실을 알렸다는 것. 피해 금액은 모두 환급 조치했다.
당초 해킹 가능성이 거론됐지만, 미리 입수한 사용자의 인적사항과 비밀번호를 활용한 것으로 토스를 통한 유출이 아니라는 것이 토스의 입장이다. 비밀번호의 경우 토스 서버에 저장되지 않기 때문에 유출이 불가능하고, 피해 고객 8명 중 2명이 이미 다른 결제 서비스에서도 피해를 본 경험이 있다는 것도 이를 뒷받침한다는 주장이다.
그러나 이번 결제 사고 예방과 대응에 문제가 있었다는 지적이 이어지고 있다.
우선 확인 절차가 상대적으로 단순한 웹결제에서 이번 사고가 발생한 만큼, 선제적인 보완이 필요했다는 의견이 나온다. 스마트폰으로 본인 확인 절차를 한 번 더 거치는 앱결제와 달리, 웹결제는 사용자의 이름·생년월일·전화번호 등 개인정보와 비밀번호 5자리를 입력하면 결제가 가능하다. 토스 관계자는 "이번에 문제가 된 웹결제 비중은 결제금액 기준 1% 수준이고, 가맹점 수로는 5%(20곳) 정도"라면서 "이번 사고 이후 앱결제 방식으로 전환이 진행 중이다"고 밝혔다.
또한 토스의 이상 거래 감지 시스템(Fraud Detection System)이 제대로 작동했는 지에 대한 의혹도 제기됐다. 토스 측에서 "일부 도용 시도 건에 대해서는 이상 거래 감지 시스템을 통해 차단했다"고 설명했지만, 짧은 시간 안에 같은 금액 결제가 수차례 된 상황을 잡아내지 못했다는 지적이다.
여기에 해당 사고에 대해 즉시 금융감독원 신고와 고객 공지를 하지 않았다는 비판도 이어졌다. 토스에서는 "해킹이 아니라서 공지 사항이라고 판단하지 않았다"는 해명을 내놨지만, 이를 보는 시선은 곱지 않다.
더구나 부정결제 사건이 알려진 직후, "지난 2월 토스 생체 인증을 악용한 보이스피싱을 당했다"는 주장까지 제기되며 논란에 불을 지폈다.
이에 대해 토스 측에서는 "피해자 개인정보를 확보한 보이스피싱 가해자가 검찰을 사칭하며 보낸 화면에 얼굴이 인식돼 일어난 사건으로, 수사기관에 관련 자료를 제출하는 등 협조하고 있다"고 밝혔다.
토스의 운영사인 비바리퍼블리카는 부정 결제 사고가 알려지자, "고객분들께 심려를 끼치게 되어 매우 안타까운 마음"이라며, "도용된 정보로도 결제가 불가능 하도록 시스템을 고도화하겠다"는 입장을 발표하고 진화에 나섰다. 그러나 온라인 커뮤니티를 중심으로 '탈퇴 인증' 릴레이가 이어지는 등 이용자들의 이탈을 막기에는 역부족인 상황이다.
업계 관계자는 "보안은 디지털 기반 금융업체의 기본인데, 이번 사고로 가입자들의 불신이 확산되는 모양새"라면서, "토스가 그동안 보안에 대한 자신감을 전면에 내세웠던 만큼, 고객들의 실망이 더 큰 것 같다"고 지적했다. 또한 "이번 사고로 인해 당분간 가입자 이탈은 불가피할 것"이라고 전망했다.
대대적 영역 확대 앞두고 '악재'…금융당국 일제 점검에 업계 긴장도
업계에서는 서비스 출시 5년여만에 전국민의 3분의 1을 가입자로 확보한 토스가, 이번 사고로 신사업 진출에 영향을 받지 않을까 우려하고 있다.
토스는 전방위적 사업 영역 확대에 나선 상황이다. 내년 인터넷전문은행 공식 출범을 준비 중이고, 하반기에는 증권사 설립 및 보험 서비스 출시를 준비 중이다. 지난 4월에는 2015년 서비스 출시 이후 처음으로 월간 흑자를 기록하는 등 수익성 개선에도 성공했다.
그러나 이러한 분위기에 이번 사고가 치명적 '악재'로 작용할 수 있다는 분석이다. 고객 신뢰도 회복을 위해서는 상당 기간이 소요될 것이고, 새로운 서비스 가입자 유치에도 부정적인 영향을 줄 수 있다는 것이다. 또한 이번 사고에 대한 금융감독원과 경찰의 조사 결과에도 이목이 집중되고 있다.
일각에서는 "터질 게 터졌다"는 반응도 나오고 있다. 간편한 서비스를 위해 복잡한 인증 절차를 단순화하면서 예상됐던 위험 요소였다는 지적이다. 이 때문에 급성장한 간편결제 시장 전반에 대한 우려도 나오고 있다.
더욱이 10일 금융당국이 간편결제 등 비대면금융 서비스 보안에 대한 일제 점검을 발표하면서, 관련 업계에는 '비상등'이 켜졌다.
온라인 간편결제 서비스로 분류되는 토스, 카카오페이, 네이버페이 등은 금융법상 전자금융업자로 금융감독 당국의 감독·검사 영역에 있지만, 은행이나 카드 등 기존 금융사에 비해서는 감시가 소홀하다는 지적을 받아왔다. 토스 역시 2015년 전자금융업자 등록 이후 금감원 검사를 받은 적이 없다.
당국에서는 이번에 토스에서 발생한 부정결제와 비슷한 사고가 재발하지 않도록 간편결제 금융시스템 전반의 허점을 찾겠다는 취지를 밝혔다. 또한 전자금융거래법 개정안에 보안 관련 사항을 보완한다는 방침이다.
금융업계 관계자는 "간편결제는 핀테크 업체 뿐 아니라, 기존 금융사들은 물론 유통업체들도 속속 도입하고 있는 대세 서비스"라면서, "이번 사고로 인한 시장 위축이 우려된다"고 밝혔다. 또한 "등돌린 이용자들을 설득하기 위해서는 사후 대처보다는 선제적 시스템 정비와 제도적 보완이 필요하다"고 덧붙였다.
김소형기자 compact@sportschosun.com
무료로 보는 오늘의 운세
한화 무더기 2군행...김태균은 빠진 이유 [크보핵인싸]
