세계일보

간편결제를 지원하는 모바일 금융 플랫폼 ‘토스(Toss)’에서 고객들이 모르는 사이 900만원이 결제되는 사고가 발생했다. 토스 측은 해킹 의혹을 일축하며 ‘개인정보 도용에 따른 부정결제’라고 해명했다. 피해액은 전액 환급하기로 했다.

토스를 운영하는 비바리퍼블리카는 “지난 3일 오후 1시쯤 온라인 가맹점 3곳에서 고객 8명 명의로 부정 결제가 발생했다”라며 “피해 금액은 총 938만원”이라고 8일 밝혔다.

비슷한 피해를 입은 고객은 모두 8명으로 확인됐으며, 피해 사례는 모두 17건으로 파악됐다. 한 고객은 자신이 모르는 새 200만원이 결제되는 피해를 당했다.

토스 측은 이번 사건에 대해 “해킹을 통한 정보 유출이 아닌 개인정보 도용으로 부정 결제가 발생한 것”이라고 설명했다. 고객의 개인정보를 알아낸 제3자가 비밀번호를 조합해 결제한 것으로 추정된다. 결제 전 수차례 비밀번호 오류가 발생한 사실도 확인했다. 

토스는 첫 피해 신고 접수 후 의심되는 IP로 접속된 계정을 탐지해 차단 조치했다. 이를 통해 선제적으로 4명의 추가 피해자도 파악할 수 있었다고 했다.

피해 계정은 즉시 차단 처리했고, 가맹점 지급 보류 조처도 했다. 현재까지 피해가 발생한 고객에게는 환급 처리했다.

토스는 계좌나 카드와 연결해 ‘토스 머니’를 충전하는 방식의 간편 결제 시스템이다. 웹 결제 방식은 이용자의 생년월일과 이름, 5자리 토스 결제번호(PIN)만 있으면 손쉽게 결제가 가능해 보안 우려가 제기돼왔다.

현재 토스앱 가입자는 전국 약 1700만명에 달하며, 대부분 웹 결제 서비스를 이용하는 것으로 알려졌다.

이번 사건으로 보안에 관한 우려가 잇따르자, 토스 측은 “신고가 접수되기 전까지 결제가 진행되는 과정에서 이상금융거래탐지시스템(FDS)이 이를 인지하지 못한 것은 사실”이라면서 “웹 결제 방식이 적용되는 전체 가맹점을 대상으로 고환금성 거래 여부 등을 면밀히 확인해 방식 변경이 필요할 경우 가맹점과 협의해 적용하겠다”고 밝혔다.

현화영 기자 hhy@segye.com    

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]