[금융에세이]토스가 불지핀 간편결제 서비스 안전성 ‘도마’

[아시아경제 김민영 기자] 비바리퍼블리카가 운영하는 모바일 금융서비스 토스에서 고객 몰래 900만원 넘는 돈이 결제되는 사고가 발생하면서 간편결제 업체의 안전성이 도마에 올랐다. 2014년 공인인증서 폐지 논의 이후 급격히 성장한 간편결제 업체에 대한 금융당국의 점검 필요성이 제기된다.

14일 금융권에 따르면 지난 3일 토스 이용 고객 8명의 계좌에서 누군가로부터 여러 차례 돈이 결제돼 총 938만원에 달하는 부정 결제가 발생했다.

토스 측은 고객의 피해 접수를 받은 뒤 상황 파악에 나서 8명 고객에게 피해금을 전부 돌려줬다. 피해자들은 이 사건을 경찰에 신고했다.

토스 측은 “이 건은 토스를 통한 정보 유출이 아닌, 도용된 개인정보를 활용한 부정 결제 이슈”라고 해명했다.

하지만 기존 금융회사 보다 상대적으로 보안에 취약할 수밖에 없는 핀테크(금융+기술) 업체에서 이런 유사한 부정 결제 이슈가 언제 또 재발할지 모른다.

이번에 부정 결제에 사용된 고객 정보는 이름, 전화번호, 생년월일, 토스 비밀번호 다섯 자리였다.

지문인증, 홍재인증 등 생체인증 절차를 생략에 보안이 취약한 점을 범죄자가 노린 것으로 추정된다.

금융당국은 간편결제 등 비대면 금융서비스 보안에 대한 일제 점검에 나설 방침이다. 토스에서 발생한 부정 결제와 비슷한 사고가 또 있었는지 네이버페이, 카카오페이 등 간편결제 금융시스템 전반을 들여다보겠다는 것이다.

금융당국은 “전자금융거래의 디지털·비대면화가 진척되면서 비대면 금융금비스는 핀테크 업체뿐 아니라 금융 전반에서 제공되고 있다”면서 “토스 사태와 같은 상황이 없도록 제도적 보완 방안을 찾겠다”고 설명했다.

이들은 전자금융업법에 따라 전자금융업자로 분류돼 금융당국의 감독·검사를 받지만 은행이나 카드 등 기존 금융사에 비해서는 소홀하다는 지적을 받아왔다. 일례로 이번에 사고가 발생한 토스는 2015년 전자금융업자 등록 이후 금감원 검사를 한 번도 받지 않았다.

금융감독원은 쿠팡페이를 운영하는 쿠팡과 배달의민족 애플리케이션(앱) 운영사 우아한형제들에 대한 점검을 한 적이 있다.

금감원은 쿠팡 점검에서 전산자료 암호화 키(key) 관리 미흡을 지적했다. 금감원은 “전자금융거래 제공 시 이용하고 있는 결제 카드 토큰, 결제 계좌번호, 회원 비밀번호 등 중요 정보 암호화 적용 시 동일 암호 알고리즘, 동일 암호화 키로 암호화 처리를 하면서도 암호화 키에 대한 유효기간을 운영하지 않는 등 암호화 키 생명주기에 따른 관리 체계를 마련하지 않았고, 암호화 키에 대한 암호화를 실시하지 않는 등 암호화 키 관리가 다소 미흡하다”고 했다.

우아한형제들 조사에선 클라우드 관리시스템 해킹 가능성을 제기했다. 당시 금감원은 “클라우드 관리시스템에 로그인이 가능한 위치를 회사 내부 네트워크 등으로 제한하지 않고 공격자가 악성코드 등을 통해 사외에서 접속하는 IT 운영자의 단말기에서 로그인 정보를 탈취하는 경우 클라우드 환경에 구성한 모든 정보처리시스템에 위협을 가할 수 있는 보안 리스크가 있다”고 봤다.

금감원은 쿠팡과 우아한형제들에 대해 경영유의 조치를 내렸다. 금감원이 비금융 회사에 경영유의 조치를 한 건 매우 이례적이다.

토스는 현재 전자금융업자긴 해도 제3 인터넷전문은행 출범을 준비하고 있다. 금융업에 준하는 고강도 점검이 예상되는 이유다.

금감원에 따르면 2018년 기준 간편결제 이용 금액은 80조1453억원에 달하며 이용 건수도 23억8000만건에 이른다.

김민영 기자 mykim@asiae.co.kr