"토스 사고, 간편결제 전체 문제로 몰고 가면 안돼"

김승주 고려대학교 정보보호대학원 교수가 9일 이데일리와의 인터뷰에서 토스의 부정 결제 사태에 대해 설명하고 있다.(사진=이후섭 기자)

[이데일리 이후섭 기자] “토스에서 부정 결제 이슈가 발생했다고 해서 간편결제 시스템 전체 문제로 몰고 가는 것은 말도 안된다.”

김승주 고려대학교 정보보호대학원 교수는 9일 이데일리와의 인터뷰에서 “결제 시스템을 노린 해킹을 모두 다 막을 수는 없다. 문제는 이에 대한 즉각적인 보상 등 향후 어떻게 대응하는 지가 중요하다”며 이 같이 말했다.

“FDS도 돌렸는데 어쩔 수 없어”…2중 인증이 대세

토스를 운영하는 비바리퍼블리카에 따르면 지난 3일 총 3곳의 온라인 가맹점을 통해 8명의 고객 명의를 도용한 부정 결제가 발생했다. 토스는 고객 4명으로부터 부정 결제 민원을 접수해 해당 계정을 차단했고, 가맹점의 결제 내역을 전수 조사한 결과 추가 피해 고객 4명을 발견해 계정을 차단했다. 총 8명의 고객이 입은 피해 금액 938만원을 전액 환급했다.

금융감독원은 토스의 부정 결제 사고 원인 조사에 착수했으며, 토스가 쓰는 간편결제 시스템의 문제가 확인되면 비슷한 웹결제 방식을 쓰는 네이버페이나 쿠팡 등의 업체를 전수조사할 계획이라고 밝혔다.

김 교수는 “비밀번호가 어디에서 유출됐는지 확인되지 않았고, 이상거래감지 시스템(FDS)도 돌리고 하는 상황에서 뚫린 것은 토스 입장에서도 어쩔 수 없었을 것”이라고 진단했다.

토스 서버가 아닌 고객의 PC나 모바일 기기가 해킹돼 이미 유출된 개인정보를 토대로 비밀번호를 유추해 무단으로 접속했다는 것이 가장 가능성 높은 시나리오로 추정되고 있다. 비밀번호만 확보하면 결제가 진행될 수 있는 웹 결제 방식을 유지했다는 점에서 토스에 대한 비판이 이어지고 있다. 해킹 기술의 발달로 개인정보 노출 위험이 높아지고 있는 상황이라 구글·페이스북 등을 포함해 대다수 기업들이 2중 인증을 채택하고 있는 추세다. 토스는 문제가 됐던 웹 결제 방식을 앱 결제 방식으로 바꾸고 있는데, 앱 결제 방식도 스마트폰을 이용해 본인인증을 한차례 더 한다는 점에서 2중 인증으로 볼 수 있다.

즉각 환급조치는 긍정적으로 평가…“피해 보상이 우선돼야”

다만 이에 대해 김 교수는 “2중 인증을 업체들에게 강요할 수는 없다”며 “다른 사이트와 똑같은 비밀번호를 쓰거나 개인정보에서 충분히 유추 가능한 비밀번호를 사용한 이용자들의 과실도 있지만, 외국에서는 이용자에게 과실을 많이 떠넘기지는 않고 있다”고 말했다.

이런 측면에서 바로 피해액을 전액 환급한 토스의 조치에 대해 김 교수는 높게 평가했다. 그는 “일단 피해자 보상을 먼저 하고, 사고조사에 들어간 것은 잘한 조치”라며 “미국 대표 전자결제 서비스 기업인 페이팔도 해킹 사고에서 자유롭지 못한데, 그럼에도 미국인들에게 페이팔을 사용하는 이유를 물으면 어차피 사고가 나도 배상을 해주기 때문에 별로 문제될 게 없다고 대답한다”고 말했다. 페이팔은 매년 배상준비금을 마련하고, 이를 점점 줄여가겠다는 목표를 세우고 접근할 뿐더러 만일을 대비해 보험도 가입한다는 설명이다.

“간편결제 인식 전환 필요해…`편의성vs보안` 사이 선택은 기업 몫”

이참에 간편결제 시스템에 대한 인식 전환을 고려해 볼 필요가 있다는 진단이다. 김 교수는 “사용자 편의성을 높이면서도 보안을 강화할 수 있는 기술을 개발하면 좋겠지만, 현실적으로 두 문제는 상충되는 부분이 있다”며 “사용자 편의성을 높이는 대신 사고가 난다면 배상을 해주던가 아니면 다소 불편함이 생겨 고객이 줄더라도 보안을 강화할지 사이에서 비용 대비 효과를 따져 선택하는 것은 기업의 몫”이라고 판단했다.

이어 그는 “금융결제 시스템이 해킹을 당하면 문제가 되는 것은 금전적인 손해가 발생하기 때문”이라며 “고객이 입은 손해에 대해서 다 보상해준다면 사용자 입장에서 크게 문제될 것이 없을 것”이라고 덧붙였다.