‘나도 모르는 비밀번호가…’ 토스-카드사 계정 연결 방식 논란

이승건 비바리퍼블리카 대표가 ‘토스뱅크’ 기자회견에서 사업소개를 하고 있다. (사진=연합뉴스 제공)

[이데일리 유현욱 기자] 30대 직장인 신나라(가명)씨는 최근 신용카드사 인터넷 홈페이지에 접속하느라 애를 먹었다. 비밀번호를 제대로 입력했는데도 접속이 되지 않아서다. 알고 보니 지난주 모바일 송금 애플리케이션 토스에 카드 정보를 연결했는데 토스 측이 비밀번호를 변경했기 때문이었다. 토스에서는 한눈에 전체 카드 이용내역을 볼 수 있어 편리했지만 찜찜한 기분이 들어 앱을 지워버렸다.

신씨처럼 ‘비밀번호까지 손대는 건 지나치다’며 토스를 떠나는 이들이 하나둘 나타나고 있다. 토스는 국내를 대표하는 핀체크업체 비바리퍼블리카가 운영 중인 간편 송금 앱이다. 토스는 송금뿐만 아니라 카드 통합조회, 부동산·펀드 투자, 보험 판매 등으로 영역을 확장했다. 하지만 카드 통합조회를 위해 최초 인증하는 과정에 토스가 충분한 사전고지 없이 카드사 웹사이트 비밀번호를 변경한 후 카드 보유내역, 사용내역 등을 수집해 온 것으로 확인되면서 논란이 일고 있다.

23일 관련 업계에 따르면 토스는 카드회원들을 대신해 카드사 홈페이지에서 회원가입 여부를 확인하고 임시 비밀번호로 변경한 뒤 접속하는데 정작 고객들은 변경된 비밀번호가 무엇인지 모르는 일이 발생하고 있다. 지난해 1월 토스가 카드 통합조회 서비스를 시작한 이래 1년 5개월간 지속적으로 이 같은 일이 벌어지고 있는 것이다.

절차는 이렇다. 우선 토스에 접속후 조회 탭으로 이동해서 ‘카드 연결’을 누른다. 이중 ‘문자 인증으로 (카드사와) 연결하기’를 선택해 토스가 개인정보 수집 및 제공 동의를 회원 대신 진행한다는 데 동의하면 카드사로부터 여섯 자리 숫자가 포함된 본인인증용 문자가 전송된다. 이 숫자를 입력하면 카드사 웹사이트 가입 여부, 이용 정보를 확인하고 토스와 연결되면 카드사로부터 “홈페이지 비밀번호 변경이 완료됐다”는 두 번째 문자가 전송된다.

문제는 토스가 비밀번호 변경 전 동의를 받았지만 본인조차 모르는 비밀번호로 변경된다는 사실을 고객들이 직관적으로 알기 어렵다는 점이다. 변경된 비밀번호를 모르는 고객은 카드사 웹사이트에 직접 접속하려면 비밀번호를 또다시 바꿔야 한다.

또 다른 문제는 토스가 변경한 비밀번호를 어디에 어떤 식으로 저장하느냐다. 이를 토스 서버에 평문으로 저장한다면 외부로 유출될 가능성도 배제할 수 없기 때문이다. 토스는 이용자 스마트폰에 암호화된 상태로 저장된다고 일축했다.

토스와 금융사 간 연결은 토스가 제공하는 금융거래 종합조회를 누리기 위한 사전 단계다. 토스는 카드사뿐만 아니라 은행, 증권사와도 연동해 한눈에 금융거래 내역을 볼 수 있는 서비스를 제공하고 있다. 이는 스크래핑 기술로 가능하다.

토스는 일반적으로 공인인증서 인증, 아이디·패스워드 입력 등 방식으로 금융사 전산망에 접속해 거래내역 정보를 수집한다. 문제가 된 ‘문자 인증으로 연결’은 공인인증서가 없거나 아이디·패스워드를 모를 경우 권하는 방식이라고 한다. 은행이나 증권사와 달리 미리 카드사 전산에 공인인증서를 등록하는 이들이 상대적으로 적다. 카드사 홈페이지 계정 정보를 일일이 기억하는 이도 적은 편이라 고객 편의를 위해 ‘문자 인증’ 방식을 내놓았다는 게 토스의 설명이다.

하지만 편리함을 내세우다 고객 정보 관리를 소홀히 했다는 비판이 제기된다. 한 정보통신업체 관계자는 “제대로 된 설명도 없이 임의로 사용자의 비밀번호를 변경해 사용하는 건 위험해 보인다”고 지적했다. 일부 카드사는 뒤늦게 이 같은 사실을 파악하고 토스에 해명을 요구하는 한편 법적으로 문제가 되지 않는지 내부 검토를 진행 중인 것으로 알려졌다. 금융당국도 보안상 예기치 못한 허점이 있는 건 아닌지 들여다보겠다고 전했다.

논란이 확산되자 토스는 패스워드 변경을 수반하는 ‘문자 인증’ 방식을 없애고 고객에 대해 관련 고지를 명확히 하겠다고 밝혔다. 토스 관계자는 “명확한 고지가 부족했다는 지적에 충분히 공감한다”며 “카드 등록 과정 관련한 대고객 고지 내용을 전반적으로 재검토해 최대한 명확히 인지하고 이해할 수 있는 문구와 사용자 인터페이스를 적용하겠다”고 해명했다.

■용어설명-스크래핑

고객이 자신의 인증정보를 한 번만 제공해도 금융사, 공공기관, 정부 웹사이트 등의 데이터 시스템에 접속해 여러 곳에 흩어져 있는 고객의 정보를 모아 가공하거나 제공하는 기술을 말한다.