[줌인]간편함이 독이 됐다‥.토스 성공신화 흔들리나

[이데일리 김유성 김현아 기자] 지난 3일 간편송금앱 ‘토스’의 운영사 비바리퍼블리카는 이상한 징후를 감지했다. 결제에 필요한 이름과 생일 등의 정보는 맞는데 비밀번호를 반복적으로 틀린 결제 시도가 여러건 등장한 것이다. 토스내 이상 감지 시스템은 이들 계정의 시도를 일단 걸러냈다.

그런데 8개 계정은 로그인 성공했다. 이들 계정을 도용한 불법 사용자는 게임 관련 온라인 사이트에서 실제 결제까지 이뤄졌다. 수십만원에서 수백만원에 이르는 규모의 게임 아이템을 구매했다. 대포통장까지 동원해 거래 차익을 송금한 정황까지 발견됐다.

총 8명이 피해를 입었다. 이중 4명은 자신의 계정이 도용당했는지조차 몰랐다. 이들이 입은 피해액은 938만원이었다.

토스는 즉각 피해액을 보상하며 사태 수습에 나섰다. 결제 시스템 전반을 점검하겠다고 약속했다.

그러나 토스의 고객들은 동요하고 있다. 인터넷 커뮤니티 등에서 토스에서 탈퇴하겠다는 글이 무더기로 올라오고 있다. ‘금융을 뒤집겠다’는 구호를 내걸며 급성장을 거듭한 토스는 최대 위기를 맞았다.

[사진=이데일리 노진환 기자] 모바일 금융플랫폼 토스(Toss)에서 개인정보 도용으로 983만 원이 결제되는 사고가 발생했다. 사진은 9일 오전 서울 중구의 한 사무실에서 직장인이 스마트폰으로 ‘토스’ 서비스를 탈퇴하는 모습.

‘간편함’ 토스의 강점이 부메랑으로

이건 사건이 주목되는 이유는 간편결제를 파고 들었다는 점이다. 간편결제는 젊은 사용자들이 가장 환호했던 토스의 최대 강점이었지만, 불법 사용자들에게는 좋은 먹잇감이었다.

토스 사건은 다크웹 등에서 수집한 개인정보를 이용해 토스의 비밀번호를 유추한 것으로 추정된다. 특히 토스의 간편결제는 PC에서 사용자 이름, 전화번호와 생년월일, 비밀번호만 있으면 뚫린다. 전체 토스 결제액 중 비중은 1% 정도로 많지 않지만, 불법 사용자들에게 분명한 헛점을 노출한 셈이다.

사실 사용자 ID나 이름 등을 입력하고 비밀번호를 유추해 넣는 방식은 고전적인 계정 탈취법 중 하나다. 해킹이라고 민망할 정도의 초보적인 방법이다. 인터넷 초창기부터 이런 식의 해킹 사례는 많았다.

그런데 해커들은 많은 사용자들이 생년월일이나 전화번호를 조합해 비밀번호를 만들거나 ‘11111’처럼 단순한 비밀번호를 선호한다는 점을 노렸다. 이런 초보적인 해킹 방식으로 토스의 간편결제가 뚫렸다는 점이 뼈아픈 지점이다.

업계 전문가는 토스 서버가 해킹당하지 않았지만 보안이 취약한 웹결제 방식을 유지한 책임은 있다고 지적했다. 실제로 카카오페이의 경우 PC에서 토스처럼 사용자 이름가 전화번호, 생년월일, 비밀번호를 모두 알고 있더라도 실제 스마토폰을 통해 확인된 경우에만 결제가 이뤄진다. 토스의 시스템에 구조적인 구멍이 있었던 셈이다.

한국인터넷진흥원(KISA) 출신인 최운호 서강대 기술경영전문대학원 교수는 “편하게 결제하기 위해 지문, 인증서 같은 시큐리티를 덜어냈으면 해커들에게는 더 쉬운 환경이 된 것”이라며 “시스템을 봐야 해킹 여부를 판단할 수 있겠지만 토스가 책임에서 자유로울 수는 없을 것”이라고 말했다.

간편함을 무기로 성장했던 토스

1700만 사용자를 보유한 토스에서 부정 결제가 발생했다는 소식에 소비자들은 동요하기 시작했다. 실제 인터넷 커뮤니티를 중심으로 탈퇴에 대한 의견이 속속 나오고 있다. 한 사용자는 토스 관련 기사를 공유하며 “너무 불안해서 탈퇴했다”면서 “가족들한테 토스를 탈퇴하라고 했다”고 글을 올렸다. 이 글은 조회수 2만4000회 이상을 기록했다. 댓글 중에는 토스를 두둔하는 것도 있었지만 상당수가 불안감을 호소하는 글이었다.

지난 2015년 간편송금 사업을 시작한 토스는 ‘간편함’을 무기로 세웠다. 송금 수수료, 보안카드, OTP 등에 지쳤던 젊은 사용자들은 환호했다. 서비스 시작 3년만에 1000만 가입자를 모았고. 세계 100대 핀테크 스타트업으로 선정되기도 했다. 기업 가치만 1조3000억원으로 우리나라 대표 유니콘(기업 가치 1조원 이상 비상장기업)으로 꼽힌다. 토스는 카드업과 인터넷전문은행업으로까지 사업 영역을 넓히고 있다.

하지만 토스의 경쟁력인 간편함이 오히려 부메랑이 된 모습이다. 토스의 간편함에 “편리하다”며 열광하던 소비자들이 “불안하다”는 불신의 감정으로 돌아서기 시작했다.

금융업계에서는 ‘올 것이 왔다’라는 반응이다. 간편함을 강조하다 안전함을 소홀히했다는 지적이다.

토스가 착오 송금이 많은 이유도 간편함을 강조한 부작용이라는 것이다. 업계 관계자는 “은행 앱이나 경쟁사 앱 보다 송금과정을 한 두단계 더 적다보니 실수로 보낼 수 있는 가능성도 높다”면서 “이번 토스의 부정 결제 사건은 다른 많은 IT기반 금융업에 영향을 미칠 것”이라고 예상했다.