2024-03-28 19:25 (목)
"토스 계정도용 사건, 간편결제 서비스 후퇴 아닌 도약 계기로 삼아야"
상태바
"토스 계정도용 사건, 간편결제 서비스 후퇴 아닌 도약 계기로 삼아야"
  • 길민권 기자
  • 승인 2020.06.09 17:34
이 기사를 공유합니다

김승주 교수 “토스, 신속한 보상 잘 한 것…페이팔도 유사 사례 많아”

모바일 금융 플랫폼 대표기업 비바리퍼블리카 ‘토스’에 따르면, 지난 3일 오후 1시경 온라인 가맹점 3곳에서 토스 고객 8명의 명의로 17건의 부정 결제가 발생했고 피해금액은 938만원이며 고객 보호를 위해 전액 선제적 보상조치를 실시했다고 밝혔다.

이번 사건에 대해 9일 토스 관계자는 해킹이 아닌 개인정보 무단 도용으로 확신하는 근거에 대해 이렇게 말했다.

“토스는 고객의 비밀번호를 서버에 직접 저장하지 않고, 단방향 암호화 과정을 거쳐 해시 값만 저장하기 때문에, '유출'이라는 개념이 원천적으로 불가능하다. 당일 비슷한 시간대에 비밀번호 5회 오류로 잠긴 계정이 있었고, 피해 고객 중 일부는 최근 타사이트에서 도용 피해를 입기도 했다”고 전하며 해킹에 의한 정보유출이 발생할 수 있는 구조가 아니라고 강조했다.

즉 도용된 개인정보를 악용해 부정 결제가 이루어 진 것이고 범죄자들은 블리자드, 검은사막 등 온라인 게임업체 3곳을 통해 돈을 빼내간 것이다.

토스 측은 “범죄자들은 게임 등 고환금성 사이트에 접속해, 피해 고객의 정보를 활용해 토스 웹 간편 결제를 하는 방식으로 부정을 저질렀다”며 “토스는 민원접수 즉시 해당 계정을 차단하고, 부정결제가 의심되는 추가 결제 건에 대해 고객에게 알리는 조치를 취했다. 또한, 토스를 통한 정보 유출이 아님에도 불구하고, 고객자산의 보호를 위해서 선제적으로 피해 금액 총 938만원을 하루 만에 전액 환불 조치했다”고 밝혔다.

◇김승주 교수 “토스, 신속한 보상 잘 한 것…페이팔도 유사 사례 있어”

한편 토스의 신속한 고객 보상 조치에 대해 긍정적인 시각으로 보는 견해도 많다.

이에 대해 김승주 고려대학교 정보보호대학원 교수는 “이번 사건은 타 사이트에서 획득한 정보를 범죄자가 토스 계정 도용에 사용한 사건이라고 생각한다. 무작위로 비번을 단시간 안에 많이 입력했거나, 짧은 시간 안에 반복해서 돈이 이체됐다면 FDS에서 탐지됐을 텐데 이 경우는 쉽지 않다”며 “그런데 그렇다고 해서 ID와 비번을 쓰는 간편결제시스템은 위험하니 쓰지말자 아니면 공인인증서를 다시 쓰자라는 말이 나오면 곤란하다”고 지적했다.

이어 그는 “간편결제는 아무래도 ID/비번 도용에 취약할 수 있다. 여기서 중요한 것은 해킹 당했느냐 여부가 아니라 상대적으로 보안기술에 대해 약자일 수밖에 없는 이용자 측면에서 충분한 배상이 이루어졌느냐가 관건일 것이다. 그런 면에서 볼 때 토스는 이번 사고처리를 신속하게 잘했다고 생각한다”며 “실제로 미국에서 유사한 사례가 발생한 페이팔도 사용자들이 안전하다고 느껴서 사용한다기 보다는 문제가 생겼을 때 보상이 제대로 이루어지기 때문에 사용하는 것이다. 이와 관련 미국인들 인터뷰를 한 적이 있는데 실제로 그들은 그렇게 말한다”고 덧붙였다.

◇토스 ”가맹점 결제방식 강화…FDS 고도화” "이번 사건, 간편결제 불신 커지기 보다 더 안전한 서비스로 도약하는 계기 되길"

한편 토스 측은 사고 이후 “문제가 된 가맹점의 결제 방식은 모두 웹에서 바로 결제하는 것이 아니라 본인소유임이 인증된 폰에서 토스앱을 열어 비번을 입력하는 방식으로 전환할 예정이며 궁극적으로는 이상거래탐지 시스템(FDS) 고도화를 통해 도용된 개인정보로는 결제가 불가능하도록 조치할 것”이라며 “이번과 같이 이미 알려진 수법들을 차단하면서도 FDS 룰을 지속적으로 업데이트해 나가겠다. 범죄자들과의 끝없는 과정이라고 생각한다”고 밝혔다.

토스 측은 끝으로 “이번 사건은 부정결제를 차단하기 위해서 업체들이 더욱 열심히 노력해야 한다는 교훈을 주었다고 생각한다. 한편, 사용자들도 유추하기 쉬운 비밀번호 사용을 지양하는 등 기본적인 수칙이 보안문화로 자리잡아야만 부정결제를 예방할 수 있을 것이다. 이번 사건으로 간편결제 서비스에 대한 불신이 커지기 보다는, 더 안전한 서비스로 도약하는 계기가 되길 바란다”고 전했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★