[쿠키뉴스] 김동운 기자 = 간편송금 서비스를 제공하는 토스(비바리퍼블리카)에서 웹결제 방식으로 인한 금융사고가 발생하면서 해당 관리업체(비바리퍼블리카)가 보안에 소홀했다는 지적이 제기되고 있다. 여기에 금융사를 관리감독해야 하는 금융당국도 해당 논란에서 자유롭지 못하다는 비판이 함께 나오고 있다.
10일 금융권에 따르면 지난 3일 8명의 토스 이용자들은 자신들이 모르는 사이에 938만원이 빠져나가는 금전적 피해를 당했다. 이 중 두 명의 이용자는 각각 200만원 가량의 금액이 출금됐다. 토스(비바리퍼블리카)에서는 부정 결제에 사용된 고객의 정보는 사용자 이름과 전화번호, 생년월일, 비밀번호이며, 비밀번호의 경우 토스 서버에 저장되지 않기 때문에 유출이 불가능하다고 설명했다.
현재 금융감독원과 경찰은 사실관계 파악을 위한 조사에 들어간 상태다. 하지만 취약점이 계속해서 노출되어왔던 만큼 사전에 방지할 수 있었음에도 불구하고 이를 방치한 토스와 금융감독원의 안일함이 문제라는 지적은 피할 수 없어 보인다.
실제로 금융권에 따르면 토스는 지난 2015년 9월 전자금융업자로 등록한 이후 한 차례도 금융감독원에서 검사를 받지 않은 것으로 확인됐다. 비슷한 시기에 영업을 시작한 쿠팡, 우아한 형제들(배달의민족)은 금융감독원의 검사를 받았지만, 토스는 제외됐다.
금융감독원 관계자는 “토스의 경우 검사를 진행할 계획은 있었지만 인터넷전문은행 예비인가 일정에 더해 최근 코로나19로 인해 대면 검사가 힘들어진 부분이 있었다”고 해명했다.
이어 “웹결제 전산망 해킹 발생 가능성이나 실제 개인정보 도용 가능성에 무게를 두고 조사를 진행하고 있다”며 “소비자 보호를 중점으로 사실관계를 파악하고, 후속조치하겠다”고 덧붙였다.
여기에 토스의 경우 이번 금융사고가 발생한 직후 금융당국 및 소비자들에게 정보전달을 진행하지 않은 점도 지적됐다. 금융사고가 발생할 경우 해당 금융업체는 금감원에 보고해야 한다. 하지만 토스는 언론 보도 전까지 금감원에 이를 알리지 않았다.
토스 관계자는 “이번 금융 피해의 경우 웹 결제로 인한 과정에서 발생했고, 부정 결제에 사용된 고객 정보는 이름과 전화번호, 생년월일, 토스 비밀번호”라며 “토스 서버 내에서는 비밀번호를 저장해놓지 않아 토스 서버 내에서 발생한 유출사고가 아니라고 판단했다”고 해명했다.
이어 “금융당국의 감독 규정 해설 가이드에 따르면 해당 건의 경우 토스 서버 내에서 유출된 것이 아니기 때문에 금감원에 보고하지 않았으며, 현재는 당국 및 경찰 수사에 협조하고 있다”고 덧붙였다.
금융권에서는 웹 결제 간편결제 방식의 취약점이 드러난 만큼 추가적인 보완 방식이 시급하다고 지적했다. 이번에 문제가 된 ‘웹결제’의 경우 간편하지만 단말기 인증이 필요없어 보안성이 떨어지기 때문에 추가적인 피해가 발생할 가능성이 매우 높다.
금융소비자연맹 강형구 사무처장은 “편리성과 보안성은 서로 반비례하는 관계”라며 “최근 핀테크 업계의 트랜드가 간편함을 내세우면서 소비자들의 호응을 받아 큰 성장을 이뤄냈지만, 보안 부분에서는 소홀했다는 것이 이번 사건을 통해 드러났다”며 “이번 금융피해 사건을 계기로 비바리퍼블리카를 비롯한 간편결제 업체들의 보안성에 대해 다시 한번 점검하고 소비자 피해 방지를 위한 대안을 시급히 마련할 필요가 있어 보인다”고 이야기했다.
chobits3095@kukinews.com