[서울이코노미뉴스 신현아 기자] 1700만명이 넘는 가입자를 둔 간편결제 업체 토스에서 938만원이 고객 모르게 결제되는 금융사고가 발생했다. 피해자는 8명이다.
토스는 “고객 정보는 유출되지 않았다”고 해명하면서 이번 사건은 도난 당한 개인정보를 제3자가 이용한 부정 결제라고 설명했다.
또 전액 환급 및 계정보호를 위한 차단 조치를 마쳤다고 밝혔다.
9일 토스 운영사 비바리퍼블리카에 따르면 지난 3일 토스 애플리케이션(앱)에서 이용자 8명이 “자기도 모르는 사이 온라인 결제가 됐다“며 회사 측에 신고했다.
피해 금액은 총 938만원이며, 환금성(현금화)이 높은 게임업체 등 온라인 가맹점 3곳에서 돈이 빠져나갔다.
토스 측은 신고 접수 후 이를 개인정보 무단 도용 건으로 확인하고 즉각 조치에 나섰다. 의심되는 IP로 접속된 계정은 보호 차원에서 차단하고, 추가 피해자들에게도 사건에 대해 통지했다.
토스 측은 “의심되는 IP로 접속된 계정을 차단했고 부정결제 건 938만원 모두를 환급 조치했다"면서 ”이 사건은 토스앱 자체 해킹이 아닌 제3자가 도용된 개인정보를 활용해 저지른 부정 결제“라고 설명했다.
이어 "결제 과정 토스 측에서 유출된 고객 정보는 없었다"면서 "사용된 고객의 정보는 사용자 이름과 전화번호, 생년월일, 비밀번호인데 비밀번호의 경우 토스 서버에 저장되지 않기 때문에 유출이 불가능하다"고 말했다.
피해 고객들의 개인정보나 비밀번호가 토스가 아닌 다른 경로로 유출됐고, 제3자가 이를 토스 웹 결제에 도용했다는 의미다.
이번 사고는 일부 가맹점에 적용된 웹 결제 시스템을 통해 이뤄졌다. 웹 결제는 이름과 생년월일, 토스 비밀번호만 입력하면 빠르게 결제가 가능한 방식이다. 문제가 된 웹 결제 방식을 사용하는 가맹점은 전체의 5% 정도로 알려졌다.
이에 토스는 우선 부정결제가 발생한 가맹점 3곳을 기존 웹 결제 방식에서 기기 점유 인증이 필요한 앱 결제로 전환했다. 보안을 한층 더 강화한 결제 방식 도입도 검토 중이다.
피해자들은 보상과는 별개로 이번 사건을 경찰에 신고했다. 현재 서울 노원경찰서에서 이 사건을 수사 중이다.
토스는 “경찰 등 수사기관에 신고하고자 하는 고객분들께 거래 명세서 등 증빙 서류를 발급해 드리고 관련 안내를 드렸다”면서 “회사 차원에서도 추후 수사기관 요청 시 적극적으로 협조할 예정”이라고 밝혔다.
