[서울이코노미뉴스 김가영 기자] 잠금이 풀린 분실 스마트폰에서 모바일 금융 서비스 `토스`를 이용해 은행 계좌의 돈을 빼간 사건이 발생했다.
15일 핀테크 업계에 따르면 직장인 조 모씨는 얼마 전 휴대전화를 잃어버렸다가 되찾은 후 계좌에서 150만원이 빠져나갔다는 사실을 알게 됐다.
간편 송금 앱 ‘토스’에 등록된 시중 은행 계좌에서 돈이 다른 곳으로 송금된 것이었다.
휴대전화를 손에 넣은 누군가가 토스 비밀번호를 바꾸고 간편 송금 서비스를 이용해 돈을 빼간 것이다.
토스의 비밀번호를 변경하기 위해서는 고객 명의의 시중은행 계좌로 토스가 무작위인 3자리 숫자의 입금자명으로 1원을 송금하고 그 숫자를 입력하는 본인인증 과정이 필요하다.
그런데 조씨는 휴대전화를 잠금이 풀린 상태로 잃어버렸고, 본인인증을 위한 3자리 숫자도 은행의 입출금 알림 메시지를 통해 그대로 드러났다.
토스 측은 처음에는 비밀번호 변경이 쉽다는 문제점은 인정했지만, 회사 측이 책임을 질 부분은 없다는 태도를 보였다.
토스는 이후 "고객 본인이 휴대전화를 점유하고 있다는 인증 아래 정상적으로 프로세스가 진행된 것"이라며 "휴대전화와 앱이 잠기지 않은 매우 드문 경우라 발생한 피해지만, 고객 구제를 우선시하는 기조에 따라 보상을 결정했다"고 말했다.
다만 비밀번호 변경 절차의 취약점을 보완할 계획에 대해선 언급을 피했다.
그러나 잠금이 풀린 휴대전화를 분실한 것만으로 비밀번호 변경에서 송금까지 가능하다는 것이 확인된 셈이라 토스의 취약한 보안 문제가 여실히 드러났다는 지적을 받고 있다.
시중은행 앱의 경우 비대면으로 비밀번호를 재설정하려면 생체인증 또는 공인인증서 로그인과 주민등록증 등 신분증을 촬영해 인식시키는 추가 절차가 필요하다.
토스와 비슷한 간편 송금 기능을 갖춘 카카오페이도 비밀번호를 바꾸려면 로그인 후에 이름과 생년월일 또는 카카오톡 닉네임을 입력하는 추가 인증 과정을 거쳐야 한다.
토스에서는 이미 올해 6월에 총 938만원 규모의 부정 결제가 발생해 보안 허점이 드러난 바 있다.
이 사건으로 금융당국이 토스와 카카오페이, 네이버페이 등 비대면 금융서비스 전반에 대한 점검에 나서기도 했다. 토스는 2015년 전자금융업자 등록 이후 올해 3분기에 들어서야 첫 금감원 검사를 받았다.
금감원에 따르면 최근 5년간 전자금융사업자의 부정결제 사고 발생 건수는 총 88건, 피해 금액은 2억원을 넘었다.
