© News1 DB

1700만명이 가입한 모바일 금융 서비스 ‘토스’에서 8명의 이용자 몰래 총 938만원의 결제가 이뤄진 사고가 발생해 논란이다. 

토스는 자사 이용자 정보 유출이 아닌 제3자가 이용자의 인적사항과 비밀번호 등을 이용해 웹 결제를 이용한 것이라는 입장이다.그러나 네이버(네이버페이)와 카카오(카카오페이), NHN(페이코), 쿠팡(쿠팡페이) 등 국내 주요 포털·전자상거래(이커머스) 업체들이 내놓은 간편결제 이용자가 적지 않은 상황에서 또 다시 '나도 모르게' 결제가 반복돼 더 큰 피해가 발생하면 어쩌나 하는 불안감이 크다. 

이에 대해 간편결제 서비스를 제공하는 국내 주요 포털사는 "우수 인력과 사업 노하우를 바탕으로 365일 24시간 실시간 공격 모니터링을 하고 있고, 자사 서비스는 안전하다"고 강조했다. 

네이버페이 관계자는 "네이버는 오랜 업력과 고도화된 시스템을 기반으로 모든 서비스가 해킹당한 적이 없었다"며 자신감을 내비쳤다.카카오페이 측은 "카카오페이는 △개인정보 암호화 △개인정보 접근 통제 권한 관리 △개인정보 생명주기 관리 등 3가지 영역의 개인정보 관리 정책을 갖추고 있다"며 "자사는 지난 2015년 빅데이터 기반의 FDS를 구축했고, 룰 기반에 머신러닝·딥러닝을 결합하는 등 지속적으로 고도화해 실시간 이상거래를 탐지하고 있다"고 강조했다.

NHN페이코 측은 "페이코는 부정 결제 방지 등 보안을 위해 FDS 운영정책에 따라 페이코 로그인부터 결제 이후까지 모니터링 및 관리를 강화하고 있으며, 통합보안관제센터 마련, 내부 보안전문 인력을 배치해 24시간 365일 내내 실시간으로 공격 모니터링을 하면서 최신 사이버 보안 공격 시도에 대해 분석하는 등 해킹에 대비한 보안 시스템을 철저히 마련했다"고 말했다.

서울 강남구 토스 사옥의 모습. 2019.12.16/뉴스1 © News1 이동해 기자

아울러 보안업계는 기업의 보안관리 의식 함양만큼이나 이용자의 보안에 대한 관심이 필요하다고 입을 모은다. 특히 이번 토스 명의도용 건의 경우, 피해자가 한 자릿수 인만큼 회사 시스템이 뚫렸다기보다는 공격자가 개인 스마트폰을 공격했을 가능성이 크다.

국내 보안사 이스트시큐리티 측은 "공격자는 스마트폰에서 정보를 탈취하기 위해 악성코드가 될 수 있는 숙주 파일을 심어야 하는데 주로 알수없는 링크(URL)를 통한 사례가 많다"며 "스마트 이용자는 스미싱 문자 등 알 수 없는 출처에 대한 링크를 클릭하는 것을 지양해야 한다"고 강조했다.

그러면서 "안드로이드 이용자의 경우 정식 앱 마켓이 아닌 블로그 등을 통한 설치(apk)파일을 내려받으면 안 되며 이때 '알 수 없는 출처허용'을 절대 허용해서는 안 된다"며 "믿을 수 있는 스마트폰 백신을 선택해서 이용하는 것도 개인의 정보보호를 위한 좋은 대응방안"이라고 덧붙였다.

한편 토스 측은 "총 8명의 이용자가 입은 피해금액에 대한 환불조치를 완료했고, 부정 결제가 발생한 가맹점에서 웹 결제 시 PIN 인증에 그치지 않고 해당 고객의 휴대폰 인증과정까지 거치도록 시스템을 변경했다"며 "경찰청 사이버수사대 및 유관기관과 협력해 도용자를 검거하는데 협조하겠다"고 밝혔다.

아이지에이웍스의 빅데이터 분석 플랫폼 '모바일인덱스'에 따르면 지난 5월 송금·결제 모바일 애플리케이션(앱) 순위에서 토스는 삼성페이(1354만3427명)에 이어 가장 많은(831만8939명) 이용자(안드로이드 기기 기준)를 보유하고 있다.


hwayeon@news1.kr