[토스사태, 진실은①]"나도 모르게 결제"…해킹보단 '명의도용 사기' 무게

보안전문가들 "간편결제 특성상 '명의도용' 잦아"
사전 유출정보와 비밀번호 조합한 '사전대입공격' 방식

(서울=뉴스1) 강은성 기자, 송화연 기자 | 2020-06-10 12:10 송고 | 2020-06-10 16:28 최종수정

(토스 제공) © 뉴스1

1700만명이 가입한 모바일 금융 서비스 ‘토스’에서 이용자 몰래 결제가 이뤄진 사고가 발생해 논란이다.

이용은 간편하면서도 보안은 여타 금융 플랫폼과 다를 바 없이 안전하다는 신뢰 속에 급성장한 간편결제 플랫폼에서 명의도용을 통한 금전 사고가 발생해 충격이 더하다. 특히 이용자가 모르는 새 금액이 결제돼 앞으로도 비슷한 상황이 발생할 경우 속수무책으로 당할 수 있다는 불안감이 이용자들 사이에 확산하고 있다.

이에 대해 보안 전문가들은 "해킹 사고로 보기엔 무리가 있고 명의도용 '사기사건'으로 추정된다"면서 "간편결제의 특성을 감안할 때 발생할 수 있는 부분으로 업체 측의 손해보전 정책만 견고하게 마련된다면 과도한 불안감을 갖지 않아도 된다"고 조언했다.

10일 토스에 따르면 지난 3일 게임사 등 온라인 가맹점 세 곳에서 총 8명의 가입자 명의가 도용돼 부정결제가 이뤄졌다. 게임 아이템은 온라인 거래 시장이 형성돼 있어 환금성이 높다.

토스 측은 이날 "해당 이용자들의 신상정보와 비밀번호를 제3자가 도용해 부정결제가 발생했다"면서 "토스는 고객의 비밀번호를 서버에 저장하지 않고 있으며 유출된 정보는 없는 것으로 확인됐다"고 밝혔다.

토스는 피해 금액을 해당자들에게 전액 환불했고 금융감독원은 이날 사고원인 조사에 착수했다.

일각에서는 토스가 해커에게 뚫렸다면서 '시스템 해킹' 가능성을 제기했다. 결제를 하려면 토스 아이디와 비밀번호, 로그인 이후 결제 시점에 입력해야 하는 이름과 생년월일, 전화번호, 5자리 핀 번호까지 모두 알아야 하기 때문이다.

다른 정보들은 이미 반복적으로 유출된 개인정보를 암거래로 입수한 후 악용한다 치더라도 단방향 암호화가 돼 있는 '비밀번호'를 넣어 부정결제를 했다는 점에서 해킹 가능성이 제기된 것이다.

이에 대해 보안 전문가들은 해킹으로 비밀번호를 알아내는 것은 매우 복잡하고 어려운 과정을 거치기 때문에 가능성이 낮다고 지적했다.

한 보안업계 관계자는 "비밀번호를 빼 내려면 이용자의 PC나 스마트폰에 악성코드나 스미싱(휴대폰 문자사기)을 보내 이용자를 낚아 악성 프로그램을 설치하고, 이후 이용자가 비밀번호를 입력하는 때를 노려 이를 평문(텍스트)로 탈취해야 가능한 일"이라면서 "자세한 내용은 당국의 조사 결과가 나와 봐야 알겠지만 현재까지 내용으로 보면 해커가 이정도의 노력을 들여 이용자 비밀번호를 탈취하거나 시스템을 해킹하고 8명 정보를 938만원 가량 부정결제에 사용한 것은 일반적인 해커의 패턴이 아니다"라고 설명했다.

완전무결한 보안기술이란 없고 집요한 공격을 감행하면 결국 뚫리는 것이 보안시스템이지만 이번 토스 사태와 관련해선 해킹으로 볼 수 있는 정황이 극히 낮다는 것이다. 특히 피해자 규모가 한 자릿수인 만큼 회사 시스템이 뚫렸다기보다는 다른 플랫폼을 통해 기존 유출된 이용자의 개인정보가 이번 공격에 쓰였다는 것.

따라서 전문가들은 기존에 유출된 개인정보와 난수프로그램 등을 통한 비밀번호 '조합'을 통해 발생하는 '명의도용 사기'로 보고 있다. 이 공격방식은 '사전대입공격'이라고도 불린다.

사전대입공격은 공격자가 사전에 확보한 아이디와 비밀번호를 해킹 프로그램에 적용해 하나씩 대입시켜 접속을 시도하는 것을 말한다. A라는 플랫폼에서 확보한 이름과 이메일 주소, 휴대전화번호 등을 프로그램에 집어넣고 인공지능(AI) 등을 통해 경우의 수를 줄여 무작위로 아이디와 비밀번호를 추출하는 것이다.

일례로 지난 2017년 6월 암호화폐 거래사이트 B사는 200만건에 달하는 사전대입공격을 당해 4981여개의 이용자 계정을 유출 당했다. 이 중 266개 계정에서 암호화폐가 출금되는 피해가 발생했다.

당시 공격자는 B사 서버를 직접 뚫어낸 것이 아니라 기존에 유통된 이용자들의 개인정보를 바탕으로 사전대입공격이 이뤄져 B사와 이용자는 피해를 인지하기까지 더 많은 시간이 걸렸다는 것이 업계 관계자들의 설명이다.

보안 관계자는 "모바일 시대에 접어들면서 기존에 유출된 개인정보만 수억 건에 달하는 데다 해외 다크웹 등을 통해 거래되고 있는 국내 이용자의 신상정보도 적지 않아 언제든 명의도용 위협에 노출된 것이 현실"이라며 "최근 사기수법이 보다 교묘해지면서 간단한 개인정보를 갖고도 비밀번호 등을 유추해내는 프로그램이 다량 유통되고 있다"고 설명했다.

이와 관련 김승주 고려대 정보보호대학원 교수는 "얼마 전 삼성 클라우드의 아이디와 비밀번호가 도용돼 유명 연예인의 사생활이 온라인에 유포되는 등 곤욕을 치렀는데, 이런 경우 삼성클라우드가 '해킹당했다'고 하지 않고 명의도용을 당했다고 한다"면서 "토스가 만약 보안정책을 허술하게 했다면 비판받아 마땅하지만 이 회사의 보안 정책에 특이점을 찾기 어렵고 이상거래탐지시스템(FDS)을 운영하는 등 안전 거래를 위한 노력을 했다고 본다"고 말했다.

김 교수는 이어 "명의도용 사고는 글로벌 최대 간편결제 플랫폼 페이팔에서도 종종 발생하고 있는데 앞으로도 이같은 사고가 빈발할 수 있는 만큼 사고 예방에 최선을 다하되, 사고 발생시 이용자들의 피해를 최소화 할 수 있도록 회사가 책임있는 정책을 마련하는 것이 가장 중요하다"고 강조했다.

esther@news1.kr