JTBC가 8일 보도한 간편 송금 서비스 ‘토스’에서 사용자 동의 없는 송금,결제가 이뤄진 사건과 관련해 토스 이용자들의 불안감이 높아지고 있다.
토스제공업체인 비바퍼블리카(대표 이승건)는 사고발생 후 즉시 자사 홈페이지는 물론 페이스북 등 SNS를 통해 ‘JTBC보도된 내용은 토스를 통한 정보유출이 아닌, 제 3자가 사용자 인적사항 및 비밀번호 등을 이용한 부정결제임을 알려드립니다’라는 공지안내문을 통해 외부 해킹에 의한 정보유출이 아니라는 점을 공식 밝혔다.
토스 측은 상당수 사용자가 보도 이후 탈퇴를 신청하자 공지안내문을 통해 ‘정보유출이 아닌 만큼 사용자분들께서는 안심하고 사용해 주시기를 부탁드립니다’라는 공지안내문을 팝업창 형태로 띄워 가입자 탈퇴 방지에 안간힘을 쓰고 있다.
하지만 이번 사건의 경우 결제에 필요한 이용자 개인정보를 제 3자가 도용, 개인정보 유출이 아닌 명의도용 부정결제라는 비바리퍼블리카 측의 주장에도 불구하고 결제 시 토스 비밀번호를 입력해야 하는 점 때문에 토스서비스의 보안에 문제가 있는 것 아니냐며 불안감이 높아지고 있다.
실제 이번 8명 피해사례의 경우 개인정보를 도용한 제 3자가 토스 비밀번호를 입력 후 결제가 이뤄진 것으로 밝혀져 토스가 제공하는 비밀번호를 제 3자가 어떻게 습득했느 냐가 ‘해킹’인지 , 아님 ‘부정결제’인지를 판가름할 핵심 사안으로 떠오르고 있다.
이에 대해 비바리퍼블리카 측은 “결제 시 고객 개인정보입력도 해야 하지만 토스에서 제공하는 비밀번호를 입력해야 결제가 이뤄진다”면서 “토스 비밀번호는 서버에 저장하지 않기 때문에 외부유출 가능성 자체가 없다”고 공식적으로 정보유출 가능성을 일축했다.
하지만 비바리퍼블리카 측의 주장과는 달리 토스 내부 서버에 저장돼 있지 않은 비밀번호가 어떻게 외부에 유출될 수 있는지에 대해서 여전히 논란이 일고 있다. 토스 비밀번호의 경우 숫자 4개와 영문자 1개 등 총 5개로 이뤄지며 이용자가 최초 개설 시 설정하게 된다.
문제는 이용자가 토스 비밀번호를 자신의 스마트폰에 저장해놓는 경우와 그렇지 않은 경우로 나뉘는 점을 감안해볼 때 이번 사건의 경우 스마트폰 자체가 해킹당했을 가능성 외에 랜덤한 비밀번호 5자리의 보안성이 취약해 발생했을 수도 있다는 게 보안전문가의 분석이다.
이를테면 스마트폰에 비밀번호를 저장해놨다 해킹당했거나, 자신의 생년월일 4자리 뒤에 로마자 알파벳 한자리를 경우 등이 보안취약성 사례에 해당할 수 있다는 분석이다. 토스 측은 이에 대해 “현재로서는 어떤 경로로 유출됐는지 공식적으로 확인하기 힘들다”면서 “경찰 수사결과가 나오는 대로 이에 대한 회사 입장을 밝힐 계획”이라고 말했다.
실제 스마트폰 자체를 해킹, 개인정보 입력은 물론 토스 비밀번호까지 취득해 토스를 이용해 돈을 빼낸 것으로 드러날 경우 앞으로 스마트폰 해킹을 통한 추가 피해 가능성도 배제하기 힘들 것으로 우려된다. 이에 대해 토스 측은 “결제 시도 건수 중에 비밀번호를 잘못 입력해 실패한 정황도 드러났다”면서 “정보유출에 의한 해킹이 아니라는 사실은 확인된 상태”라고 사태 진화에 안간힘을 쓰고 있다.
JTBC 보도이후 토스 탈퇴가 쇄도하고 있다는 일부 보도와 관련, 토스 측은 이날 “일부 영향을 받아 탈퇴가 있긴 하지만, 일부 보도처럼 ‘탈퇴 쇄도’는 사실이 아니다”라고 덧붙였다. 하지만 토스 이용자들은 고객 동의 없이 수백만 원씩 결제가 이뤄진 사건이 8건이나 드러남에 따라 상당한 불안감을 보이며, 일부 이용자는 탈퇴하거나, 잔액을 타행 계좌로 옮기는 등 9일 하루 종일 각종 커뮤니티에는 불안감을 토로하는 글이 대거 등장하고 있다.
보안 전문가는 “토스가 아무리 정보유출이 아니라고 해명해도 고객들 불안감은 클 수밖에 없다”면서 “디지털 범죄자들이 개인정보를 훔쳐 결제할 경우, 어떤 형태로든 토스 측에서 추가 보안대책을 마련해 이같은 일이 재발해선 안 될 것”이라고 밝혔다.
보안업계 관계자는 “제 3자 해킹으로 스마트폰 주인처럼 행세하는 상황이 발생한다면 언제든지 돈을 빼가는 일이 가능해진다”면서 “이통사와 함께 토스 등 핀테크 기업이 추가 2단계 보안대책을 세워야 할 것”이라고 지적했다.
비바퍼블리카가 이번 사태와 관련해 제 3자가 개인정보 및 토스 비밀번호까지 손에 넣을 경우 또다시 발생 가능한 부정 결제 가능성을 어떻게 차단할지 주목된다.
No comments so far.
Be first to leave comment below.