"휴대전화 잃어버렸는데…'토스' 통해 150만원이 빠져나갔다"
잠금 풀린 스마트폰으로 송금 비밀번호 쉽게 변경…간편결제·송금 보안 또 허점
(서울=연합뉴스) 홍지인 기자 = 직장인 조모 씨는 얼마 전 휴대전화를 잃어버렸다가 되찾았다.
초기화된 상태긴 해도 휴대전화를 찾았다는 안도는 잠시뿐, 분실 직후 자신의 계좌에서 150만원이 빠져나간 사실을 알게 됐다.
모바일 금융 서비스 '토스'에 등록한 시중 은행 계좌에서 다른 곳으로 송금된 것이다.
휴대전화를 손에 넣은 누군가가 토스의 비밀번호를 바꾼 다음 간편송금 서비스를 이용해 돈을 빼간 것이다.
토스의 비밀번호를 변경하려면 고객 명의의 시중은행 계좌로 토스가 1원을 송금하면서 입금자 이름으로 3자리 난수(亂數)를 보내는 본인 인증 과정을 거친다.
그런데 휴대전화를 잠금이 풀린 상태로 잃어버렸더니 그 난수도 은행의 입출금 알림 메시지를 통해 고스란히 드러나게 된 것이다.
토스 측 상담원은 이런 방법으로 비밀번호 변경이 쉽다는 걸 알고 있고 문제 인식도 있었지만, 책임을 질 수 있는 부분은 없다고 선을 그었다고 한다.
조씨는 15일 연합뉴스에 "범죄에 악용될 수 있는 부분인데 토스 측의 '나 몰라라'하는 대응을 이해할 수 없다"고 말했다.
이에 대해 토스 관계자는 "본인이 휴대전화를 점유하고 있다는 인증 아래 정상적으로 프로세스가 진행된 것"이라면서 "휴대전화와 앱이 잠기지 않은 매우 드문 경우지만, 고객 구제를 우선시하겠다는 기조에 따라 보상을 결정했다"고 말했다.
그러나 잠금이 풀린 휴대전화를 잠깐 잃어버리는 것만으로 비밀번호 변경에서 송금까지 일사천리로 이뤄질 수 있다는 점에서 최근 급성장하는 간편결제·송금 서비스의 취약한 보안이 또다시 도마 위에 오를 것으로 보인다.
토스에서는 올해 6월 총 938만원 규모의 부정 결제가 발생한 바 있다. 5자리 결제번호(PIN)와 생년월일, 이름이 있으면 결제가 되는 '웹 결제' 방식의 보안 허점이 드러났다.
이 사건으로 금융당국이 토스와 카카오페이, 네이버페이 등 비대면 금융서비스 전반에 대한 점검에 나서기도 했다. 토스는 2015년 전자금융업자 등록 이후 이때까지 금융감독원 검사를 한 번도 받지 않은 것으로 알려졌다.
금감원에 따르면 최근 5년간 전자금융사업자의 부정결제 사고 발생 건수는 총 88건, 피해 금액은 2억원을 넘었다.
ljungberg@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>