"분실 휴대폰서 '토스'통해 150만원 빼가"…비대면인증 허점노출(종합)

입력 2020-10-15 15:06
"분실 휴대폰서 '토스'통해 150만원 빼가"…비대면인증 허점노출(종합)

잠금 풀린 스마트폰서 송금 비밀번호 쉽게 변경…은행·타 간편송금은 추가인증 필요

토스 "휴대전화 본인 점유 인증 아래 정상 진행된 것…피해액은 전액 보상"



(서울=연합뉴스) 홍지인 기자 = 잠금이 풀린 분실 스마트폰에서 모바일 금융 서비스 '토스'를 이용해 은행 계좌의 돈을 빼간 사건이 발생했다.

15일 핀테크 업계에 따르면 직장인 조모 씨는 얼마 전 휴대전화를 잃어버렸다가 되찾았다.

초기화된 상태긴 해도 휴대전화를 찾았다는 안도는 잠시뿐, 분실 직후 자신의 계좌에서 150만원이 빠져나간 사실을 알게 됐다.

'토스'에 등록한 시중 은행 계좌에서 다른 곳으로 송금된 것이다.

휴대전화를 손에 넣은 누군가가 토스의 비밀번호를 바꾼 다음 간편송금 서비스를 이용해 돈을 빼간 것이다.

토스의 비밀번호를 변경하려면 고객 명의의 시중은행 계좌로 토스가 1원을 송금하면서 입금자 이름으로 3자리 난수(亂數)를 보내는 본인 인증 과정을 거친다.

그런데 휴대전화를 잠금이 풀린 상태로 잃어버렸더니 그 난수도 은행의 입출금 알림 메시지를 통해 그대로 드러났다.

조씨의 문의 전화를 받은 토스 상담원은 이런 절차로 비밀번호 변경이 쉽다는 문제점은 인정하면서도 회사 측이 책임을 질 부분은 없다고 했다고 한다.

조씨는 연합뉴스에 "범죄에 악용될 수 있는 부분인데 토스 측의 '나 몰라라'하는 대응을 이해할 수 없다"고 말했다.

토스는 이후 내부 검토를 거쳐 피해 금액을 전액 보상하기로 했다.

그러나 문제가 된 비밀번호 변경 절차의 취약점을 보완할 계획에 대해선 말을 아꼈다.



토스 관계자는 "본인이 휴대전화를 점유하고 있다는 인증 아래 정상적으로 프로세스가 진행된 것"이라면서 "이번 사건은 휴대전화와 앱이 잠기지 않은 매우 드문 경우"라고 말했다.

잠금이 풀린 휴대전화를 잠깐 잃어버리는 것만으로 비밀번호 변경에서 송금까지 일사천리로 이뤄질 수 있다는 점에서 토스의 보안상 허점이 또다시 도마 위에 오를 것으로 보인다.

시중은행 앱은 비대면으로 비밀번호를 재설정하려면 생체인증 또는 공인인증서 로그인과 신분증 촬영 등 추가 절차를 요구한다.

토스와 비슷한 간편송금 기능을 갖춘 카카오페이도 비밀번호를 바꾸려면 로그인 후 이름·생년월일 또는 카카오톡 닉네임 등이 필요한 인증 과정을 거쳐야 한다.

토스에서는 올해 6월 총 938만원 규모의 부정 결제가 발생한 바 있다. 5자리 결제번호(PIN)와 생년월일, 이름이 있으면 결제가 되는 '웹 결제' 방식의 보안 허점이 드러났다.

이 사건으로 금융당국이 토스와 카카오페이, 네이버페이 등 비대면 금융서비스 전반에 대한 점검에 나서기도 했다. 토스는 2015년 전자금융업자 등록 이후 올해 3분기에 들어서야 첫 금감원 검사를 받았다.

금감원에 따르면 최근 5년간 전자금융사업자의 부정결제 사고 발생 건수는 총 88건, 피해 금액은 2억원을 넘었다.

ljungberg@yna.co.kr

(끝)

<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>