비밀번호와 생년월일 등 입력하는 웹 결제 통해 부정 결제 발생

[보안뉴스 원병철 기자] 간편송금 서비스로 잘 알려진 토스(toss)가 사용자 모르게 결제된 이른바 ‘부정 결제 사건’에 휘말렸다. 토스는 “토스 해킹으로 정보가 유출된 것이 아니라, 이미 유출된 개인정보를 활용한 부정 결제 사건”이라고 해명했지만, 회원들은 불안해하며 탈퇴방법을 묻는 등 후폭풍이 거센 분위기다.


▲부정 결제 사건을 공지한 토스[자료=온라인 커뮤니티]

토스 부정 결제 사건이 발생한 것은 지난 6월 3일 수요일, 총3곳의 온라인 가맹점에서 총 8명의 고객 명의로 ‘웹 결제’를 이용한 부정 결제가 발생했다. 웹 결제는 5자리의 결제번호(PIN)와 생년월일, 이름만 있으면 결제된다. 토스는 이에 대해 제3자가 사용자의 인적사항 및 비밀번호 등을 이용해 웹 결제를 이용한 부정결제로 파악했다고 밝혔다. 이는 일부 사용자가 타사 서비스를 통해 이미 부정 결제 피해를 입은 것으로 확인됐기 때문에, 이번 토스 사건 역시 도용된 개인정보가 활용된 것으로 판단된다는 것이다.

이에 토스는 문제가 발생한 사용자의 계정을 즉시 차단하고, 의심되는 IP로 접속된 계정을 미리 탐지해 차단해 확산을 막았다고 밝혔다. 또한 사후탐지 룰 등을 보완했다고 설명했다. 해당 온라인 가맹점에서 추가 4명에 대한 부정 결제건을 확인해 고객에게 선제적으로 통지하고, 고객 8명에 대한 부정 결제건 938만원 전액을 환급 조치했다.

아울러 토스는 웹 결제 방식은 실물 거래 기반 가맹점 등 일부 가맹점에 적용됐던 방식으로, 이번 사건을 계기로 전체 가맹점을 대상으로 고환금성 거래 여부 등을 면밀히 검토해 방식 변경이 필요한 경우 가맹점과 협의를 거쳐 적용할 예정이라고 밝혔다.


▲토스에 대해 갑론을박중인 온라인 커뮤니티[자료=온라인 커뮤니티]

현재 토스는 경찰 등 수사기관에 신고하고자 하는 고객들에게 거래 명세서 등 증빙 서류를 발급하고 안내했으며, 회사 차원에서도 추후 수사기관 요청 시 적극 적으로 협조할 예정이라고 설명했다.

이와 같은 조치에도 불구하고 일부 사용자들은 온라인 커뮤니티를 통해 토스 회원 탈퇴 방법 및 탈퇴 글을 올리고 있다. 물론 이번 사건의 경우 토스가 대처할 수 있는 상황이 아니며, 비밀번호를 제대로 관리하지 못한 사용자의 책임이라는 의견도 있었다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>