토스 부정결제 사건이 간편결제 보안 논란으로 확대되는 모양새다. 사건을 확대 해석하지 말자는 경계와 함께 편의성뿐만 아니라 보안성도 높여야 한다는 주장이 나온다.
간편결제 서비스가 인기를 끌면서 이 같은 사례는 언제든 재발할 소지가 다분하다.
한국은행이 지난 3월 발간한 '2019 지급결제보고서'에 따르면 전자금융업자가 제공하는 카드 기반 간편결제 규모는 2016년 하루 평균 255억원에서 지난해 1~9월 1656억원으로 급증했다. 간편송금 규모도 2016년 하루 평균 71억원에서 2019년 1~9월 2177억원으로 뛰었다.
토스와 같은 전자금융업자는 지난해 말 기준 132개로 전년 대비 30개 늘어났다. 국내 대표 전자금융 서비스로는 토스 외에 카카오페이, 네이버페이, NHN페이코가 거론된다.
◇토스·페이북서 연이은 부정결제 사고
지난 3일 토스 온라인 가맹점 세 곳에서 부정결제가 발생했다. 토스 이용자 8명 명의로 충전된 '토스 머니' 938만원이 이 가맹점으로 빠져나갔다. 토스 측은 사건 발생 다음날 피해자 전원에게 부정결제된 금액을 전부 환급했다.
공격자가 부정결제를 하는 데 사용한 정보는 토스 이용자 이름과 전화번호, 생년월일, 토스 비밀번호였다. 애플리케이션(앱) 결제 방식이 아닌 웹 결제 방식으로 이뤄졌다.
일각에서 '토스가 해킹 공격에 당한 것이 아니냐'는 우려가 제기됐다. 토스 보안을 총괄하는 신용석 비바리퍼블리카 최고정보보호책임자(CISO)는 이를 '악성 루머'라고 규정하고 “(이번 사건은) 도용에 의한 부정결제로 토스가 신속한 환급으로 피해 보상한 점을 봐 달라”고 강조했다.
페이북에서도 비슷한 사고가 발생했다. 청와대 국민청원 게시판에 피해를 호소한 A씨는 자신의 아버지가 1600만원 부정결제 피해를 입었지만 카드사로부터 '소비자 귀책'이라는 답변만 받았다고 주장했다. 페이북 시스템이 아이디와 패스워드로 로그인하면 가입자 카드번호 기입 없이 결제가 가능하다고 비판했다. 페이북은 비씨카드가 운영하는 간편결제 플랫폼으로 약 800만명이 이용한다.
한국은행이 지난해 전국 19세 이상 2650명을 대상으로 설문조사한 결과에 따르면 연령대가 높을수록 간편 비밀번호를 이용하는 비율이 급격하게 떨어졌다. 간편결제와 간편송금을 이용하지 않는 이유로는 신뢰 부족, 다른 서비스(공인인증서, 일회용비밀번호 등)로 대체 가능 순으로 나타났다.
◇카카오뱅크·NHN페이코 보안은
토스 보안 논란이 거세지자 카카오뱅크 등 다른 간편결제 서비스로도 불똥이 튀었다. 편한 만큼 보안에 취약하지 않겠느냐는 우려다. 이들 업체에선 토스보다 이상거래탐지시스템(FDS)이 고도화했다는 점을 차이로 들었다.
카카오페이는 카카오톡 운영 노하우를 바탕으로 보안을 강화했다. 2015년 자체 기술로 빅데이터 기반 FDS를 구축했다. 개인정보 보호를 위한 관리체계와 함께 지능화하는 위변조 시도를 차단한다. 기계학습과 딥러닝을 결합, FDS를 지속 고도화한다. 공격 패턴 방어, 이용자 행태 정보 프로파일링, 실시간 의심·이상 거래 탐지 등을 24시간 365일 수행한다. 의심거래로 포착되면 2차 인증을 요구하고 이상거래는 즉시 차단한다.
내부 보안 전담 인력도 체계화했다. 인프라 보안, 앱 보안, 관리 보안 영역으로 구성된다. 2018년 4월에는 '안심 프로젝트'를 시작, 최고경영자(CEO)부터 고객응대(CS) 부서까지 협력해 보안 정책과 프로세스를 발전시켰다. 대부분 국내 핀테크 업체가 일반 고객센터에서 보안 업무를 담당하는 것과 달리 분실·도용·분쟁 등 긴급 상황에 대비한 신고센터를 별도 운영한다. 도용 등 피해로 정지가 필요한 경우 24시간 신고 접수할 수 있고 수취인을 잘못 지정한 경우에도 착오송금중재 프로그램으로 지원받을 수 있다.
NHN페이코 역시 위험거래 데이터베이스(DB)를 바탕으로 FDS를 구축·운영한다. 부정거래 시도 시 선별해서 거래를 차단하고 위험거래로 파악되면 추가 인증을 요청한다. 예컨대 한국에 있던 아이디로 해외에서 결제가 시도된다거나 평소 게임을 잘 하지 않던 아이디인데 게임 사이트에서 결제가 시도되면 시스템에서 부정거래로 판단, 추가 인증을 요청하거나 거래를 차단한다.
◇현실적인 대안은 '피해 보상' 강화
전자금융 사고는 100% 차단하기 어렵기 때문에 사업자 책임 강화와 소비자 피해 보상 강화가 대안으로 제시된다.
김영기 금융보안원 원장은 “(부정결제 시) 도용은 해킹, 피싱, 악성코드 등 다양한 경로를 통해 이뤄질 수 있다”면서 “이는 소비자 잘못이라기보다 불가항력적으로 발생할 수 있는 여지가 있기 때문에 전자금융 사고 발생 시 사업자 책임 강화가 필요해 보인다”고 말했다. 이어 “(극소수 불가피한) 사고를 막기 위해 보안을 지나치게 강화하면 대부분 편의 거래가 침해될 소지가 있다”면서 “일부 소비자 피해가 없도록 안전장치를 강화하는 것이 맞다”고 했다.
보상 체계 마련도 필요하다고 강조했다. 김 원장은 “지금까지 부정결제 사고 시 소비자에게 입증 책임을 떠넘겼지만 이제 전자금융업자에게 입증 책임을 돌려야 한다”면서 “소비자가 신고하면 전자금융업자가 조사하고 소비자 과실을 입증하지 못하면 보상해주는 체계가 명확하게 만들어져야 한다”고 덧붙였다.
이 같은 사고를 막기 위한 국제 협력과 사이버대응체계도 있다. 국제기구 금융안정위원회(FSB)는 올해 공표를 목표로 사이버사고 대응방안을 마련하는 중이다. 이 대응방안에는 사이버사고 발생 전후 금융당국과 금융기관 대응·복구 노력을 지원하기 위한 방법이 포함될 예정이다. 국제증권감독기구(IOSCO) 회원국 다수는 금융권 규제 수립 시 사이버회복력지침, 정보보호경영관리체계 국제표준, 사이버보안 프레임워크를 바탕으로 핵심 기준을 채택한다.
오다인기자 ohdain@etnews.com