[인사이트코리아=이일호 기자] 1700만 고객을 가진 온라인 금융서비스 토스(비바리퍼블리카)에서 고객 돈이 무단으로 빠져나가는 사태가 발생했다. 가맹점 웹 결제를 통해 돈이 빠져나간 것인데, 피해액은 총 1000만원 상당이다.

초유의 사태에 토스는 "토스를 통한 고객 정보 유출은 없었다"고 강조했다. 하지만 고객 8명의 돈이 어떻게 비슷한 시점에 빠져나갔는지는 제대로 된 답을 내놓지 못하고 있다.

9일 <JTBC> 보도와 토스 해명에 따르면, 지난 6월 3일 총 3곳의 온라인 가맹점을 통해 토스 가입자 8명의 고객 명의를 도용해 부정 결제가 이뤄지는 사태가 발생했다.

돈이 결제된 곳은 한 인터넷 게임 업체로 총 피해액은 938만원이다. 평균 1명 당 120만원 상당의 돈이 본인 동의 없이 출금된 것이다. 피해 고객이 다수 발견되자 토스는 계정을 바로 차단하고 하루 만에 피해액을 모두 돌려줬다.

토스는 자사 서비스를 통해 정보가 유출된 것은 아니라고 강조한다. 토스는 “이번 부정결제는 해당 고객의 신상정보와 비밀번호를 제삼자가 도용한 건”이라며 “경찰청 사이버 수사대, 유관기관과 협력해 도용자를 파악하고 검거하는 데 적극 협조할 것”이라고 설명했다.

"비밀번호 유출 없다"는 토스, 동시다발적 돈 유출엔 '물음표'

문제는 개인 고객의 비밀번호를 포함한 사적 정보가 어떻게 도용됐는지 파악이 안 된다는 점이다.

토스에 따르면 부정 결제에 사용된 고객 정보는 사용자 이름과 전화번호, 생년월일, 비밀번호다. 이 가운데 비밀번호의 경우 토스 서버에 저장되지 않는다고 토스는 설명했다.

토스 고객이 입력한 비밀번호는 서버에 들어올 때 암호화 과정을 거친다. 들어온 값을 역으로 계산해 암호를 복원하는 건 사실상 불가능하다. 토스 관계자는 “토스 고객의 비밀번호는 단방향(고객→서버)으로 암호화돼 들어오며, 서버에는 해시값만 저장되기 때문에 유출 자체가 불가능한 구조”라고 강조했다.

하지만 이 같은 해명으로는 갑작스럽게, 그것도 한두 명이 아닌 여러 명의 고객 돈이 빠져나간 게 설명되지 않는다. 고객 스마트폰에 해킹 프로그램이 깔려있었을 가능성 정도를 추정해볼 수 있으나, 이 또한 추정일 뿐 확인된 것은 없다.

이번 고객 돈 유출은 웹(PC 인터넷) 결제로 이뤄진 것으로 보인다. 고객 스마트폰을 거치지 않은 방식인 만큼 보안에 한층 취약하다. 토스도 이를 인지해 최근 웹 결제 방식을 사용했던 가맹점에 앱 결제 방식을 추진하고 있는 것으로 알려졌다.

토스는 보도자료를 통해 “도용된 고객 정보라도 토스에서는 부정 결제가 이루어질 수 없도록 더욱 고도화된 이상 거래 감지와 대응 시스템을 만들겠다”며 “고객분들께 심려를 끼치게 되어 매우 안타깝다”라고 밝혔다.

한편 이번 사고 이후 일부 고객이 지난 8일 저녁부터 토스 연동을 해지하거나 토스 서비스를 탈퇴하고 있다. 온라인 상에선 토스 고객 돈 유출 기사가 떠도는가 하면 탈퇴 방법을 묻는 글이 올라오고 있다.

atom@insightkorea.co.kr