비대면거래의 함정, 분실휴대폰 통해 내 계좌서 돈 빼가

설은주 기자 / 기사승인 : 2020-10-16 09:04:40
  • -
  • +
  • 인쇄
분실 휴대폰 비대면인증 허점 노출문제... '토스'통해 150만원 빼가

스마트폰서 송금 비밀번호 쉽게 변경…은행·타 간편송금은 추가인증 필요

토스 "휴대전화 본인 점유 인증 아래 정상 진행된 것…피해액은 전액 보상"

▲출처=토스

 

간편결제가 다 좋은 것만은 아니다. 이를 통해 계좌 접근도 가능해지기 때문에 휴대폰 분실로 큰 손해를 입을 수도 있다.

 

잠금이 풀린 분실 스마트폰에서 모바일 금융 서비스 '토스'를 이용해 은행 계좌의 돈을 빼간 사건이 발생했다.

 

16일 핀테크 업계에 따르면 직장인 조모 씨는 얼마 전 휴대전화를 잃어버렸다가 되찾았다.

 

초기화된 상태긴 해도 휴대전화를 찾았다는 안도는 잠시뿐, 분실 직후 자신의 계좌에서 150만원이 빠져나간 사실을 알게 됐다. '토스'에 등록한 시중 은행 계좌에서 다른 곳으로 송금된 것이다.

 

휴대전화를 손에 넣은 누군가가 토스의 비밀번호를 바꾼 다음 간편송금 서비스를 이용해 돈을 빼간 것이다.

 

토스의 비밀번호를 변경하려면 고객 명의의 시중은행 계좌로 토스가 1원을 송금하면서 입금자 이름으로 3자리 난수(亂數)를 보내는 본인 인증 과정을 거친다.

 

그런데 휴대전화를 잠금이 풀린 상태로 잃어버렸더니 그 난수도 은행의 입출금 알림 메시지를 통해 그대로 드러났다.

 

조씨의 문의 전화를 받은 토스 상담원은 이런 절차로 비밀번호 변경이 쉽다는 문제점은 인정하면서도 회사 측이 책임을 질 부분은 없다고 했다고 한다. 그러나 토스는 이후 내부 검토를 거쳐 피해 금액을 전액 보상하기로 했다.

 

그러나 문제가 된 비밀번호 변경 절차의 취약점을 보완할 계획에 대해선 말을 아꼈다.

 

토스 관계자는 "본인이 휴대전화를 점유하고 있다는 인증 아래 정상적으로 프로세스가 진행된 것"이라면서 "이번 사건은 휴대전화와 앱이 잠기지 않은 매우 드문 경우"라고 말했다.

 

토스의 보안 문제 허점 분명하게 드러난 사건

 

토스는 간편결제의 대명사처럼 떠오르며 소액 간편 결제 시스템으로 인기를 모아 왔으나 계속되는 보안상 허점으로 오명을 쓰게 됐다.

 

잠금이 풀린 휴대전화를 잠깐 잃어버리는 것만으로 비밀번호 변경에서 송금까지 일사천리로 이뤄질 수 있다는 점에서 토스의 보안상 허점이 또다시 도마 위에 오를 것으로 보인다.

 

토스에서는 올해 6월 총 938만원 규모의 부정 결제가 발생한 바 있다. 5자리 결제번호(PIN)와 생년월일, 이름이 있으면 결제가 되는 '웹 결제' 방식의 보안 허점이 드러났다.

 

이 사건으로 금융당국이 토스와 카카오페이, 네이버페이 등 비대면 금융서비스 전반에 대한 점검에 나서기도 했다. 토스는 2015년 전자금융업자 등록 이후 올해 3분기에 들어서야 첫 금감원 검사를 받았다.

 

금감원에 따르면 최근 5년간 전자금융사업자의 부정결제 사고 발생 건수는 총 88, 피해 금액은 2억원을 넘었다. 

 

지난 6월에는 토스 간편결제 서비스를 이용해오던 일부 고객의 개인정보가 도용돼 총 938만원의 금액이 몰래 결제되는 사건이 발생하기도 했다. 

 

시중은행 앱은 비대면으로 비밀번호를 재설정하려면 생체인증 또는 공인인증서 로그인과 신분증 촬영 등 추가 절차를 요구한다.

 

토스와 비슷한 간편송금 기능을 갖춘 카카오페이도 비밀번호를 바꾸려면 로그인 후 이름·생년월일 또는 카카오톡 닉네임 등이 필요한 인증 과정을 거쳐야 한다.

 

보안 전문가들은 이런 사례들을 통해 토스가 보안 문제의 허점을 어떻게 보완할 지는 아직 밝혀진 것이 없지만, 휴대전화와 앱이 동시에 풀려있는 경우가 흔하고 보편적인 사례가 아니라는 점에서 대수롭지 않게 여기다가는 큰 코를 다칠 수가 있다는 사실을 업계가 인지해야 할 것이라고 말하고 있다.

 

[저작권자ⓒ 데일리 이코노미. 무단전재-재배포 금지]