`토스`서 잇단 금융사고…핀테크 보안 도마에

비바리퍼블리카가 운영하는 금융 플랫폼 토스에서 고객 모르게 1000만원가량이 결제되는 사고가 발생하면서 핀테크 업체의 안전성이 도마에 올랐다. 지난 3일 온라인 가맹점 3곳에서 고객 8명 명의를 도용한 부정 결제가 발생한 것이다.
토스는 "개인정보 유출은 없었다"고 해명했지만 상대적으로 보안에 취약한 핀테크 업체에서 유사 사고 발생 우려도 높아지는 상황이다. 여기에 '핀테크 활성화'라는 청와대 정책에 맞춰 금융감독당국도 토스 등 전자금융업자의 보안 문제에 안이하게 대처한 것 아니냐는 지적도 나온다.
9일 금융권에 따르면 토스는 2015년 9월 전자금융업자로 등록한 이후 단 한 번도 금융감독원에서 검사를 받지 않은 것으로 확인됐다. 토스, 쿠팡, 우아한형제들(배달의민족)과 같은 전자금융업자도 금감원 관리·감독 대상에 포함된다. 종합검사와 부분검사를 통해 1~2년에 한 번씩 검사를 받는 은행 보험 카드사 등과 달리 1700만명의 고객을 거느린 토스는 '사각지대'에 놓여 있던 셈이다.
토스와 비슷한 시기(2015~2016년) 전자금융업자로 등록한 쿠팡과 우아한형제들은 지난해 금감원 검사를 받았다. 금감원은 당초 토스도 검사 대상에 포함했지만 인터넷전문은행 예비인가 일정 때문에 검사를 미룬 것으로 전해졌다.

금융계 관계자는 "금감원 내부에선 섣불리 검사를 나갔다가 인터넷은행 유력 후보인 토스가 예비인가를 신청하지 않을 수 있다는 우려가 있었던 것으로 안다"며 "올해는 코로나19로 대면 검사가 중단돼 검사가 어려웠던 것"이라고 말했다.
문제는 토스가 지난해 7월 서버 오류로 토스 앱 접속과 송금·결제 서비스가 중단돼 금감원에서 구두 경고를 받았다는 점이다. 통상 이러한 경고 조치 이후에 금감원은 현장실사를 통해 미비점 등을 점검해왔다.
사고 발생 이후 토스 대응도 논란이다. 금융사고가 발생하면 금감원에 보고해야 하지만 토스는 전날 언론 보도 전까지 금감원에 이를 알리지 않았다. 토스 측은 "내부 해킹으로 인한 정보 유출 건이 아니라 금감원에 보고하지 않았다"고 설명했다. 금융당국 관계자는 "강도가 은행 지점에서 단순히 돈을 빼내가면 금융사고가 아니라는 것과 똑같은 얘기"라고 지적했다.
토스 측은 해킹이 아니라고 하지만 고객 개인정보 유출이 어디서 발생했는지 정확히 알지 못하는 것도 문제다.
부정 결제에 사용된 고객 정보는 이름과 전화번호, 생년월일, 토스 비밀번호 다섯 자리다. 비밀번호는 서버에 저장되지 않아 유출이 불가능하다는 것이 토스 측 설명이다. 사고 원인을 찾기 위해 현재 경찰과 금감원이 조사를 진행하고 있다. 최근 토스 생체인증을 보이스피싱범이 악용해 200만원을 부정 결제한 사례도 있는 것으로 나타났다.
금융권에선 이번 사태를 계기로 핀테크 업체 보안과 비대면 인증의 안전성을 정비해야 한다고 입을 모은다. 이번에 문제가 된 토스 '웹결제' 방식은 간편하지만 단말기 인증이 필요 없어 보안성이 낮다.
게다가 부정거래탐지시스템(FDS)이 비교적 잘 갖춰져 있는 금융사와 달리 상당수 핀테크 스타트업은 시스템이 미비하다. 고객 정보가 도용되더라도 이상 거래를 막아야 하는데, 내부통제 시스템이 잘 갖춰지지 않았다는 지적이다.
오정근 한국금융ICT융합학회장은 "간편결제 시장 경쟁이 치열해지면서 보안보다 간편성에 무게중심이 실리고 있다"며 "서비스가 한 번 잘못돼 고객의 신뢰를 잃으면 금융거래 안전성이 무너질 수 있다"고 우려했다.
특히 인터넷전문은행과 증권사 등 금융사로 영역을 넓히고 있는 토스 입장에서 보안사고는 평판에 치명적이다. 이미 인터넷 커뮤니티를 중심으로 일부 고객들이 토스 앱 탈퇴 움직임을 보이고 있다. 이러한 사고가 토스를 비롯해 다른 핀테크 업체에서 발생할 가능성도 크다.
[이새하 기자][ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]