[금융소비자뉴스 김나연 기자] 누적 1700만명의 가입자를 보유한 모바일 금융서비스 토스에서 이용자 몰래 결제가 이루어지는 사고가 발생했다. 총 8명의 고객 명의를 도용한 부정 결제인데, 토스는 해킹으로 정보가 유출된 게 아닌 제3자가 개인정보를 도용한 것으로 보고 있다.
9일 토스 운영사 비바리퍼블리카에 따르면 지난 3일 고객으로부터 “모르는 사이 온라인 결제가 됐다”는 신고가 접수됐다. 확인된 피해자는 8명으로, 환금성이 높은 게임업체 등 온라인 가맹점 3곳에서 총938만 원이 빠져나갔다.
피해자 중 2명은 200만 원 가량의 피해를 입었고 4명은 부정 결제 피해 사실을 토스 측의 통지를 받고서야 뒤늦게 인지했다.
토스 측은 해킹을 통한 정보 유출이 아닌 개인정보 도용으로 부정 결제가 발생했다고 해명했다. 부정 결제에 사용된 고객의 정보는 사용자 이름과 전화번호, 생년월일, 비밀번호이며, 비밀번호의 경우 토스 서버에 저장되지 않기 때문에 유출이 불가능하다는 것이 토스 측의 설명이다.
토스는 계좌나 카드와 연결해 ‘토스 머니’를 충전하는 방식의 간편 결제 시스템이다. 웹 결제 방식은 이용자의 생년월일과 이름, 5자리 토스 결제번호(PIN)만 있으면 손쉽게 결제가 가능해 이용자의 편의성은 보장되나, 보안 우려는 제기돼 왔다.
토스 측은 이번 사고에 대한 후속조치로 웹결제 가맹점에 대한 점검 및 대응을 진행할 예정이다. 토스 측은 “웹결제 방식 적용 전체 가맹점 대상으로 고환금성 거래 여부 등을 면밀히 확인해 방식변경이 필요할 경우 가맹점과 협의를 거쳐 적용할 예정”이라고 말했다.
다만 부정 결제된 938만 원은 전액 환급 조치했으나, 피해자들은 보상과는 별개로 이번 사건을 경찰에 신고했다. 현재 서울 노원경찰서에서 이 사건을 수사 중이다.
토스는 “경찰 등 수사기관에 신고하고자 하는 고객분들께 거래 명세서 등 증빙 서류를 발급해 드리고 관련 안내를 드렸다”면서 “회사 차원에서도 추후 수사기관 요청 시 적극적으로 협조할 예정”이라고 했다.