[금융소비자뉴스 이성은 기자] 모바일 금융서비스 토스에서 이용자 모르게 938만원이 부정결제 되는 사고가 일어난 데 앞서 토스에서 신종 보이스피싱 사기를 당한 피해사례도 드러났다. 생체인증 방식으로 보이스피싱에 악용해 부정결제가 이루어진 것이다. 이용자들 사이에서 토스의 보안 우려가 커지면서 핀테크 업체의 안전성이 도마에 올랐다. 

9일 서울경제에 따르면 대학생 A씨는 지난 2월 서울지방검찰청이라며 자신을 소개한 보이스피싱범으로부터 전화를 받았다. 보이스피싱범은 A씨에게 계좌가 중고나라 사기에 악용되고 있다며 토스에 연동된 ‘계좌번호’를 알려달라고 했다. A씨는 비밀번호를 알려주는 게 아닌 만큼, 큰 의심 없이 알려줬다. 그러나 이후 토스와 제휴를 맺은 게임사에서 토스를 통해 200만원이 결제됐다.   

이에 토스 측은 보이스피싱범이 계좌번호만 가지고 돈을 결제할 수 있었던 것은 ‘생체인증 방식’ 때문으로 보고 있다. 

A씨가 사전에 결제 방식으로 페이스 인증을 등록했고, 보이스피싱범이 피해자에게 계속 휴대폰을 보도록 유도해 생체인증(페이스인증)이 이뤄지게 하는 방식으로 200만원을 결제한 것이다. 

A씨는 “계좌 비밀번호도, 토스 비밀번호도 알려주지 않았는데 결제가 이뤄진 게 말이 되느냐”며 경찰에 사기 피해로 고소한 상황이다.

토스의 보안이 유출된 개인정보를 바탕으로 한 불법행위가 횡행하고 있어, 핀테크 업체의 보안성이 또 한 번 도마 위에 오르고 있다. 

토스는 "개인정보 유출은 없었다"고 해명했지만, 상대적으로 보안에 취약한 핀테크 업체에서 유사 사고 발생 우려도 높아지는 상황이다. 여기에 ‘핀테크 활성화’라는 정책에 맞춰 금융감독 당국도 토스 등 전자금융업자의 보안 문제에 안이하게 대처한 것 아니냐는 지적도 나온다. 

1700만 명의 고객을 보유하고 있는 토스가 2015년 9월 전자금융업자로 등록한 이후 단 한 번도 금감원의 검사를 받지 않으면서 ‘사각지대’에 놓여 있던 셈이다.

더욱이 사고 발생 이후 토스 대응도 논란이다. 금융사고가 날 경우 금감원에 보고를 원칙으로 하고 있는데, 토스는 금감원에 늑장 보고했다. 토스 측은 “내부 해킹으로 인한 정보 유출 건이 아니라 금감원에 보고하지 않았다”고 설명했다. 

이에 대해 금융당국 관계자는 "강도가 은행 지점에서 단순히 돈을 빼내면 금융사고가 아니라는 것과 똑같은 얘기"라고 지적했다.

한편 토스는 지난 3일 게임업체 블리자드 등 온라인 가맹점 3곳에서 토스 고객 8명의 명의를 도용한 부정결제가 발생했다. 부정결제에 사용된 고객 정보는 이름과 전화번호, 생년월일, 토스 비밀번호 다섯 자리로 피해액은 938만원이다.

이성은 기자 다른기사 보기