[시큐리티] 간편결제, 편리와 위험의 공존
[시큐리티] 간편결제, 편리와 위험의 공존
  • 임홍철 전문위원
  • 승인 2020.06.15 15:03
  • 댓글 0
  • +더보기
이 기사를 공유합니다

토스 사태로 되집어보는 간편결제의 문제점

현재 모바일을 통해 제공되고 있는 각종 서비스들이 추구하는 목표 중 최우선은 편리함이다.

이유는 간단하다. 고객들이 이용하기 쉽고 이해하기 쉬운 직관적인 형태의 서비스 제공을 원하기 때문이다.

인터넷을 통한 금융서비스 이용 시 각종 보안솔루션 설치로도 모자라 인증서와 결제비밀번호 사용 등의 험난한 바다를 헤엄치는 경험을 해 본 사람이라면 쉽게 공감이 가는 대목이다.

그래서 보다 편리하고 쉬운 이용방법의 제공을 토대로 하는 금융서비스들이 출연했고, 이용자들의 전폭적인 호응에 힘입어 성장일로를 걸어왔으니 그 대표주자가 바로 비바리퍼블리카가 서비스하는 '토스(Toss)'다.

▲ 임홍철 정보안전부 전문위원
▲ 임홍철 정보안전부 전문위원

현재 토스(Toss)는 청소년층에서 청년층과 중년층까지 폭넓게 사용하는 국민 금융앱의 위치를 차지하고 있다고 해도 과언이 아니다. 그리고 그것이 가능하도록 한 것은 기존 금융서비스와 비교해 간편한 계좌이체 처리가 가능했다는 점이 가장 크게 작용했다.

힘들고 지난한 과정으로 인해 고객의 인내심을 시험했던 여타 금융서비스와의 차별화에 성공했던 것이다.

그런데 최근 4년만에 월간 흑자를 기록하며 한껏 고무돼 서비스 확대와 상장 준비에 여념이 없던 토스(Toss) 서비스에 비보가 날아들었다.

몇몇 고객들의 계좌에서 부정인출이 발생하는 사고가 발생한 것이다. 더해서 그 부정인출은 토스(Toss) 서비스를 통해서 이루어졌다. 흔히 말하는 침해사고가 일어난 것이다.

현재까지 밝혀진 바로 유출사고는 토스(Toss) 서비스가 해킹당해 정보가 유출된 것이 아니라 기존에 유출된 고객들의 개인정보를 통한 대입공격으로 인한 사고로 조사되고 있다.

대량의 고객정보가 해킹된 것이 아니라하니 다행이지만 이번 사고로 편리함을 기반으로 한 간편결제 서비스에 대해 다시 생각해 보는 계기로 삼아야 한다는 목소리가 높다.

토스(Toss)는 생년월일, 휴대폰번호, 비밀번호 세 가지 만으로 계좌인출이 가능하게 구성돼 있다. 중요한 점은 생년월일과 휴대폰번호의 경우 타사의 해킹사고 때 유출됐을 가능성이 높은 정보라는 점이다.

해커는 기존에 유출된 정보를 기반으로 PIN이라고 불리는 비밀번호 5자리를 유추해 대입하는 방식으로 공격을 수행해 8명 고객의 계좌에서 938만원을 부정 인출할 수 있었다.

즉, 실질적으로 토스(Toss) 서비스가 고객의 계좌를 보호하기 위해 적용한 보호 장치는 5자리 비밀번호가 유일한 구조였던 것이다.

다행히 비바리퍼블리카 측의 발 빠른 대응으로 피해를 본 고객들의 손실을 모두 보상하고 추가 피해 예방조치를 함으로서 사고의 확산을 방지할 수 있었다.

그러나 무엇보다 중요한 것은 부정결제가 가능했던 구조적 문제점은 여전하다는 것이다.

물론 보안을 위해 편리함을 포기해서는 안 된다. 많은 고객들이 편리함을 추구하는 이상 편리함을 제공하기 위한 노력은 반드시 이루어져야 한다.

다만, 편리함을 제공하는 방법에 대해서는 치열한 고민이 필요하다는 점에서 아쉬움이 남는다.

십분 양보해도 해커가 쉽게 획득할 수 있는 정보를 이용하도록 구성된 금융서비스는 위험하다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.