토스가 보안 논란에 휩싸였다.
토스는 보안 이슈가 불거진 직후부터 계정 도용이라는 입장을 고수했다. 토스에서 고객 정보가 유출된 것은 아니며 토스가 보안에 취약하다는 비판도 사실과 다르다는 것이다.
이용자 불안은 가라앉지 않았다. 토스 애플리케이션(앱)이 아닌 웹 결제 시 휴대전화 번호와 생년월일, 숫자 네 자리와 알파벳 한 자리로 구성된 토스 비밀번호만 알면 결제가 가능하기 때문이다.
한 이용자는 온라인 커뮤니티를 통해 “개인정보가 공공재가 된 한국에서 토스 같은 웹 결제 방식은 허술하다”고 지적했다. 페이코 등 다른 결제 서비스는 로그인이 필요하다.
일각에서는 크리덴셜 스터핑 가능성을 제기한다. 크리덴셜 스터핑은 한 곳에서 유출된 로그인 정보를 다른 계정에 무작위 대입하는 수법이다. 서비스별로 아이디와 비밀번호를 다르게 만들면 잊어버리기 쉬워 이용자가 대다수 서비스에 동일 아이디와 비밀번호를 쓴다는 사실을 악용한다.
토스 측 해명처럼 이번 사고가 자체 취약점에 의한 해킹 공격이 아닌 계정 도용에 불과하다고 하더라도 크리덴셜 스터핑에 해당한다. 크리덴셜 스터핑은 기초적 공격 수법이기 때문에 핀테크 업체가 보안에 소홀했다는 비판을 피하기 어려워 보인다.
과도한 보안성 논란보다 단순 계정 도용 사고로 봐야 한다는 목소리도 있다. 취약점에 의한 공격이라기보다 사회공학적 공격 수법에 일부 이용자가 당한 것이라는 의견이다.
신동휘 스틸리언 연구소장은 “토스가 해킹 공격에 당한 것이라면 피해가 8명에 그치지 않았을 것”이라면서 “일부 개인정보를 확보한 후 결제를 시도한 경우로 보인다”고 말했다.
토스에서 비밀번호 입력 오류로 결제가 차단된 사례도 있다는 점을 고려했을 때 고객 가운데 개인정보가 가장 많이 유출된 고객이 부정결제에 당했을 것이라는 설명이다. 보안 사고라는 비판에 대해선 “관점에 따라 다르다”면서 “유출된 정보를 활용한 계정 공격을 해킹 기법의 하나로 볼지 우연한 사고로 볼지에 따라 달라진다”고 부연했다.
피해 고객이 스파이웨어 등에 감염돼 보안 키패드 정보가 유출됐을 것이라는 말도 돌았다. 하지만 보안 키패드 업계에서는 이 같은 해킹은 매우 어려운 것으로, 보안 키패드 해킹이 성공했을 경우 피해가 극소수에 그치지 않았을 것이라며 가능성을 부인했다.
앞서 토스는 지난 3일 온라인 가맹점 3곳을 통해 고객 8명 명의를 도용한 부정 결제가 발생했다. 총 938만원이 부정결제됐다. 이를 위해 고객 이름과 전화번호, 생년월일, 비밀번호가 쓰였다. 토스는 고객 4명으로부터 민원을 접수한 후 부정결제액을 전액 환불했다. 다른 고객 4명은 토스가 부정결제 내역을 전수조사하는 과정에서 발견해 안내했다.
한편 경찰은 토스 부정결제 자금이 사용된 것으로 알려진 블리자드 코리아에 통신기록 조회를 요청했다.
오다인기자 ohdain@etnews.com
