[ET시선]토스의 명확한 해명을 기대한다

ⓒ게티이미지

토스 부정결제 사고 여파가 핀테크업계 전반으로 확전되고 있다. 금융 당국은 이번에 핀테크 기업의 보안 수준을 전수조사하겠다고 공언했다. 보안업계와 동종 서비스를 하는 스타트업 중심으로 토스의 이번 부정 결제가 보안 사고인지 단순한 도용 사고인지를 놓고 갑론을박이 뜨겁다.

논란은 그렇다 쳐도 이번 부정 사용 결제와 관련한 토스의 해명과 대응 방식은 오히려 시장에서 분란을 키웠다.

과거 이승건 비바리퍼블리카 대표와 정보보호최고책임자(CISO)는 여러 차례의 간담회 자리에서 “개인정보 유출 사고 책임은 기업이 망할 수준으로 물어야 한다”고 강조한 바 있다. 규제를 완화하되 보안사고 책임은 엄중하게 해당 기업이 져야 한다는 입장을 피력했다.

만약 이번 토스의 부정 사용 결제가 도용이 아닌 정보기술(IT) 보안 사고로 밝혀지면 이 대표는 과거 발언에서 자유롭지 못할 것이다.

공식 입장문을 통한 설명 과정도 개운치 않다.

토스가 밝힌 입장문을 보면 여러 부분에서 앞뒤가 맞지 않는다.

이번 부정 사용 결제에 대해 토스는 고객 정보 유출은 없었고, 고객 명의를 도용한 부정 결제라고 결론지었다. 또 부정 결제에 사용된 고객 정보는 사용자 이름·전화번호·생년월일·비밀번호이며, 비밀번호의 경우 토스 서버에 저장되지 않기 때문에 유출이 불가능하다고 강조했다.

그러나 보안업계와 유사 서비스를 하고 있는 기업 CISO 등은 반론을 제기한다. 보안업계 일각에서는 이번 사고에 대해 보안 사고 가능성을 주장한다.

만약 토스 해명대로라면 인적사항과 비밀번호를 도용한 공격자는 왜 여러 번 입력 오류를 일으켰나?

정보를 이미 도용해서 보유하고 있다면 입력 오류가 나지 않는다. 공격자가 결제를 하기 위해 여러 번 시도했다는 예측이 가능하다. 타 금융사나 핀테크 서비스는 입력 오류가 여러 번 나면 입력 딜레이 서비스를 적용하거나 몇 회 이상 잘못된 정보가 입력되면 IP를 차단한다. 그러나 토스는 이에 대한 명확한 가이드라인이 없다. 이와 함께 토스 웹 결제 시 비밀번호를 숫자 4자리와 알파벳 1자리로 구성한다. 이 같은 비밀번호 체계는 토스가 유일하다.

또 하나의 의문점이 발생한다. 토스는 서버 등에 패스워드 등을 저장하지 않는다고 했다.

이번에 사고가 난 웹 결제 방식은 실물 거래 기반의 가맹점 등에 적용된 체계와 비슷하다. 사용자의 개인정보와 비밀번호를 모두 입력하는 경우에만 결제가 가능한 구조다.

즉 웹 결제에서는 애플리케이션(앱)과 달리 본인 단말기에서만 인증하는 구조로는 결제가 거의 불가능하다. 토스는 이 같은 의혹에 대해 어떤 기술을 활용해서 인증이 이뤄지는지 철저히 공개해야 한다.

이와 함께 토스는 일부 사용자의 경우 타사 서비스를 통해 부정 결제 피해를 본 것으로 확인됐다고 밝혔다. 이 점이 도용 사고 근거가 된 것처럼 해명했다. 그렇다면 숫자 4자리와 영문자(대) 1자리를 핀으로 쓰고 있는 회사는 토스뿐만 있음을 감안하면 공격자가 핀 정보 없이 어떤 방식으로 비밀번호를 유추했다는 것인가. 공격자가 반복된 입력 오류를 통해 핀을 알게 된 '브루투어택'을 한 것은 아닌지 의심스럽다.

토스에 문을 열어 준 은행 등 금융사도 공동 책임을 져야 한다. 토스 송금 서비스에 계좌를 연동할 때 보안성 심의 등을 했는지 금융 당국은 이 부분을 명확히 조사해야 한다. 이번 사고가 결제 부문에서 난 만큼 은행이 이 부분까지 보안성 심의 등을 했는지도 들여다봐야 할 것이다.

유니콘 기업은 고객이 많아서, 사업이 잘돼서 생기는 말이 아니다. 또 스스로가 유니콘 기업이라고 주장해도 보안 신뢰성을 잃으면 한낱 구멍가게일 뿐이다.

토스가 금융핀테크 사업에 메기 역할을 한 것은 분명하다. 그러나 해명 과정에서 발생한 여러 의혹과 대응 방식, 사업 초기 스타트업 정신은 사라지고 각종 서비스 혜택을 줄여 가는 현 모습은 실망스럽다. 여러 의혹에 대해 금융감독원은 공무원 몇 명 보내서 조사할 게 아니고 보안 전문가들과 함께 태스크포스(TF)를 꾸려서 강도 높은 조사를 해야 할 것이다.

길재식기자 osolgil@etnews.com