• 최종편집 2020-07-02(목)

토스 사태, 간편결제 보안 취약점 드러내

댓글 0
  • 카카오스토리
  • 네이버밴드
  • 페이스북
  • 트위터
  • 구글플러스
기사입력 : 2020.06.16
  • 프린터
  • 이메일
  • 스크랩
  • 글자크게
  • 글자작게

웹 결제 방식이 사고 빌미

공인인증서 폐지에 우려↑

 

1700만명이 가입한 모바일 금융 서비스 ‘토스’에서 고객 명의를 도용한 결제 사건이 여러건 발생했다. 토스 측은 자체 구축한 보안 체계에서 문제점이 발견되지 않았다며 해킹이 아닌 부정결제임을 강조하고 있으나, 이번 사태가 간편 결제의 보안 취약점을 드러난 사태라는 사이버 보안전문가들의 지적이 잇따르고 있다.

 

토스 측은 “공격자가 외부에서 획득한 이용자 정보를 토대로, 웹 결제가 가능한 가맹점 사이트에 로그인한 뒤 토스머니를 결제한 것”으로 추정하며, 가맹점 이용자 정보가 외부로 유출된 건 맞지만, 토스를 통해 이용자 정보가 유출된 건 아니란 주장을 펼치고 있다. 이 사건의 경찰 수사는 아직 진행 중이어서 토스의 주장이 맞는지는 확인이 필요하다.

 

다만, 취약한 결제 방식을 제공하고 있었다는 점에서 책임 소재로부터 자유롭다고 보기 어려운 상황이다. 간편결제 서비스를 제공하는 타사(카카오페이)의 경우 웹 결제를 제공하지 않고 있다.

 

보안 전문가들은 ‘공인인증서’라는 한정적인 수단으로 결제 서비스를 이용할 수 있던 과거에 비해, 간편 인증·결제 서비스 도입이 확대됨에 따라 이같은 금융보안 사고가 계속 증가할 것으로 전망하고 있다.

 

해커들이 교류하는 다크웹 등에서는 국내 금융소비자들의 개인정보 DB가 활발히 거래되고 있다. 한 예로 서울지방경찰청 보안수사대가 지난해 11월부터 올 1월 사이 시중은행 해킹 혐의로 구속된 L씨의 추가 범행과 공범을 수사하는 과정에서 L씨가 국내 ATM과 카드가맹점 포스단말기, 멤버십가맹점 등을 해킹해 빼낸 금융·개인 정보 1.5TB 분량의 외장하드를 확보했다. 이 외장하드에는 신용·체크카드 각종 정보와 은행계좌번호, 주민등록번호, 휴대전화번호 등 금융·개인 정보가 담겨있는 것으로 확인되고 있다.

 

그런데 웹 결제는 토스 앱에 로그인 없이도 이름, 생년월일, 핸드폰 번호, PIN번호 입력만으로 결제가 가능하다. 즉 다크웹에 거래되는 개인정보 DB를 활용하면 얼마든지 이러한 사태 재발이 가능하다는 의미다.

 

토스 관계자는 이에 대해 “쇼핑몰이나 생필품 판매처 등 부정결제가 이뤄지더라도 현금화가 용이하지 않은 극소수 가맹점에 대해서만 웹 결제 방식을 지원해왔다”고 해명한다. 그런데 이번에 부정결제가 이뤄진 가맹점은 블리자드 등 게임과 연관돼, 현금화가 어렵지 않은 결제처들이었다.

 

PIN번호 유출과 관련해서도 토스는 내부 서버에서 유출된 것이 아니라는 입장이다. PIN번호는 이용자가 토스머니를 사용하고자 할 때 설정하는데, 이용자가 PIN번호를 설정하는 즉시 암호화되고, 이 암호화된 값을 토스와 이용자 서버에서 공유한다는 것이다. 이 암호화된 값은 다시 평문으로 복호화할 수 없는 단방향 암호화를 적용하고 있다는 설명이다.

 

하지만 고객의 핀 번호를 토스가 보유하지 않는다는 것은 토스의 주장일 뿐이며, 당연히 있지도 않은 핀 번호가 유출될 수 없다는 것도 아직은 토스의 해명일 뿐이라는 지적이 나오고 있다. 이와 관련 일각에서는 부정결제를 시도한 자들이 피해자의 핀 번호에 대한 정보를 ‘대략적으로’ 알았던 점에 의문을 보이고 있다.

 

/2020년 6월 16일 동아경제 성창희 기자

태그

전체댓글 0

  • 26939
비밀번호 :
메일보내기닫기
기사제목
토스 사태, 간편결제 보안 취약점 드러내
보내는 분 이메일
받는 분 이메일