[단독]계좌번호만 알려줬는데…'토스 생체인증'으로 보이스피싱 당했다

생체인증 방식 악용한 보이스피싱 수법
200만원 사기 결제 경찰청에 고소
유출된 개인정보 통한 악용 앞에 속수무책


토스의 부정결제 사고가 알려지면서 토스 고객센터로 전화 문의가 쏟아지고 있다./사진캡쳐

모바일 금융 서비스 토스에 900만여원이 부정 결제되는 사고가 일어난 데 앞서 토스를 기반으로 신종 보이스피싱 사기를 당했다는 피해자도 있는 것으로 드러났다. 토스의 생체인증 방식을 보이스피싱범이 악용해 토스로 부정 결제를 한 수법이다. 토스 측은 개인정보 도용에 따른 것으로 추정하는 가운데 이용자들 사이에서는 토스의 보안을 우려하는 목소리가 높아지고 있다.

대학생 A씨는 9일 서울경제와의 전화통화에서 이 같은 내용의 보이스피싱 결제 피해 사실을 밝혔다. A씨가 서울지방검찰청이라며 자신을 소개한 보이스피싱범으로부터 전화를 받은 것은 지난 2월이다. 보이스피싱범은 A씨에게 계좌가 중고나라 사기에 악용되고 있다며 토스에 연동된 A씨의 계좌를 알려달라고 했다. A씨는 비밀번호를 알려주는 게 아닌 만큼 큰 의심 없이 토스 애플리케이션을 열고 계좌번호를 알려줬다. 그러나 이후 A씨가 받은 것은 검찰의 수사 결과가 아닌 토스를 통해 200만원이 토스와 제휴를 맺은 게임사에서 결제됐다는 알림 메시지였다.

토스 측은 보이스피싱범이 A씨의 계좌번호만 가지고 돈을 결제할 수 있었던 것은 생체인증 방식 때문으로 보고 있다. A씨가 사전에 결제 방식으로 페이스 인증을 등록했고 보이스피싱범의 전화에 따라 휴대폰 화면을 봤을 때 결제인증이 이뤄졌다는 것이다. 보이스피싱범이 이용자의 이름, 휴대폰 번호뿐만 아니라 토스의 생체인증 등록 여부까지 사전에 알고 있었을 가능성도 제기된다. A씨는 “계좌 비밀번호도, 토스 비밀번호도 알려주지 않았는데 결제가 이뤄진 게 말이 되느냐”며 경찰에 사기 피해로 고소한 상황이다.

토스의 보안이 유출된 개인정보를 바탕으로 한 불법행위 앞에서 속수무책인 셈이다. 앞서 3일 온라인 가맹점 3곳에서 고객 8명의 명의로 총 938만원의 부정 결제가 발생한 것도 토스는 회사 시스템이 해킹된 게 아니라 개인정보가 도용되면서 불거진 것으로 분석하고 있다.


토스 관계자는 “3일 발생한 부정 결제 피해자의 계정 로그인 상황을 보면 여러 차례 비밀번호를 입력한 기록이 있다”며 “이미 유출된 개인정보를 바탕으로 비밀번호를 유추해 결제인증을 하려고 했던 것으로 보인다”고 설명했다.

이 같은 토스의 설명에도 이용자들의 탈퇴가 잇따르고 있다. 인터넷 커뮤니티에는 ‘찝찝해서 토스 탈퇴합니다’ 등의 인증 글들을 쉽게 찾을 수 있다.

업계에서는 연내 인터넷전문은행 출범을 앞둔 토스에 이번 논란이 악재라는 시각도 나온다. 간편 송금, 결제 등을 내세워 1,700만명의 가입자를 확보한 토스는 인터넷전문은행을 비롯해 최근 올해 하반기 증권사 설립 및 보험 서비스 출시를 계획하고 있다. 토스는 최근 수익성 개선에도 성공해 2015년 서비스 출시 이후 처음으로 올 4월 월간 흑자를 기록하기도 했다.

업계의 한 관계자는 “신규사업을 확대하고 있는 기업에 큰 부담이 될 수밖에 없는 일”이라면서도 “경찰 수사로 자세한 결과가 나와봐야 알겠지만 금융사만 철저히 보안을 한다고 될 게 아니고 가맹점, 휴대폰 통신사 등 관련 모든 기업이 철저하게 보안을 갖춰야 이런 사고를 막을 수 있다”고 지적했다. 토스 측은 부정 결제가 이뤄질 수 없도록 고도화된 이상 거래 감지 및 대응 시스템을 만들겠다는 방침이다.

/김지영기자 jikim@sedaily.com


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>