[디지털투데이 신민경 기자] "토스의 보안 수준은 법이 규정한 요건보다도 훨씬 높다." "보안에 대한 인력과 투자금은 토스가 국내 IT기업 중 최고 수준일 것이다."

지난해 3월 토스뱅크 예비인가 진행 현황 보고 겸 열린 비바리퍼블리카 기자간담회에서 이승건 토스 대표가 뱉은 말들이다. 하지만 이 대표의 자신감은 이번 명의도용 사고로 인해 무색하게 됐다. 완벽할 것 같던 간편결제 서비스의 보안 수준에 허점이 드러났기 때문이다.

9일 토스에 따르면 지난 3일 온라인 가맹점 3곳을 통해 고객 8명의 명의를 도용한 부정 결제가 발생했다. 부정 결제에 사용된 고객정보는 이름과 전화번호, 생년월일, 비밀번호 등으로 총 피해금액은 938만원인 것으로 밝혀졌다. 

토스는 도용사건을 인지한 즉시 계정을 차단하고 고객이 입은 피해금액을 환불 조치했다. 토스가 자체적으로 가맹점 결제내역을 전수조사한 바에 따르면 이번 부정결제 사고는 토스의 해킹과 무관하다. 또 부정 결제로 인해 고객의 정보가 유출되지는 않았다. "토스를 통한 유출이 아닌 제3자에 의한 개인정보 도용으로 일어난 사고"라는 게 토스의 입장이다.

하지만 금융감독원은 이번 금융사고를 '토스의 웹 결제 시스템의 문제' 또는 '개인정보 도용의 문제' 중 하나로 보고 전수 조사에 착수한 상태다. 토스의 일부 가맹점이 채택해 온 웹 결제 방식은 결제번호(PIN)와 생년월일, 이름 등 간단한 정보의 입력만으로 결제가 이뤄지는 시스템이다.

이처럼 간편결제 시장 1위인 토스가 개인정보 도용사고에 휘말리자 금융시장 내 입지를 넓혀가던 핀테크 업체들도 비상이 걸렸다. 이번 사고가 서버 해킹 문제인지 도용을 간과한 모니터링 문제인지 금융당국의 조사로 판명난다고 해도 그 뒤로 핀테크 금융 서비스에 대한 고객 불안을 덜기는 쉽지 않을 것이기 때문이다.

핀테크 업계는 정부의 적극적인 지원책에 힘 입어 금융시장에 진출하고 있다. 지난해부터 시행된 금융규제 샌드박스를 비롯해 최근 들어선 전자서명법 개정으로 핀테크 업체의 인증시장 진출길이 열렸다. 올해엔 신용정보법 개정안과 P2P금융법 등이 8월 시행을 앞두고 있다. 토스의 이번 사고는 핀테크의 보안성에 의문을 제기해 온 전통 금융권에 명분만 던져줄 것이란 우려가 나오는 것도 이런 배경 때문이다. 

현재 핀테크 업계는 정보보안 사고를 최소화하기 위해 부정거래방지시스템(FDS)을 운영 중이다. NHN페이코는 FDS를 통해 페이코 앱 로그인과 결제 이후 상황을 모니터링하고 있다. 365일, 24시간의 통합보안관제센터에 보안 인력을 배치해 실시간으로 해킹 대비 작업을 하고 있다. 카카오페이도 지난 2015년 자체 기술로 FDS를 구축한 뒤로 머신러닝과 딥러닝을 결합하는 등 꾸준히 고도화 작업을 진행 중이다. 토스도 이번을 계기로 기존 FDS에 최신 기술과 정책을 반영해 고도화하는 데 집중하겠다는 방침이다.

보안 전문가들은 핀테크 업계가 금융회사 만큼의 파급력을 지니게 된 만큼 서비스 보안성도 전통금융 수준까지 끌어올려야 한다고 입을 모으고 있다.

신민수 한양대 경영학과 교수는 "서비스의 보안 취약점이 드러났다면 원인을 찾기보다 해결책을 골몰하는 게 더 중요하다"며 "해킹 수단이 점차 고도화하고 있다. 회사별로 여러 금융사고에 대한 대응 매뉴얼을 구축했더라도 꾸준히 갱신해야 할 것"이라고 조언했다. 

또 권헌영 고려대 정보보호대학원 교수는 "핀테크 서비스의 가장 큰 특징인 경량성이 보안에는 적용되지 않는다는 점을 업계가 인식해야 한다"며 "금융규제 샌드박스의 취지처럼 핀테크 업계를 자유롭게 풀어놓되 이용자 보호 상의 문제가 생길 시엔 엄격한 잣대를 댈 필요가 있다"고 했다.