지난 2월 보이스피싱에 200만원 털려

이용자 모르는 부정결제 뒤늦게 드러나
토스 “해킹 아냐” 해명에도 탈퇴 문의 빗발비바리퍼블리카가 운영하는 금융 플랫폼 토스에서 고객 몰래 돈이 결제된 데 이어 생체인증이 보이스피싱에 악용된 것으로 확인됐다. 연일 보안 사고가 터지면서 토스 이용자들의 탈퇴 문의가 이어지고 있다. 토스 측은 두 건의 사고 모두 토스 애플리케이션(앱)에 대한 해킹은 아니라고 밝혔지만, 고객 정보가 어디서 유출됐는지는 파악하지 못한 상황이다.

9일 토스에 따르면 지난 3일 게임업체 블리자드 등 온라인 가맹점 3곳에서 토스 고객 8명의 명의를 도용한 부정 결제가 발생했다. 부정 결제에 사용된 고객 정보는 이름과 전화번호, 생년월일, 토스 비밀번호 다섯 자리로 피해액은 938만원이다. 토스는 고객 4명으로부터 민원을 접수한 뒤 해당 계정을 차단했고, 이후 가맹점 결제 내역을 전수조사해 추가 피해 고객 4명을 발견했다.

토스 관계자는 “해킹이 아니라 외부에 유출된 개인정보가 도용된 것이며, 피해 사실 접수 후 즉시 전액 환급했다”고 밝혔다. 다만 최초 개인정보 유출이 어디서 어떻게 이뤄졌는지는 알 수 없다는 입장이다. 사고 원인을 찾기 위해 현재 경찰과 금융감독원이 조사를 진행하고 있다.

게다가 지난 2월에는 토스의 생체인증 방식을 악용한 보이스피싱으로 부정 결제가 이뤄진 것으로 드러났다. 당시 검찰수사관을 사칭한 보이스피싱범은 게임 사이트에서 이용자의 정보를 도용해 피해자 전화로 결제유도 메시지를 보냈다. 이후 피해자에게 계속 휴대폰 화면을 보도록 유도해 생체인증(페이스인증)이 이뤄지게 하는 방식으로 200만원을 결제했다.

홍인기 기자 ikik@seoul.co.kr