1700만명이 가입한 모바일 금융 플랫폼 `토스`에서 고객 모르게 900만원이 결제되는 사고가 발생했다. 토스 측은 해킹으로 정보가 유출된 게 아니라 제3자가 개인정보를 도용한 것으로 보고 있다. 하지만 의심 거래를 실시간으로 탐지해 차단하는 금융사와 달리 토스의 내부통제 시스템이 제대로 작동하지 않았다는 지적도 나온다.

8일 토스를 운영하는 비바리퍼블리카에 따르면 이달 3일 온라인 가맹점 3곳에서 고객 8명 명의로 부정 결제가 발생했다.

금액은 총 938만원이다. 토스는 피해 신고를 받은 뒤 문제가 생긴 사용자 계정과 의심되는 IP로 접속한 계정을 막았다고 설명했다. 피해액은 모두 고객에게 돌려줬다. 토스 간편결제 서비스는 계좌나 카드와 연결해 `토스머니`를 충전해 사용하는 서비스다. 피해가 생긴 `웹 결제` 방식은 고객 생년월일과 이름, 5자리 토스 결제번호(PIN)만 있으면 손쉽게 결제할 수 있다.

토스는 해킹을 통한 정보 유출이 아닌 개인정보 도용으로 부정 결제가 발생했다고 해명했다. 토스 관계자는 "고객 개인정보를 알아낸 제3자가 비밀번호를 조합해 결제를 한 것으로 파악된다"며 "결제 전 수차례 비밀번호 오류가 발생하기도 했다"고 말했다.

일각에선 부정사용방지시스템(FDS)을 갖춘 금융사와 달리 토스의 보안 시스템 미비를 지적한다. 카드사는 고객 신용카드 거래를 분석해 의심 거래 이상 징후가 있을 때 고객에게 연락해 사고를 예방한다.

토스 측은 "전체 가맹점 중 5% 정도가 이번에 문제된 웹 결제 방식을 사용한다"며 "가맹점과 협의를 거쳐 보완 방안을 마련할 계획"이라고 말했다.

한편 이날 여신금융협회는 금융보안원을 통해 확인한 결과 외국 온라인 암시장에서 국내 신용카드 정보 약 90만건이 불법 유통된 사실을 확인했다고 밝혔다.

 90만건 중 유효기간 만료, 재발급 전 카드 등을 제외한 실제 사용 가능한 유효 카드는 약 41만건으로 파악됐다. 도난된 카드 정보는 FDS에 반영돼 있어 피해가 발생할 가능성은 낮은 상황이지만 각 카드사는 카드 재발급을 권장하기로 했다.

협회는 부정 사용 사고에 대해 해당 카드사가 전액 보상하는 방안을 추진하는 등 회원에게 직접적인 피해가 돌아가는 것은 최소화할 예정이다. 이번 유출은 확인된 가맹점 분석 결과 IC 단말기 도입 이전 악성코드에 감염된 POS 단말기 등을 통해 카드정보가 해킹·탈취된 것으로 추정되고 있다.