15일 업계에 따르면 직장인 A씨는 휴대전화를 분실했다가 곧바로 되찾았지만 토스에 등록된 시중은행 계좌에서 다른 곳으로 돈이 송금된 사실을 발견했다. 휴대전화를 손에 넣은 누군가가 토스 비밀번호를 바꾼 뒤 간편송금 서비스를 이용해 돈을 빼돌린 것이었다.
토스의 비밀번호는 고객 명의 시중은행 계좌로 토스가 1원을 송금하면서 입금자 이름으로 3자리 난수를 보내는 본인인증 과정을 거친다.
A씨가 휴대전화를 잠금 해제로 해둔 게 문제가 됐다. 잠금이 풀려있어 해당 난수가 은행의 입출금 알림 메시지를 통해 드러나면서 비밀번호 변경이 가능해진 것이다.
토스 측은 이 문제를 인식했지만 책임 질 부분 없다는 입장을 고수했다. 다만 고객 구제를 우선시하는다는 기조에 따라 보상을 결정했다. 토스 관계자는 "고객 본인이 휴대전화를 점유하고 있다는 인증 아래 정상적으로 프로세스가 진행된 것"이라며 "휴대전화와 앱이 잠기지 않은 매우 드문 경우지만 고객 구제 우선시 기조에 따라 보상을 결정했다"고 말했다.
그러나 잠금이 풀린 휴대전화를 분실한 것만으로 비밀번호 변경에서 송금까지 가능하다는 것을 확인한 셈이라 간편결제·송금 서비스의 보안 문제가 취약하다는 것을 여실히 드러냈다는 지적이다.
A씨는 "범죄에 악용될 수 있는 부분인데 '나 몰라라' 식으로 대응하는 것은 이해할 수 없다"고 토로했다.
신현아 한경닷컴 기자 sha0119@hankyung.com
관련뉴스