-금감원, 부정결제 사고 잠정 판단

토스 브랜드 아이덴티티. (사진=비바리퍼블리카)
토스 브랜드 아이덴티티. (사진=비바리퍼블리카)

[데일리비즈온 이동림 기자] 토스 운영사 비바리퍼블리카가 일단 한숨을 돌렸다. 최근 발생한 부정결제 사고에 대해 금융감독원이 “토스를 통한 개인정보 유출은 없었다”고 잠정 판단했기 때문이다. 

금감원은 이달 초 모바일 금융 서비스 토스에서 이용자 몰래 938만원이 결제된 사고가 발생하자 비바리퍼블리카로부터 관련 서류를 제출받아 검토한 뒤 11∼12일 현장 점검을 벌이는 방식으로 사건 경위를 파악에 나섰다.

◇ 부정결제 사고에 대한 토스의 입장

조사결과 토스가 해킹당한 것이 아니고, 누군가 다크웹 등 다른 곳에서 확보한 타인의 개인정보를 활용해 부정 결제를 했을 가능성이 높다고 본 것이다.

토스는 앞서 “제3자가 사용자의 인적사항과 비밀번호 등을 이용해 웹 결제를 한 것으로 파악했다”며 “토스를 통한 정보 유출이 아닌 도용된 개인정보를 활용한 부정 결제 이슈”라는 입장을 밝힌 바 있다.

이어 “부정 결제 발생 이슈 최초 발견 후, 그 즉시 해당 계정 정지 및 당일 거래 전수 조사로 추가 피해 방지했고, 사용자 본인이 결제한 건이 아님을 확인 후 선제적으로 환불 조치 등을 진행했다”고 덧붙였다.

토스는 현재 명문화된 보상 정책을 논의 중인 것으로 알려졌다. 금감원은 이번 토스 사태와 별도로 간편결제 시스템 전반에서 보완이 필요한 부분을 파악하기 위해 간편결제 사업자 전체를 상대로 토스와 유사한 사고가 있었는지 등을 점검하고 있다. 토스 관계자는 “이 사건에 대해서는 현재 경찰도 수사를 진행 중”이라고 말했다. 

서울 여의도 금융감독원. (사진=연합뉴스)
여의도 금융감독원. (사진=연합뉴스)

◇ 직원 부주의로 인한 개인정보 유출

이와 비슷한 사건은 지난해에도 있었다. 토스 직원의 개인정보유출 건이 그 예다. 실제 그해 6월 토스의 고객센터 직원 B씨는 토스 이용자 C씨의 휴대전화번호를 동의없이 제3자에게 전달해 징계를 받았다.

당시 이용자 C씨의 전화번호가 궁금했던 한 이용자가 과거 알고 있던 C씨의 전화번호를 근거로 고객센터에 물어 C씨의 현재 전화번호를 받아낸 것이다.

이용자 개인정보를 동의없이 제3자에게 전달하면 이는 현행법 위반이다. 이를 어기면 5년 이하의 징역이나 5000만원 이하의 벌금형에 처할 수 있다. 다만 해킹이 아니라 내부 직원 부주의로 발생한 개인정보 유출이라 신고가 접수된 것은 없다.

이에 대해 업계 관계자는 “서버오류 사실 여부도 중요하지만 금융업 진출을 앞둔 상황에서 이용자와 계속 각을 세우는 것이 여론형성에 좋지 않을 것”이라며 “토스카드의 전산장애 의심사례도 거듭 발생하고 있어, 마케팅보다는 서비스 안정화에 최우선을 둬야 할 것”이라고 지적했다.   

저작권자 © 데일리비즈온 무단전재 및 재배포 금지