10일 금감원은 최근 발생한 토스 부정결제 사고 재발 방지를 위해 간편결제 서비스 업체에 대한 점검에 나서기로 했다.
토스는 카카오페이나 네이버페이 등과 함께 온라인 간편결제 서비스로 분류된다. 이들은 금융법상 전자금융업자로 금융감독 당국의 감독·검사 영역에 있지만 은행이나 카드 등 기존 금융사에 비해서는 감시가 소홀하다는 지적을 받아왔다. 일례로 이번에 사고가 발생한 토스는 2015년 전자금융업자 등록 이후 금감원 검사를 한 번도 받지 않았다.
지난 3일 이용자 8명이 모르는 사이 게임 웹사이트 등 토스 온라인 가맹점 3곳에서 총 938만 원이 결제됐다. 이번 사고는 모바일 애플리케이션(앱)이 아닌 웹 서비스에서 발생했다. 토스의 웹 결제 서비스는 이름과 생년월일, 토스 비밀번호(PIN) 5자리만 파악하면 결제가 진행된다.
토스 측은 미리 입수한 사용자의 인적사항과 비밀번호를 활용한 것으로 해킹은 아니라고 주장하고 있다.
금감원과 기존 금융사들은 토스의 결제 시스템이 허술하다고 지적한다. 다른 간편결제 서비스의 경우 PC에서 휴대전화 문자 등을 통한 인증을 한번 더 거치는데 토스는 PC에서 내 PIN 번호만 넣으면 된다. 휴대전화를 거치는 인증절차가 선택사항이긴 하지만 결과적으로 보안성이 허술했다는 지적이다.
금융권 관계자는 "온라인 상거래나 서비스 가입시에도 휴대전화를 통해 본인인증을 거치는 것이 일반적인데 토스는 편의성을 위해 이런 절차를 너무 간소화 한 것이 화근이 됐다"고 지적했다.
토스는 도용된 정보로도 결제가 불가능 하도록 시스템을 고도화하겠다고 약속했다.
현재 금감원은 토스 측으로부터 관련 자료를 넘겨받아 조사를 진행 중이다. 금감원은 부정결제 사고 이후 토스 측의 대응에서 현재까지 특별한 문제점을 발견하지는 못한 상황이다.