"휴대전화 잃어버렸는데…'토스' 통해 150만 원이 빠져나갔다"

직장인 조 모 씨는 얼마 전 휴대전화를 잃어버렸다가 되찾았습니다.

초기화된 상태긴 해도 휴대전화를 찾았다는 안도는 잠시뿐, 분실 직후 자신의 계좌에서 150만 원이 빠져나간 사실을 알게 됐습니다.

모바일 금융 서비스 '토스'에 등록한 시중 은행 계좌에서 다른 곳으로 송금된 것입니다.

휴대전화를 손에 넣은 누군가가 토스의 비밀번호를 바꾼 다음 간편송금 서비스를 이용해 돈을 빼간 것입니다.

토스의 비밀번호를 변경하려면 고객 명의의 시중은행 계좌로 토스가 1원을 송금하면서 입금자 이름으로 3자리 난수를 보내는 본인 인증 과정을 거칩니다.

그런데 휴대전화를 잠금이 풀린 상태로 잃어버렸더니 그 난수도 은행의 입출금 알림 메시지를 통해 고스란히 드러나게 된 것입니다.

토스 측 상담원은 이런 방법으로 비밀번호 변경이 쉽다는 걸 알고 있고 문제 인식도 있었지만, 책임을 질 수 있는 부분은 없다고 선을 그었다고 합니다.

토스 관계자는 "본인이 휴대전화를 점유하고 있다는 인증 아래 정상적으로 프로세스가 진행된 것"이라면서 "휴대전화와 앱이 잠기지 않은 매우 드문 경우지만, 고객 구제를 우선시하겠다는 기조에 따라 보상을 결정했다"고 말했습니다.

그러나 잠금이 풀린 휴대전화를 잠깐 잃어버리는 것만으로 비밀번호 변경에서 송금까지 일사천리로 이뤄질 수 있다는 점에서 최근 급성장하는 간편결제·송금 서비스의 취약한 보안이 또다시 도마 위에 오를 것으로 보입니다.

토스에서는 올해 6월 총 938만 원 규모의 부정 결제가 발생한 바 있습니다.

5자리 결제번호(PIN)와 생년월일, 이름이 있으면 결제가 되는 '웹 결제' 방식의 보안 허점이 드러났습니다.

이 사건으로 금융당국이 토스와 카카오페이, 네이버페이 등 비대면 금융서비스 전반에 대한 점검에 나서기도 했습니다.

토스는 2015년 전자금융업자 등록 이후 이때까지 금융감독원 검사를 한 번도 받지 않은 것으로 알려졌습니다.

(사진=토스 제공, 연합뉴스)