[생활보안 2] 4. 편리와 위험의 공존

간편 결제의 좋은 점, 나쁜 점

현재 모바일(대체로 스마트폰)을 통해 제공되고 있는 각종 서비스들이 추구하는 목표 중 최우선은 편리함이다. 이유는 간단하다. 고객들이 이용하기 쉽고 이해하기 쉬운 직관적인 형태의 서비스 제공을 원하기 때문이다.

인터넷을 통한 금융서비스 이용 시 각종 보안설루션 설치로도 모자라 인증서와 결제 비밀번호 사용 등의 험난한 바다를 헤엄치는 경험을 해 본 사람이라면 쉽게 공감이 가는 대목이다. 헤엄치다 지친 대중이 기존의 불편한 사용법에 피곤함을 느꼈음을 간파한 업체들은 편리하고 쉬운 이용방법의 제공을 토대로 하는 금융서비스들을 출시하기 시작했고, 이용자들의 전폭적인 호응에 힘입어 성장 일로를 걸어왔으니 그 대표주자가 바로 비바리퍼블리카가 서비스하는 '토스(Toss)'다.

현재 토스(Toss)는 청소년층에서 청년층과 중년층까지 폭넓게 사용하는 국민 금융앱의 위치를 차지하고 있다고 해도 과언이 아니다. 그리고 그것이 가능하도록 한 것은 기존 금융서비스와 비교해 간편한 계좌이체 처리가 가능했다는 점이 가장 크게 작용했다. 힘들고 지난한 과정을 요구하면서 고객의 인내심을 시험했던 여타 금융서비스와의 차별화에 성공했던 것이다.

이러한 토스(Toss) 역시 해커의 침해는 피할 수 없다. 몇몇 고객들의 계좌에서 부정인출이 발생하는 사고가 생겼고, 그 부정인출은 토스(Toss) 서비스를 통해서 이루어졌다. 실제로 금액이 유출되는 침해사고로 연결된 것이다.

이 유출사고들의 특징은 토스(Toss) 서비스가 해킹당해 정보가 유출된 것이 아니라 기존 타사의 해킹으로 인해 유출된 고객들의 개인정보를 통한 대입 공격으로 인해 발생했다는 특징을 가지고 있다. 대량의 고객정보가 해킹된 것이 아닌 점은 다행이지만 편리함을 기반으로 한 간편 결제 서비스에 대해 다시 생각해 보는 계기로 삼아야 한다는 목소리가 높은 이유다.

토스(Toss)는 생년월일, 휴대폰 번호, 비밀번호 세 가지 만으로 계좌인출이 가능하게 구성돼 있다. 중요한 점은 생년월일과 휴대폰 번호의 경우 타사의 해킹사고 때 유출됐을 가능성이 높은 정보라는 점이다. 아마도 국민 대부분의 정보가 유출된 상태일 수도 있다.

해커들은 기존에 유출된 정보인 생년월일과 휴대폰 번호를 기반으로 PIN이라고 불리는 비밀번호 5자리를 유추해 대입하는 방식으로 공격을 수행해 토스(Toss) 고객의 계좌에서 부정한 방법으로 금액을 인출할 수 있었다. 이런 서비스 구성을 보면 실질적으로 토스(Toss) 서비스가 고객의 계좌를 보호하기 위해 적용한 보호 장치는 5자리 비밀번호가 유일한 구조였던 것이다.

무엇보다 중요한 것은 이러한 부정결제가 가능했던 구조적 문제점이 여전히 존재한다는 것이다. 물론 보안을 위해 편리함을 포기해서는 안 된다. 많은 고객들이 편리함을 추구하는 이상 편리함을 제공하기 위한 노력은 반드시 이루어져야 한다.

다만, 편리함을 제공하는 방법에 대해서는 치열한 고민이 필요하다는 점에서 아쉬움이 남는다. 십분 양보해도 해커가 쉽게 획득할 수 있는 정보를 이용하도록 구성된 금융서비스는 위험하다.