[아이뉴스24 서상혁 기자] 최근 발생한 토스 부정거래 사건으로 간편결제 서비스에 대한 보안 이슈가 화두로 떠오르고 있다. 규제 강화가 정답은 아니다. 사고가 터질 때마다 전가의 보도마냥 각종 보안 규제를 가하게되면, 혁신을 담보하기 어려워진다.
전문가들은 완벽한 보안 시스템은 이론적으로도 존재할 수 없는 만큼, 금전적 배상책을 강화하는 것도 방법이 될 수 있다는 의견이다. 보안 규제의 패러다임을 바꾸자는 것이다.
1일 금융권에 따르면 최근 금융감독원은 토스 부정거래에 대해 해킹이 아닌 '개인 정보 도용'에 의한 것으로 잠정 결론을 내렸다.
지난 달 초 간편결제·송금 플랫폼 토스의 온라인 가맹점 3곳에서 8명의 명의로 900여만원이 부정결제 되는 사건이 발생했다. 해당 결제 건은 토스 앱을 통한 '앱결제'가 아니라 웹사이트에서 진행되는 '웹결제'로 이뤄졌다. 다섯 자리 핀 번호와 이름, 생년월일, 휴대폰 번호만 알면 결제가 이뤄지는 방식이다. 토스 측은 부정거래 발생 직후 고객들에게 피해 금액을 전액 환급 조치했다.
금융감독원은 최근 토스의 부정거래 사건에 대해 '해킹'이 아닌 개인정보 도용에 의한 결제라는 잠정적인 결론을 낸 것으로 전해졌다. 조사가 모두 마무리된 건 아니지만, 토스의 전산망이 공격을 당한 건 아닐 가능성이 높다.
그럼에도 이용자들의 불안 심리는 나아질 기미가 보이지 않는다. 이날도 온라인 포털 사이트에는 '토스 탈퇴 도와주세요' '토스 불안한데 탈퇴해야하나요?' 등의 질문 글이 쇄도했다.
이번 사건을 계기로 정부가 간편결제 플랫폼 등 핀테크 업체들에 대한 보안 규제를 강화해야한다는 주장이 나온다. 해킹 기술이 날로 첨단화되고 있는 만큼, 번거롭더라도 인증 절차를 추가로 마련하고 이상거래탐지시스템(FDS) 구축을 의무화 하는 등 보안 규제 수준을 높여야 한다는 것이다.
업계는 보안을 강화하자고 추가 인증 등 보안 절차를 만들어 버리면 간편결제라는 정체성을 잃을 것이라 우려한다. 간편결제 업계 관계자는 "이번 사건을 계기로 결제 과정에 여러 인증수단을 넣어야 한다는 말이 나오지만, 그렇게 하면 더 이상 '간편결제'가 아니게 된다"라며 "글로벌 간편결제 기업들도 보안사고를 줄이기 위해 결제 절차를 복잡하게 만들진 않는다"라고 난색을 표했다.
사실 '보안 조치'를 강화해야 한다는 말은 금융 정보 유출 사고가 터질 때마다 나왔던 주장이다. 수년 전 카드 정보 유출 사태가 터졌을 때도 카드사들이 고객 정보 관리를 소홀하게 했다며, 보안을 수준을 높여야 한다는 지적이 잇따랐다. 그에 따라 업계는 이상거래탐지시스템을 고도화하고 결제 방식도 바꿨지만, 정보 유출 사고는 끊이지 않았다.
보안 전문가들은 기술적 조치를 강화하는 건 큰 의미가 없다고 입을 모은다. 날이 갈수록 공격 기술이 첨단화하는 만큼, 무결한 보안 시스템은 나올 수 없다는 것이다.
김승주 고려대 정보보호대학원 교수는 "일부 언론들은 사고가 나면 회사가 '기술적 조치를 취했어야 한다' '뚫리지 말았어야 한다'라고 지적하지만 이는 이론적으로 틀린 말이다"라며 "뚫리지 않는 시스템을 만드는 건 불가능하다"라고 말했다.
이어 "FDS를 고도화하면 부정거래를 막을 수 있었다라는 말도 나오는데, 세계적인 간편결제 업체의 경우 FDS보안팀에 2천명이 있는데도 뚫렸다"라고 설명했다. 기술적 보안을 강화하도록 하는 규제는 큰 의미가 없다는 얘기다.
차라리 '금전적 배상'을 강화하는 게 보안 정책을 강화하는 방법이 될 수 있다는 의견이다. 김 교수는 "해킹으로부터 고객의 피해를 막는 노력이나, 문제가 생겨도 배상으로 피해를 막는 거나 다르지 않다"라며 "두 노력의 궁극적인 목적은 '고객에게 손해를 끼치지 않는 것'이다"라고 설명했다.
이어 "자꾸 기술적 조치에 매몰돼선 안 된다"라며 "'뚫리지 말아야 한다'가 아니라 고객에게 손해를 끼치지 않아야 한다는 관점을 가질 필요가 있다"라고 말했다. 김 교수에 따르면 세계적인 간편결제 기업인 페이팔은 지난 한 해에만 배상에 11억 달러를 사용했다.
신용카드 정보 다크웹 유통 등 토스 외에도 보안사고가 잇따라 터지면서 정부도 고민이 많다. 전가의 보도처럼 규제 일변도로 나아가면 행정은 편할지 몰라도, 목표로 삼는 '혁신금융'은 달성하기 어려워지기 때문이다.
은성수 금융위원장도 지난 달 기자간담회에서 "기술이 발전하고는 있지만, 그걸 범죄에 악용하는 사례도 있는데, 그 균형을 잘 잡아서 정책을 펴는 게 금융당국의 고민이다"라며 "두 가지를 어떻게 조화롭게 할지에 대해 열심히 고민하겠다"고 밝힌 바 있다.
당장 정부가 핀테크 산업에 대해 규제 일변도로 나아갈 가능성은 높지 않다. 불완전판매 입증 책임을 소비자에서 금융사로 돌리는 금융소비자보호법이 만들어지는 등 최근 들어 금융사에 많은 규제를 가하기보단 '책임'을 강화하는 쪽으로 규제가 만들어지고 있어서다.
보안업계 관계자는 "공인인증서 폐지나 보이스피싱 척결대책에서 알 수 있듯, 최근 정부의 규제 방향을 보면 이것저것 하위 규정을 두기보다는 금융회사에 책임을 지우는 방향으로 규제가 이뤄지고 있다"라며 "여러 사고가 터졌지만, 기본적인 규제 방향은 네거티브가 될 것으로 보인다"라고 내다봤다.
서상혁 기자 hyuk@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기