[이코노믹리뷰=최진홍 기자] 비바리퍼블리카의 토스가 논란의 중심에 섰다. 1700만명이 가입한 금융 플랫폼을 활동하며 국내 핀테크 시장의 선두주자로 자리매김했으나, 지난 3일 고객 8명의 부정결제 사고가 벌어지며 크게 흔들리고 있다.
토스의 사고가 간편결제 기반 생태계 전반에 대한 회의감으로까지 번지는 가운데, 업계에서는 지나치게 과장된 공포를 판매하는 선동가들에 대한 반감도 나오고 있다. 모든 비판에는 정당한 원인이 있어야 하며 균형잡힌 시각이 필수지만, 일부에서는 확인되지 않는 불안감을 자극해 성공을 향해 달려가는 플랫폼의 발목을 잡는 것을 마치 시장의 성공을 위한 본인의 업적으로 여기고 있어 잡음이 벌어지고 있다.
잘못을 했다면 비판을 받고 책임을 져야 한다. 그러나 지금 토스를 둘러싼 일각의 논란은 비판은 받고 더 나은 시대를 준비하기 위한 소중한 시간과 토론의 장을 박탈하고, 오로지 죽창과 횃불만 들고 ‘다 때려죽여라’는 비이성적 감정만 넘실거린다.
무슨 일이 벌어졌을까
지난 3일 총 3곳의 온라인 가맹점을 통해 8명의 고객 명의를 도용한 부정결제가 발생했다. 결제에 사용된 고객의 정보는 전화번호, 생년월일, 비밀번호로 확인됐다. 부정결제를 시도한 자들은 피해자들이 가진 토스 고유의 핀번호 정보(숫자 4자리와 알파벳 하나)를 ‘대략적으로’ 알았던 것으로 추정된다. 여러 번 번호를 변경해가며 부정결제를 했기 때문이다. 현재 이와 관련된 경찰의 수사가 진행중이다.
어떤 방식으로든 고객의 자산이 본인의 의사와 반해 유출된 것은 변명의 여지가 없다. 이와 관련해 토스를 향하는 비판은 정당하며, 토스는 그 무게를 엄중하게 여겨야 한다. 관련된 비판을 겸허하게 받아들이며 스스로를 돌아봐야 한다는 점은 이견의 여지가 없다.
문제는 언제나 그렇듯 감정의 소용돌이가 선을 넘을 때 시작된다. 합리적이고 건전한 비판은 당연하며 심지어 간절하게 필요하지만, 그 비판이 현상의 이면 아래에 숨 쉬는 팩트들을 짓밟는 순간 비극이 벌어진다. 악마는 디테일에 있는 것이 아니라, 디테일을 무시할 때 악마가 시뻘건 이빨을 치켜세우며 웃는 법이다.
자산유출의 원인을 면밀히 따져볼 필요가 있다. 알려진 바에 따르면 토스 고객의 핀 번호는 토스의 서버에 저장되는 구조가 아니다.
여기에 부정결제를 시도한 자들이 피해자의 자산을 유출시키기 위해 여러 번 비밀번호를 변경했다는 점도 고려할 필요가 있다. 결국 정황상, 부정결제를 시도한 자들은 피해자의 다양한 개인정보 즉 전화번호나 메일 등을 다른 플랫폼에서 확보한 후 이를 조합해 부정결제에 나섰을 것이라는 추정이 가능하다. 결론적으로 토스가 고객의 핀 번호를 가지고 있지 않은 상태에서 부정결제를 시도한 자들이 피해자들의 다양한 정보를 수집해 범죄를 시도했을 가능성이 높다.
물론 이러한 추정도 아직은 가능성일 뿐이다. 고객의 핀 번호를 토스가 보유하지 않는다는 것은 토스의 주장일 뿐이며, 당연히 있지도 않은 핀 번호가 유출될 수 없다는 것도 아직은 토스의 해명일 뿐이다. 일각에서는 부정결제를 시도한 자들이 피해자의 핀 번호에 대한 정보를 ‘대략적으로’ 알았던 점에도 의문을 보이고 있으며, 나아가 개인정보와 비밀번호를 모두 입력하는 웹결제에서 부정결제 사고가 난 것도 아직은 밝혀져야 할 것들이 많다.
토스의 주장, 경찰의 수사
현 상황에서 토스 부정결제 현안을 정리하면, 알려진 팩트는 ‘고객의 자산이 불법적으로 유출됐다’에 불과하며 그 원인에 대해서는 이견이 있다.
여기서 토스는 ‘핀 번호는 내부 서버에 저장하지 않기 때문에 유출될 수 있는 구조가 아니다’ ‘부정결제를 시도하는 자들은 대략적인 핀 번호를 확보한 상태(다른 플랫폼에서 피해자의 다양한 개인정보를 취합해 조합)에서 범죄를 저질렀을 것’이라고 주장하는 반면 일각에서는 ‘부정결제를 시도하는 자들이 어떻게 대략적인 핀 번호를 알고 있겠는가’ ‘웹 결제 인증에 문제가 있다’로 비판하며 좁혀지는 중이다.
각각의 주장이 충돌하는 가운데, 여기서 중요한 것은 ‘예단’하지 않는 것이다. 사태의 원인과 결과를 미리 예단해 팩트를 무시하고 일방적인 주장만 펼친다면 상황은 더 악화되기만 하기 때문이다.
그러나 안타깝게도 이런 현상은 이미 벌어지고 있다. 특히 이번 논란을 간편결제 전반의 문제점으로 비약시키는 것은 심각한 현상이라는 말이 나온다.
현재 토스의 주장대로라면 보안사고가 아닌데다, 토스의 주장이 거짓이라고 해도 이는 추후 경찰의 수사 과정에서 밝혀져야 한다. 아직 책임 소재는 가려지지 않았다는 뜻이다.
그럼에도 일부에서는 토스 논란을 두고 ‘간편결제 시장의 위험’을 필요이상으로 부풀리고 있다. 일각에서 핀테크 기업의 간편결제 자체를 두고 ‘위험하다’는 말까지 나오는 가운데 토스 고객의 정보 유출이 아닌, 도용된 정보가 활용되어 8명의 고객 명의로 결제된 현안을 두고 필요이상의 공포가 극대화되고 있다는 비판이 나온다.
현안에 대한 비판이 심각한 불균형을 이루는 것도 문제다.
여신금융협회에 따르면 암시장에서 국내 신용카드 정보 90만 건이 유출되는 것이 확인됐다. 지난 4월 싱가포르 민간 사이버보안업체 ‘그룹-IB(GIB)’가 이를 알려와 국내 금융 당국에 통보하기 전까지 ‘아무도 모르던’ 상황이다. 유출된 정보는 카드번호를 비롯해 카드 소유자, 개인·기관 소유 여부 등이며 포스(POS)단말기나 온라인 결제 과정에서 관련된 정보가 유출됐을 것으로 파악된다. 규모나 사안의 중대성에 비하면 토스 논란을 압도하지만, 이를 두고 업계에서 ‘신용카드를 없애야 한다’는 말을 하지는 않는다.
최근에는 한 해커가 현금자동입출금기(ATM)와 카드가맹점 포스단말기, 멤버십가맹점 등을 해킹해 412억건의 데이터를 탈취한 점이 알려져 파장이 커지고 있다. 금융감독원이 아직 정확한 피해 규모도 추산하지 못하는 가운데, 이를 두고 ‘신용카드를 없애자’는 의견은 나오지 않고 있다. 사실 ‘없애자’는 말이 나오는 것부터 이상하다. 문제가 있다면 보완하고, 다시는 문제가 발생하지 않도록 막는 조치만 필요하기 때문이다.
책임과 후속조치, 그리고 실체만 보자
토스 부정결제 논란은 벌어지지 말아야 했던 사고며, 이유가 어찌 되었건 토스가 감내하고 보완해야 할 지점이다. 이에 대항 비판도 타당하다. 그러나 필요이상의 비판과 지적을 통해 토스가 보여준 핀테크 역량을 흔드는 것은 그 누구에게도 이득이 되지 않는다. 문제가 발견되면 책임을 진 상태에서 해결하고, 재발 방지에 나서는 수준이면 족하다.
토스는 최초 논란은 막지 못했으나, 이후 전개된 상황에서는 할 수 있는 것을 다 했다. 실제로 토스는 이슈 인지 후 해당 가맹점 웹 결제를 바로 앱 결제로 전환해 추가 피해를 막았고, 일부 피해 고객은 선제적으로 파악해 빠르게 통보했다. 토스를 통한 정보유출이 아니었음에도 선제적으로 환불 조치 하는 등 이슈 발생 후 속도감있게 대처한 것도 눈길을 끈다. 빈번하게 벌어지는 개인 정보유출이 일어난 회사들이 대부분 ‘버티기’에 들어갈 뿐 직접 선제적으로 환불 및 보상한 사례는 거의 없다는 점에서 의미가 있다.
필요이상의 호들갑을 떨 필요가 없다. 업계의 자정활동과 건전한 성장을 위한 쓴소리는 필요하지만, 토스가 주장하는 것과 수사 당국의 팩트 체크가 나오기 전까지 논란을 필요이상 증폭시킬 필요는 없다는 뜻이다. 나아가 토스의 해명에 석연치 않은 구석이 있다면 진실이 밝혀질 때까지 기다려야 한다. 그럼에도, 논란을 간편결제 전반으로 끌고 가며 사안을 확대해석하는 선동가들은 누구인가.