‘나도 모르게 결제?’ 토스도 털렸다…크리덴셜 스터핑에 당했나
곽도영 기자 , 김자현 기자
입력 2020-06-09 16:09 수정 2020-06-09 16:13
동아일보DB
‘토스도 털렸다.’
국내 간편결제 사용자 수 1위 서비스인 토스에서 명의 도용으로 938만 원어치의 이용자 피해가 발생하면서 5자리 또는 6자리 핀(PIN) 번호만 눌러 결제하는 간편결제 서비스의 안전성에 우려가 커지고 있다. 보안업계에서는 비밀번호를 알아낼 때까지 컴퓨터 프로그램을 활용해 무작위 숫자를 대입하는 ‘크리덴셜 스터핑’ 방식을 통한 범죄 가능성을 제기한다.
9일 토스에 따르면 3일 게임사 등 온라인 가맹점 세 곳에서 총 8명의 가입자 명의가 도용돼 부정결제가 이뤄졌다. 게임 아이템은 온라인 거래 시장이 형성돼 있어 환금성이 높다. 토스 측은 이날 “해당 이용자들의 신상정보와 비밀번호를 제3자가 도용해 부정결제가 발생했으며 토스에서 유출된 정보는 없다”고 밝혔다. 피해 금액은 전액 환불됐고 금융감독원은 이날 사고원인 조사에 착수했다.
부정결제에 필요했던 정보는 토스 애플리케이션(앱) 로그인을 위한 아이디와 비밀번호, 로그인 이후 결제 시에 입력해야 하는 이름과 생년월일, 전화번호, 5자리 핀 번호다. 토스 측은 “최초 개인정보 유출이 어디서 이뤄졌는지, 어느 부분까지 이뤄졌는지는 알 수가 없다”는 입장이다.
보안업계에 따르면 최근 다른 온라인 부정결제 사례에서도 크리덴셜 스터핑 방식이 빈번하게 발생해 왔다. 아이디와 비밀번호, 이름, 생년월일 정도의 개인정보는 카드사, 통신사의 개인정보 유출 사고 등을 통해 다크웹(특수 브라우저를 통해 접속하는 어둠의 인터넷)에서 빈번하게 거래되고 있다. 이들 정보를 넣고 컴퓨터 프로그램으로 무작위로 숫자를 대입해 핀 번호가 맞춰지면 부정결제의 타깃이 되는 식이다. 토스에 따르면 이번 피해사례에서도 핀 번호를 맞추기 전 수차례 오류가 난 경우가 발견됐다.
토스 외에도 최초 계좌 등록만 하면 6자리 핀 번호를 입력해 결제가 가능한 서비스들이 늘어나면서 보안업계에서는 간편결제 서비스의 핀 번호 인증 방식이 완벽하지 않다는 지적이 꾸준히 제기돼왔다.
한 보안업체 관계자는 “기본 정보인 아이디와 비밀번호를 서비스별로 다르게 조합하고 자주 변경하는 등 기본적인 보안 수칙을 지켜야 하고 지문과 같은 생체인증 방식 수단을 추가로 활용하는 것이 안전하다”고 조언했다.
곽도영 기자 now@donga.com
김자현 기자 zion37@donga.com
비즈N 탑기사
- 김숙 “내 건물서 거주+월세 수입 생활이 로망”
- “20억 받으면서 봉사라고?”…홍명보 감독 발언에 누리꾼 ‘부글’
- 세계적 유명 모델이 왜 삼성역·편의점에…“사랑해요 서울” 인증샷
- “사람 치아 나왔다” 5000원짜리 고기 월병 먹던 中여성 ‘경악’
- “모자로 안가려지네”…박보영, 청순한 미모로 힐링 여행
- 엄마 편의점 간 사이 ‘탕’…차에 둔 권총 만진 8살 사망
- 8시간 후 자수한 음주 뺑소니 가해자…한문철 “괘씸죄 적용해야”
- 교보생명, 광화문글판 가을편 새단장…윤동주 ‘자화상’
- 힐러리 “내가 못 깬 유리천장, 해리스가 깨뜨릴 것”
- ‘SNS 적극 활동’ 고현정…“너무 자주 올려 지겨우시실까봐 걱정”
- HBM의 질주… SK하이닉스 영업익 7조 사상 최대
- 재건축 단지에 현황용적률 인정… 사업성 증가 효과[부동산 빨간펜]
- “롯데百의 미래 ‘타임빌라스’에 7조 투자, 국내 쇼핑몰 1위로”
- 합병 앞둔 SK이노, 계열사 사장 3명 교체… 기술형 리더 발탁
- AI 뛰어든 참치회사 “GPT 활용해 모든 배 만선 만들 겁니다”
- ‘美 공급망 재편 수혜’ 인도 주식에 올해 국내 자금 1.2조 몰려
- “고위험 환자 타비 시술 거뜬… 최초 기록도 다수”[베스트 메디컬센터]
- “아흔 일곱에도 스매싱…79년 테니스 친 덕에 아직 건강해요”
- 차박, 차크닉에 최적화된 전기차 유틸리티 모드
- “두바이 여행한다면 체크”…두바이 피트니스 챌린지