가입자 8명 총 938만원 피해
토스 “명의도용… 정보유출 없어”

‘토스도 털렸다.’

1700만 가입자를 보유한 국내 간편결제 서비스 1위인 토스에서 명의 도용으로 938만 원의 이용자 피해가 발생하면서 5자리 또는 6자리 핀(PIN) 번호만 눌러 결제하는 간편결제 서비스의 안전성에 우려가 커지고 있다. 보안업계에서는 비밀번호를 알아낼 때까지 컴퓨터 프로그램을 활용해 무작위 숫자를 대입하는 ‘크리덴셜 스터핑’ 방식을 통한 범죄 가능성을 제기한다.

9일 토스에 따르면 3일 게임사 등 온라인 가맹점 세 곳에서 총 8명의 가입자 명의가 도용돼 부정 결제가 이뤄졌다. 토스 측은 이날 “해당 이용자들의 신상정보와 비밀번호를 제3자가 도용해 부정결제가 발생했으며 토스에서 유출된 정보는 없다. 피해 금액은 전액 환불됐다”고 밝혔다.

결제에 필요한 정보는 토스 애플리케이션(앱) 로그인을 위한 아이디와 비밀번호, 로그인 이후 결제 시에 입력해야 하는 이름과 생년월일, 전화번호, 5자리 핀 번호다. 토스 측은 “최초 개인정보 유출이 어디서 이뤄졌는지, 어느 부분까지 이뤄졌는지는 알 수가 없다”는 입장이다.

보안업계에 따르면 최근 다른 온라인 부정 결제 사례에서도 크리덴셜 스터핑 방식이 빈번하게 사용돼 왔다. 아이디와 비밀번호, 이름, 생년월일 정도의 개인정보는 카드사, 통신사의 개인정보 유출 사고 등을 통해 다크웹(특수 브라우저를 통해 접속하는 어둠의 인터넷)에서 많이 거래되고 있다. 이들 정보를 넣고 컴퓨터 프로그램으로 무작위로 숫자를 대입해 핀 번호가 맞춰지면 부정 결제의 타깃이 되는 식이다.