잠금이 해제된 분실 스마트폰에서 모바일 금융 서비스 '토스'를 이용해 돈을 빼가는 사건이 발생했다.

15일 금융업계에 따르면 직장인 A 씨는 휴대전화를 분실했다가 되찾은 뒤, 자신의 계좌에서 150만 원이 빠져나간 사실을 알게 됐다. 분실 휴대전화를 입수한 누군가가 토스 비밀번호를 바꾼 뒤 돈을 송금한 것이다.

토스는 비밀번호를 변경을 위해 고객 명의의 시중은행 계좌로 1원을 송금하면서 임의의 3자리 숫자를 보내는 본인확인 과정을 거치는데, 잠금이 풀린 휴대전화를 통해 인증번호가 그대로 전송됐다.

잠금이 풀린 휴대전화를 습득하면 비밀번호 변경과 송금까지 손쉽게 이뤄질 수 있다는 점에서 토스의 보안상 허점이 다시 논란이 되고 있다. 시중은행 모바일 어플리케이션(App)은 비밀번호 재설정을 위해 생체인증이나 공인인증서 로그인, 신분증 촬영 등 추가 절차가 필요하다.

토스에서는 지난 6월 총 938만 원 규모의 부정 결제가 발생해 환급 조치를 시행한 바 있다. 토스는 해당 사고 이후 "추가 인증이 필요한 '앱 결제' 방식으로 전환 중"이라고 밝혔지만 분실 휴대폰으로 결제를 하는 사고를 막지는 못했다.

토스를 운영하는 비바리퍼블리카는 해당 사고 이후 명의도용·보이스피싱으로 인한 금전적 피해를 전액 보상하는 '고객 피해 전액 책임제'를 시행한다고 밝혔으며, A 씨에게도 보상을 완료한 상태다.

비바리퍼블리카 관계자는 "피의자가 잠금이 돼 있지 않은 휴대전화를 탈취한 뒤 토스 앱을 이용해 송금한 것으로 파악됐다"며 "안심하고 사용할 수 있도록 인증 프로세스를 지속적으로 고도화하겠다"고 밝혔다.

KPI뉴스 / 양동훈 기자 ydh@kpinews.kr

[ⓒ KPI뉴스. 무단전재-재배포 금지]