토스 부정결제 도용 사고에, 마이데이터·페이사업 '비상'

부정결제로 핀테크 보안 문제 대두

오는 8월 마이데이터 본격화 앞두고

사업 차질 빚을까 전전긍긍

개별 보안시스템 강화에 집중

토스 탈퇴 화면에 뜨는 안내문./출처=토스앱 캡처

모바일 결제서비스 토스 관련 부정결제 사고가 발생하면서 토스 이용자들의 탈퇴 러시가 이어지자 핀테크 업계가 노심초사하는 분위기다. 이번 사고로 핀테크 보안시스템 취약점이 대두되면서 오는 8월 본격적으로 막이 오르는 마이데이터 사업에 영향을 줄 수 있다는 우려 때문이다. 특히 이번 기회에 고객의 돈을 송금하고 결제하는 핀테크 업체들의 보안시스템을 강화해야 한다는 목소리도 높다.

━

마이데이터 사업에 불똥 튀나

토스의 부정결제 사고로 핀테크 업계는 당장 오는 8월 정식 허가 절차가 시작되는 마이데이터 사업에 불똥이 튀지 않을까 우려의 목소리가 높다. 마이데이터 사업의 신규 진출을 계획 중인 한 기업의 관계자는 “아무래도 당국에서 마이데이터 사업 인허가를 심사할 때 업체의 보안 시스템을 더 꼼꼼하게 들여다볼 것”이라며 “회사에서도 이에 준비를 해야겠지만 이번 일로 마이데이터 사업이 위축될까 걱정이다”라고 말했다.

마이데이터 사업이란 은행·보험사·카드사 등이 보유한 개인신용정보를 손쉽게 관리할 수 있는 서비스다. 기존에는 금융회사별로 흩어져 있던 각종 신용정보를 한 곳에서 확인해 투자·소비·지출 등을 분석하고 맞춤형 금융상품을 추천하는 게 특징이다. 그러나 이번 토스 사고로 편리함보다 보안에 대한 불안이 더 큰 이슈로 자리잡게 됐다.

금융당국은 당장 마이데이터사업의 보안책을 강화할 계획은 없다는 입장이다. 이미 사업안을 짜는 과정에서 기존보다 강화된 보안책을 설정했기 때문이다. 금융당국은 사용자 100만명 이상을 확보한 마이데이터 사업자를 대상으로 금융보안원의 보안관제센터를 필수적으로 가입하도록 규정했다. 금융보안관제센터는 365일 24시간 전자 침해행위를 탐지분석해 이상행위가 발견되면 다른 기업에도 공유해 피해를 줄이는 역할을 한다. 회사별 자체적으로 구축한 보안시스템에 금융보안원의 보안관제까지 더해 보안을 강화한 셈이다.

토스 역시 마이데이터 사업을 준비해온 만큼 이번 사고가 토스의 인허가에 영향을 미칠 지도 관건이다. 금융당국의 한 관계자는 “보안 관련 사고 유무가 인허가 과락을 결정하지는 않는다”며 “회사의 보안 관련 전반적인 것을 보고 결정하게 될 것”이라고 언급했다. 마이데이터 사업의 구체적인 인허가 기준, 신청방법 등은 오는 29일 열릴 설명회에서 공개될 예정이다.



업계와 금융당국 모두 마이데이터 사업의 보안이 현재보다 더 높다고 입을 모았지만 이용자들의 불안을 잠재우기에는 역부족으로 보인다. 5년 간 토스를 사용했다가 최근 탈퇴했다는 한 이용자는 “토스로 모든 은행 계좌를 다 연동해서 사용했는데 이번 사고 보니 불안해졌다”며 “은행, 카드, 보험 등을 다 연결하는 서비스도 개인정보 도용 문제에서 자유로울 수 없으면 선뜻 사용하기 어려울 것”이라고 했다.

━

페이시장 보안시스템 강화 비상

페이 서비스를 제공 중인 핀테크업체도 보안시스템 강화에 비상이 걸렸다. 핀테크를 비롯해 대부분의 금융사들은 FDS(이상금융거래탐지시스템)을 갖추고 있는데 토스의 이번 부정결제 사고 당시 이 시스템이 제대로 작동하지 않은 것으로 알려지면서 핀테크의 FDS 취약점이 지적되고 있기 때문이다. 토스 관계자는 “부정결제 사고 4건을 먼저 접수 받은 후 나머지 4건은 자체적으로 발견해 선제적으로 조치를 취했다”고 설명했다.

FDS의 경우 신용평가시스템처럼 금융사의 데이터 역량에 따라 차이가 크다. 카드사 등 기존 금융권은 투자 비용이 넉넉한데다 보안 데이터까지 방대해 시스템이 상대적으로 고도화돼 있는 상황이다. 하지만 기존 금융사보다 보유 데이터가 적은데다 투자에도 한계가 있어 FDS 수준이 낮을 수 밖에 없다. 금융권의 한 관계자는 “토스는 손꼽히는 핀테크지만 대형 금융사와 비교하면 FDS 차이가 크다”며 “비교적 규모가 큰 토스의 보안시스템도 미비한 점이 많다는 점을 고려하면 다른 핀테크들의 보안 체계는 상대적으로 더 허술할 수밖에 없다”고 설명했다.

특히 금융감독원이 최근 부정 결제 사고와 관련해 토스를 운영하는 비바리퍼블리카에 대한 조사에 착수하면서 개별 핀테크들은 자체 보안시스템을 강화하는 분위기다. 핀테크업계의 한 관계자는 “업체들이 자체 보안시스템을 정기적으로 강화하고 있는데 이번 사고로 고도화에 집중하고 있다”며 “보안팀을 강화하고 24시간 상시 점검 체계를 만드는 등 조치를 취하고 있는 상황”이라고 말했다.
/김지영·이지윤기자 lucy@sedaily.com