극강의 편의성 내세운 카카오페이·토스, 보안에 발목잡힐까

간편 인증이나 비밀번호 재입력 없이도 쉽게 이체할 수 있게 해 고객몰이를 했던 핀테크들이 해킹으로 인한 부정 결제 피해로 보안 문제 해결에 고심하고 있다.

일차원적으로 카카오페이와 토스 등 국내 대형 핀테크 업체들은 개인정보 도용이나 보이스 피싱 등 고객 고의성이 없음이 증명되면 피해 금액을 전액 보상하는 정책을 시행 중이다.

그러나 이 같은 정책은 고객이 직접 고의성이 없음을 증명해야 하며, 기준도 아직은 애매한 것이 많아 보안성 강화가 근본적으로 필요하다고 업계는 보고 있다.

19일 토스를 운영하는 비바리퍼블리카는 최근 지갑과 스마트폰을 분실해 토스를 통해 150만원이 타인에게 출금된 고객에게 150만원을 전액 보상했다고 밝혔다.

이 고객은 스마트폰과 토스의 애플리케이션(앱)에 별도 잠금조치를 하지 않았고, 스마트폰을 부정 취득한 자는 토스 간편 이체로 150만원을 탈취했다. 피해 고객은 토스에 문의했고, 토스 측은 내부 조율을 거쳐 150만원을 고객에게 보상했다. 

토스 측은 "고객센터에 첫 문의가 접수됐을 때 상담직원이 토스가 운영하는 '고객 피해 전액 책임제'의 기준에 해당하는지 헷갈려했지만, 내부 조율을 거쳐 보상을 결정했다"고 설명했다.

고객 피해 전액 책임제는 가족 또는 지인이 아닌 제3자의 명의 도용으로 일어난 송금·결제·출금 등의 피해나 이용자의 고의 및 중과실로 벌어지지 않은 보이스 피싱 사고에 대한 피해 금액을 100% 보상하는 제도다. 사고 발생 후 30일 내 신고하면 내부 절차를 거쳐 피해액을 고객에게 돌려준다.

이번 지갑 및 스마트폰 분실은 명의 도용이나 보이스 피싱에 해당하지 않지만, 토스는 간편 이체 비밀번호를 쉽게 바꿀 수 있다는 점과 고객 고의성이 없다는 점에 주목했다고 설명했다. 

토스 관계자는 "편의성과 보안을 동시에 잡기 쉽지 않은 면이 있다"며 "고객이 범죄 사실 증명서를 제출했고, 150만원을 탈취해 간 피의자가 이 돈을 주기 어려운 사정이라고도 들었다"고 말했다.

카카오페이도 개인 정보 도용, 보이스 피싱 등에 대한 보상책을 운영 중이다. 개인 정보 도용이나 보이스 피싱 등의 사례가 접수되면 외부 수사기관에 의뢰를 안내함과 동시에 카카오페이가 자체 사고 조사 후 피해자에게 최대 2주 안에 선보상 여부를 결정해 통보하는 방식이다. 카카오페이도 지난 8월 개인 정보 도용 등으로 인한 부정결제가 발생한 바 있다.

카카오페이 측은 "과거엔 사고 발생에 대한 원인 규명이 쉽지 않고, 최종 수사 결과 확인 후 보상 등 실질적인 피해자 구제가 이뤄지기까지 시일이 소요됐다"면서 "현재는 선량한 피해자의 경우 보상하고 추가 피해 방지를 위한 고객 사후 관리를 진행하는 세부 정책"이라고 언급했다.

이 같은 선보상 정책은 은행업계에선 찾아보기 힘들다. 토스 앱과 달리 은행 앱은 접속에도 별도 인증 과정을 요구한다. 비밀번호 변경 시엔 추가 인증 수단이 필요하기 때문이다. 

핀테크 업계가 은행 앱과 다르게 편의성이 높다는 점을 내세웠는데 보안 문제에 발목을 잡히는 모양새다. 금융업계 관계자들은 "선보상 정책은 기준이 애매모호한 점도 있고 악용될 여지도 있기 때문에 근본적으로 보안성을 강화하기 위해 투자를 확대해야 한다"고 조언했다.

다만, 카카오페이와 토스 측은 내부적으로도 보안성을 높이기 위해 노력을 기울이고 있다고 설명했다.

관련기사

카카오페이는 "2015년부터 자체 기술로 빅데이터·인공지능(AI) 기반의 이상거래감지시스템(FDS)도 구축했다. 또 금융보안원의 정보보호·개인정보 관리체계 통합인증을 획득했다"며 "마음 편히 금융 서비스를 이용할 수 있도록 보다 적극적인 관리 체계를 마련해 기업의 사회적 책임을 다하겠다"고 강조했다.

토스 측은 "고객 피해 전액 책임제 기준은 악용될 여지가 많아 공개하지 않지만, 토스는 국제표준화기구(ISO) 및 국제전기기술위원회(IEC)에서 제정한 정보보호 및 개인정보보호 관리체계의 국제표준인증 등을 획득했다"고 밝혔다.