[123rf]

[헤럴드경제=홍태화·박자연 기자] ‘간편결제가 간편 피싱이 됐다’

모바일 금융 서비스 ‘토스’에서 페이스 인증 결제 방식을 활용한 보이스피싱(voice phishing)이 이뤄지면서 간편결제에 대한 불안감이 커지고 있다. 조기에 관련 우려를 해소치 못할 경우 ‘간편한 결제’를 무기로 급성장하던 핀테크 산업에 된서리가 내릴 것이란 우려도 나온다. 특히 올해 11월부터는 가장 강력한 보안체계였던 공인인증서가 폐지된다. 금융위 측은 문제 발생부분에 대해 세심하게 점검토록 하겠다고 밝혔다.

올 2월 한 토스 고객은 자신을 서울지방검찰청 직원이라고 밝힌 보이스피싱범으로부터 토스에 연동된 계좌를 알려달라고 했다. 비밀번호를 알려주는 것이 아닌만큼 큰 의심을 품지 않았으나 이후 토스를 통해 200만원이 결제됐다는 알림 메시지를 받았다. 결제는 페이스 인증으로 이뤄졌다.

토스측은 보이스피싱범이 고객에게 ‘휴대전화를 쳐다보라’고 유도한 것으로 추정한다. 그러면서 생체인증이 뚫린 게 아니라 악용된 것이란 점을 강조했다. 피해자가 당황한 나머지 결제가 시도되고 있다는 메시지를 지나친 것 같다는 점도 강조했다.

인증 자체가 뚫린 것은 아니지만 인증과정이 너무 쉽고 빨라진 게 문제다. 현재 공인인증서가 아닌 인증서들은 대다수가 간편비밀번호(PIN번호) 또는 생체인증을 통해 편의성을 강조하고 있다. 이동통신사 3사가 인증서인 '패스(PASS)'는 생체인증이 가능하고 카카오페이 인증서도 지문과 홍채 등을 통해 인증이 이뤄진다. 은행권이 협업해 만든 '뱅크사인' 인증도 생체인증 프로세스 도입을 진행 중이다. 공인인증서가 폐지되는 11월부터는 아주 쉽고 빠른 인증 만으로 결제가 이뤄질 수 있다.

심지어 공인지위를 가졌던 인증서들도 간편인증을 할 수 있게 서비스 개편을 시도하면서 생체인증 등 ‘간편인증’에 관한 보안 우려에서 자유롭지 않다. 공인인증기관 중 가장 사용자가 많은 금융결제원 역시 생체인증 도입을 검토하고 있기 때문이다.

임종인 고려대학교 정보보호대학원 교수는 “민간인증서들은 가입절차도 간단하기 때문에 보안 점검을 철저하게 해야한다”고 말했다.

김형중 고려대학교 정보보호대학원 교수는 “원래 생체인증은 보조수단에 불과하다”면서 “편리함을 제공하는 것은 맞지만 보안을 중시하려면 패스워드와 생체인증을 이중으로 실시하는 시스템이 갖춰져야 한다”고 조언했다. 김 교수는 “인증서가 뚫릴 경우를 대비한 보험 등도 고민을 해볼 필요가 있다”고 덧불였다.

금융위측은 토스측의 잇따른 사고에 대해 ‘사고 경위 파악’이 우선이라고 설명하고 있다. 금융위가 공을 들인 핀테크 산업이 사고로 인해 위축될 가능성을 우려하는 모습이다.

금융위 관계자는 “차분하게 사고 경위를 파악중이다. 이제와서 다시 공인인증서로 돌아갈 수는 없는 일 아니겠느냐”고 말했다.

nature68@heraldcorp.com