‘나도 모르게 결제?’ 토스도 털렸다…크리덴셜 스터핑에 당했나

동아일보DB

‘토스도 털렸다.’

국내 간편결제 사용자 수 1위 서비스인 토스에서 명의 도용으로 938만 원어치의 이용자 피해가 발생하면서 5자리 또는 6자리 핀(PIN) 번호만 눌러 결제하는 간편결제 서비스의 안전성에 우려가 커지고 있다. 보안업계에서는 비밀번호를 알아낼 때까지 컴퓨터 프로그램을 활용해 무작위 숫자를 대입하는 ‘크리덴셜 스터핑’ 방식을 통한 범죄 가능성을 제기한다.

9일 토스에 따르면 3일 게임사 등 온라인 가맹점 세 곳에서 총 8명의 가입자 명의가 도용돼 부정결제가 이뤄졌다. 게임 아이템은 온라인 거래 시장이 형성돼 있어 환금성이 높다. 토스 측은 이날 “해당 이용자들의 신상정보와 비밀번호를 제3자가 도용해 부정결제가 발생했으며 토스에서 유출된 정보는 없다”고 밝혔다. 피해 금액은 전액 환불됐고 금융감독원은 이날 사고원인 조사에 착수했다.

부정결제에 필요했던 정보는 토스 애플리케이션(앱) 로그인을 위한 아이디와 비밀번호, 로그인 이후 결제 시에 입력해야 하는 이름과 생년월일, 전화번호, 5자리 핀 번호다. 토스 측은 “최초 개인정보 유출이 어디서 이뤄졌는지, 어느 부분까지 이뤄졌는지는 알 수가 없다”는 입장이다.

보안업계에 따르면 최근 다른 온라인 부정결제 사례에서도 크리덴셜 스터핑 방식이 빈번하게 발생해 왔다. 아이디와 비밀번호, 이름, 생년월일 정도의 개인정보는 카드사, 통신사의 개인정보 유출 사고 등을 통해 다크웹(특수 브라우저를 통해 접속하는 어둠의 인터넷)에서 빈번하게 거래되고 있다. 이들 정보를 넣고 컴퓨터 프로그램으로 무작위로 숫자를 대입해 핀 번호가 맞춰지면 부정결제의 타깃이 되는 식이다. 토스에 따르면 이번 피해사례에서도 핀 번호를 맞추기 전 수차례 오류가 난 경우가 발견됐다.

토스 외에도 최초 계좌 등록만 하면 6자리 핀 번호를 입력해 결제가 가능한 서비스들이 늘어나면서 보안업계에서는 간편결제 서비스의 핀 번호 인증 방식이 완벽하지 않다는 지적이 꾸준히 제기돼왔다.

한 보안업체 관계자는 “기본 정보인 아이디와 비밀번호를 서비스별로 다르게 조합하고 자주 변경하는 등 기본적인 보안 수칙을 지켜야 하고 지문과 같은 생체인증 방식 수단을 추가로 활용하는 것이 안전하다”고 조언했다.

곽도영 기자 now@donga.com
김자현 기자 zion37@donga.com