“해킹 맞아?”…토스 범인은 왜 ‘비번’을 잘못 입력했나

가 +
가 -

‘해킹’이라면 왜 비밀번호를 여러 번이나 잘못 입력했을까.

8일 언론에 보도된 토스 부정 결제 사건에 대해 <블로터>가 추가 취재한 결과, 토스 계정 도용 범인은 피해자들의 비밀번호 일부를 확보한 뒤 이를 무작위 대입한 것이라는 정황이 드러났다.

현재까지 조사된 내용에 따르면 범인이 이용한 게임 사이트 로그에는 결제 진행 중 비밀번호를 잘못 입력한 흔적이 다수 남아있는 것으로 나타났다. 토스의 결제 비밀번호는 숫자 네 자리에 영문자 하나를 섞은 5글자 핀(PIN)으로 구성된다.

토스 측 설명대로 비밀번호 해킹이 이뤄졌다면 범인은 전체 비밀번호를 알고 있었을 가능성이 높다. 그렇다면 이를 여러 차례 잘못 입력하는 일은 발생하기 어렵다.

바꿔 말하면, 범인은 전체 비밀번호가 아닌 일부만 알고 있었을 가능성이 높다는 것을 의미한다. 피해자가 자주 쓰는 숫자 네 자리 비밀번호를 범인이 어떤 경로로 확보한 후, 알파벳 하나를 무작위 대입해 도용에 성공했다는 시나리오를 떠올려 볼 수 있다.

토스 관계자는 “도용된 개인정보를 활용한 부정 결제를 전부 막진 못했지만, 일부는 토스의 이상거래 감지 시스템(FDS)에 의해 차단된 건도 확인됐다”고 밝혔다. 토스는 이번 부정 결제 사건에 대해 피해금액 938만원을 전액 환급 조치했으며 웹 결제 가맹점 점검, 자체 FDS 고도화 등에 대해 약속했다.

현재 구체적인 정보 유출 과정이나 범인 등은 서울 노원경찰서에서 수사 중이다. 비밀번호 오입력 기록을 제외하곤 아직 추가 정황이나 범죄 경로 특정 등은 이뤄지지 않은 상황이다.

앞서 토스는 8일 늦은 밤 발생한 개인정보 도용 부정 결제 사건으로 8명의 토스 이용자가 총 938만원에 달하는 피해를 입는 사건을 겪었다. 이는 ‘토스가 해킹당했다’는 소문으로 퍼졌고 이용자들의 불안감도 큰 상태다.

그러나 토스 측은 이번 사건이 내부 시스템 해킹이나 개인정보 유출과는 전혀 무관하다는 점을 거듭 강조하고 있다. 또한 토스는 9일 오전 발표한 입장문을 통해 결제에 필요한 비밀번호는 토스 서버에 저장되지 않는다고 덧붙였다.