NSP통신

토스 앱 캡처.

(서울=NSP통신) 강수인 기자 = 토스 앱이 켜지는 순간 별도의 로그인 없이 내가 보유한 자산 정보가 노출된다. 별도의 ‘로그아웃’이 없기 때문이다. 어느 금융사에 얼마나 많은 금액이 있는지 한 눈에 확인이 가능기 때문에 업계는 고액 자산을 노린 금융 범죄의 타깃이 될 수 있다고 지적했다. 이에 대해 토스는 “고객들이 원하는 대로 단계별 보안 설정이 가능하다”는 입장이다.

28일 토스는 별도의 로그아웃 기능이 없는 것과 관련해 “고객들에게 보안에 대한 선택지를 제공해드림으로써 기존은행사와 동일한 사용자환경을 만들고 싶은 고객은 그렇게 설정할 수 있고 그렇지 않은 고객은 처음 진입은 허락하지만 실제 내 계좌를 들여다보는 과정부터 보안을 적용하는 것을 선택할 수 있다”며 “금융소비자들의 선택지를 보장한다”고 밝혔다. 즉 고객이 선택한 보안 단계에 발생하는 문제는 고객들에게 책임을 전가한다는 것이다.

통상 은행 앱, 카드 앱 등 금융사의 앱들은 실행할 때마다 로그인을 해야 한다. 앱 사용 중에도 일정 시간 동안 앱이 열린 채 고객의 활동이 없으면 자동으로 앱이 잠겨 재로그인을 해야 한다. 이는 고객의 선택이 아닌 앱의 디폴트(자동 지정) 환경이다.

그러나 토스는 다르다. 토스 앱은 언제든 열려있다. 별다른 로그인 과정이 없이 앱을 열 수 있고 앱이 열리면 고객이 보유한 계좌들의 자산(저축, 증권 등), 투자, 소비금액 등을 확인할 수 있다. 앱의 첫 화면에 표시되기 때문이다. 다만 계좌번호는 노출되지 않는다.

실제로 토스 고객센터 채팅 상담으로 “토스에는 로그아웃 기능이 왜 없나”라고 물어보니 토스는 “로그아웃의 기능이 제공되지 않으며 번거롭겠지만 로그아웃을 원하면 토스 앱을 삭제 후 재설치해 ‘휴대폰 인증’ 후 로그인이 가능하다”는 답변을 내놨다.

즉 토스를 처음 설치했을 때 본인 명의 휴대전화 인증이 되면 그 이후론 로그아웃 없이 앱이 항상 ‘열린’ 상태가 되는 것. 내 휴대전화가 타인의 손에 있다면 그 타인은 내 자산 내역을 토스 앱 클릭 한 번으로 확인할 수 있다.

최근 업데이트를 한 경우 ‘앱을 열 때마다 비밀번호 인증할까요?’라는 팝업창이 뜬다. 고객이 인증을 하면 앱을 실행할 때마다 로그인을 해야 한다. 토스는 이를 ‘고객의 선택’에 맡겼고 타 은행이나 카드사 등 금융사들은 ‘필수’로 지정했다.

토스 관계자는 “‘설정’ 메뉴에 ‘첫 화면 설정’에 들어가면 고객이 원하는 수준으로 보안을 3단계 설정이 가능하다”며 “3단계 설정은 앱을 실행할 때마다 보안을 확인하도록 하는 것”이라고 답했다.

이와 관련해 은행 실무자는 토스의 보안이 취약해 금융범죄의 위험에 노출될 수 있다고 지적했다.

한 은행권 실무자는 “금융사 앱은 기본적으로 앱을 닫으면 자동으로 로그아웃이 되는 구조”라며 “앱이 열린 채 시간이 조금만 흘러도 자동으로 로그아웃이 되거나 로그인을 연장할 것인지 묻는 화면이 뜬다”고 말했다. 이는 고객의 선택에 맡길 문제가 아니라는 뜻이다.

그러면서 토스의 이같은 구조에 대해 “별도의 로그인 없이도 앱 클릭 한 번으로 타인이 내 소비금액, 통장 잔액뿐 아니라 어떤 통장에 얼마나 잔액이 있는지 확인할 수 있다는 것”이라며 “휴대전화를 잃어버린 경우나 휴대전화를 두고 잠시 자리를 뜬 경우 내 자산에 대한 정보들이 노출되기 쉬워 금융 범죄에 타깃이 될 위험이 있다”고 지적했다.

이에 대해 토스 관계자는 “휴대전화의 보안 설정이 어떻게 돼 있냐에 따라 토스 앱의 보안이 달라진다”며 “휴대전화에 아무런 보안을 설정하지 않은 경우에는 디바이스 상태를 인지하고 앱에서는 락(잠금)이 걸린다”고 설명했다.

NSP통신 강수인 기자 sink606@nspna.com
저작권자ⓒ 한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 금지.