20년 6월 3일 온라인 가맹점 3곳에서 8명의 고객명의로 약 930만원 정도의 금액이 결제되었다. 이는 유출된 개인정보를 도용한 부정결제이며, 결제 방식은 웹 결제 방식으로 필요한 개인정보는 5자리의 PIN 번호와 생년월일 그리고 이름이다.
부정결제된 금액은 모두 환불조치 되었으며 추후에 시스템을 더 고도화 하겠다고 발표했다.
토스의 결제 방식은 아래와 같다. (사전에 Toss 앱이 설치되어 기본 정보가 등록되어 있어야 하며 Toss에는 지불 수단으로 등록된 카드 또는 금액이 있어야 한다.)
마지막에 사용자가 설정한 4자리 숫자 + 1자리 알파벳으로 최종 결제를 승인하게 된다.
그렇다면 여기서 유추해 볼 수 있는 부정결제 방법은 사전에 피해자들의 핸드폰 번호, 성명, 생년월일을 수집하여 결제 수단으로 이용하고 해당 PIN Number 까지 입력해야 한다.
하지만 토스 내부 서버에는 PIN Number는 저장하지 않는다고 하였기 때문에 공격자들이 어떻게 이 PIN Number를 유추하여 결제를 하였는지는 알 수 없었다.
그렇기 때문에 토스에서는 내부 서버 해킹이 발생하지 않았다고 발표한 것이다.
따라서 결론적으로는
1700만명이나 가입한 서비스이며 대부분의 사용자가 20~40대이기 때문에 해당 연령층은 거진 다 사용한다고 생각할 수 있다. 사전준비 작업으로 성명, 핸드폰, 생년월일은 SNS나 다른 서비스에서 수집 가능한 정보들이며 4자리 숫자 + 1자리의 알파벳은 추론이 완전 불가능한 정보들이 아니기 때문에 이런 부정 결제가 가능했다고 생각한다.
개인적인 대응 방안으로는 PIN Nubmer의 자릿수를 늘리고, 웹에서의 결제를 앱과 연동으로만 가능하게 해서 핸드폰 정보까지 확인하도록 해야 한다고 생각한다.