편리한 앱 하나에 월급통장부터 공과금, 적금, 카드 대금까지 모조리 묶어두는 게 과연 현명한 선택일까요? 저도 오래 그렇게 살아왔는데, 지난 1일 토스 자동이체 중복 출금 사고를 접하고 처음으로 이 질문을 진지하게 떠올렸습니다. 1만 5,000여 명, 약 21억 4,000만 원 규모의 피해가 확인된 이번 사고는 단순한 전산 오류 그 이상의 문제를 건드리고 있습니다.
이번 한 번이 아니었다: 올해 반복된 토스 전산사고
솔직히 처음엔 '나는 괜찮겠지'라는 생각으로 앱을 켰습니다. 저도 이른바 토스 헤비 유저라 이체 내역과 잔액을 샅샅이 확인하지 않을 수 없었는데, 다행히 제 계좌는 피해가 없었습니다. 하지만 직장인 단톡방은 그야말로 난리가 났더라고요. "카드 값이 이중으로 빠져나가서 다른 통장이 잔액 부족이 됐다", "전세자금대출 이자가 두 번 출금됐다"는 메시지가 쏟아졌습니다.
이번 사고는 오후 2시 2분부터 약 40분 동안 자동이체(Auto Transfer) 시스템에서 중복 출금이 발생한 건입니다. 자동이체란 고객이 미리 설정해 둔 날짜와 금액에 따라 금융기관이 자동으로 송금을 처리하는 기능으로, 카드 대금·공과금·대출 이자처럼 반복적이고 정기적인 지출에 주로 활용됩니다. 이 핵심 기능에서 총 2만 1,000여 건의 중복 처리가 발생했다는 것 자체가 시스템의 기초적인 정합성 검증 로직, 즉 한 건의 이체가 실제로 완료됐는지 확인하는 내부 검증 절차에 심각한 허점이 있었음을 드러냅니다.
더 우려되는 점은 이번이 올해 첫 번째 사고가 아니라는 것입니다. 지난 3월, 토스뱅크 앱에서 엔화 환전 시 환율이 절반 수준으로 잘못 적용되는 사고가 터졌고, 손실 금액은 100억 원대로 추산됩니다. 토스증권에서도 한국콜마의 실적 데이터를 MTS(모바일트레이딩시스템)에 오표기하는 사고가 있었습니다. MTS란 스마트폰이나 태블릿으로 주식을 거래하고 실적·공시 정보를 확인하는 모바일 전용 거래 플랫폼으로, 투자 판단의 핵심 정보를 제공하는 창구입니다. 여기서 매출과 영업이익 수치가 뒤바뀌어 표기됐다면 투자자 입장에서는 단순한 실수로 넘기기 어렵습니다.
올해 토스 계열사에서 반복된 주요 전산 사고를 정리하면 다음과 같습니다.
- 3월: 토스뱅크 엔화 환전 환율 오적용, 손실 추산 100억 원대
- 5월: 토스증권 한국콜마 실적 오표기 (매출·영업이익 수치 혼선)
- 7월 1일: 토스 자동이체 중복 출금, 피해 1만 5,000명·약 21억 4,000만 원
토스는 이번 중복 출금 건에 대해 별도 신청 없이 전액 선지급 방식으로 즉각 환급 처리했습니다. 대응 속도 자체는 빠른 편이었고, 그 점은 인정합니다. 그런데 퇴근길에 문득 이런 생각이 들었습니다. 만약 다음엔 출금 두 번이 아니라 잔액이 사라지거나 송금처가 바뀌는 더 큰 사고가 터진다면? 그때도 선지급으로 해결이 될까요?
매출은 2배, 보안 투자는 제자리: 성장만 좇는 핀테크의 민낯
여기서 한 가지 짚고 싶은 숫자가 있습니다. 토스증권의 2024년 매출은 전년 대비 2배 가까이 급증했습니다. 그런데 같은 기간 정보 보호 투자 증가율은 고작 1% 수준에 그쳤고, 보안 인력도 거의 그대로였습니다. 제 경험상 이건 좀 다릅니다. 어떤 서비스든 처리하는 거래량과 고객 수가 두 배로 늘면, 그에 비례해서 시스템 부하와 공격 표면(Attack Surface)도 함께 커집니다. 공격 표면이란 외부 침입자나 내부 오류가 시스템에 영향을 줄 수 있는 모든 진입 경로의 총합을 의미합니다. 이 표면이 넓어졌는데 방어 투자를 제자리에 묶어둔다면, 사고는 예외가 아니라 필연입니다.
금융당국 역시 이 흐름을 예의주시하고 있습니다. 금융감독원은 올해 3월 소비자위험대응협의회를 통해 "관리 부실로 인한 전산 사고가 발생할 경우 확실한 금전적 페널티를 부과하겠다"는 입장을 분명히 밝혔습니다(출처: 금융감독원). 이는 단순한 경고가 아니라 제재 리스크(Regulatory Risk)의 현실화를 예고하는 메시지입니다. 제재 리스크란 규제 기관이 법적·행정적 제재를 통해 기업에 실질적인 금전적·영업적 불이익을 부과할 가능성을 가리키는 개념으로, 핀테크 기업이 성장세를 유지하면서도 반드시 관리해야 할 위험 요소 중 하나입니다.
핀테크(FinTech)란 금융(Finance)과 기술(Technology)의 합성어로, 모바일 앱이나 플랫폼을 통해 기존 금융 서비스를 더 간편하게 제공하는 산업 전체를 일컫습니다. 토스가 대한민국 핀테크 혁신의 대표 주자로 성장할 수 있었던 것은 복잡한 은행 업무를 손가락 몇 번으로 해결하게 만든 덕분입니다. 하지만 제가 직접 오랫동안 써봤는데, 요즘은 솔직히 그 '편리함'이 '괜찮겠지'라는 막연한 신뢰에 기대고 있었던 건 아닐까 싶은 생각이 듭니다.
사고가 날 때마다 재발 방지를 약속하면서도 같은 유형의 오류가 반복되는 상황은, 시스템 인프라에 대한 근본적인 투자 없이 사과문과 빠른 보상으로 무마해온 결과일 수 있습니다. 금융위원회 전자금융감독규정에 따르면 금융회사는 전산 장애 발생 시 즉각적인 원인 분석과 재발 방지 대책 수립 및 보고 의무를 지닙니다(출처: 금융위원회). 의무는 있는데 실효성 있는 이행이 이루어지고 있는지, 이번 사고는 다시 한번 물음표를 남겼습니다.
결국 저는 이번 사고를 계기로 통장 분산을 진지하게 검토하기 시작했습니다. 하나의 플랫폼에 모든 자동이체와 자산 흐름을 집중하는 방식이 편리하긴 해도, 단일 장애점(Single Point of Failure), 즉 한 곳의 오류가 전체 금융 생활을 흔드는 취약 구조라는 사실을 이번에 다시 실감했습니다. 토스가 외형 성장에 쏟는 자원의 일부를 인프라 안정성과 보안 인력 확충에 과감히 투자하지 않는다면, 편리함에 붙은 신뢰의 무게를 계속 버텨내기는 어려울 것입니다.
이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 금융 조언이 아닙니다. 금융 의사결정은 반드시 공신력 있는 전문가와 상담하시기 바랍니다.
참고: https://www.mydailybyte.com/post/%ED%86%A0%EC%8A%A4-%EC%A0%84%EC%82%B0-%EC%82%AC%EA%B3%A0-2606