금감원, ‘기본적 통제 미흡’ 경고…3개월 새 계열사 전산 오류 반복

R&D 비용 3천억 쏟고도 ‘중복 출금’ 망신…외형 확장에 묻힌 금융 안정성

이승건 대표가 이끄는 비바리퍼블리카(토스)가 ‘금융 혁신’과 ‘철벽 보안’을 전면에 내세우며 몸집을 키우고 있지만, 정작 금융의 본질인 전산 안정성에서는 치명적인 허점을 드러내고 있다.

최근 발생한 21억 원 규모의 자동이체 중복 출금 사고를 두고 금융당국이 “기본적인 내부통제조차 미흡하다”며 이례적인 경고장을 날리면서, 이 대표의 ‘슈퍼앱’ 전략이 내실 없는 외형 성장에만 치중하고 있다는 지적이 나온다.

26일 업계에 따르면 금융감독원은 지난 24일 비바리퍼블리카와 토스페이먼츠 등 빅테크 CIO(최고정보책임자)를 긴급 소집해 IT 내부통제 강화를 주문했다.

지난 1일 토스 앱에서 약 40분간 1만 5,000명의 고객 돈 21억 4,000만 원이 중복으로 빠져나간 사고를 ‘기본적 통제 미흡으로 인한 대형 전산사고’로 규정한 것이다.

■ “보안 1등” 외치더니…’중복 출금’이라는 초보적 전산 오류

토스는 그간 사업보고서를 통해 “세계 3대 해킹방어대회를 석권한 화이트해커 중심의 레드팀(Red team)을 운영한다”거나 “24시간 365일 무중단 서비스를 위해 액티브-액티브(Active-Active) 방식의 이중화 인프라를 갖췄다”고 자부해 왔다.

하지만 이번 사고는 화려한 기술력과는 거리가 먼, 프로그램 변경 시 제3자 검증이나 충분한 사전 테스트가 빠진 ‘초보적’ 연동 오류에서 비롯된 것으로 밝혀졌다.

특히 이번 사고는 지난 3월 토스뱅크에서 발생한 ‘엔화 반값 환전’ 사태 이후 불과 석 달 만에 터진 계열사 전산 사고라는 점에서 문제가 심각하다.

토스는 2025년 기준 매출액의 약 11.9%에 달하는 3,223억 원을 연구개발(R&D)비로 쏟아부었지만, 정작 결제와 이체라는 금융의 가장 기초적인 시스템조차 완벽히 통제하지 못하고 있다. 금감원은 이를 두고 “전통 금융회사 이상의 IT 안정성을 확보해야 한다”며 빅테크의 안일한 보안 의식에 직격탄을 날렸다.

■ 공격적 문어발 확장에 구멍 난 내실…이승건의 ‘슈퍼앱’ 딜레마

업계에서는 이승건 대표가 추진해 온 공격적인 사업 확장이 전산 과부하와 통제 불능의 원인이 된 것이 아니냐는 분석을 내놓는다.

토스는 간편송금을 넘어 타다(브이씨엔씨), 세이브잇(토스인컴), 알뜰폰(토스모바일) 등을 잇달아 인수하며 ‘슈퍼앱’으로 진화했다. 실제로 2026년 3월 말 기준 토스의 연결 대상 종속기업은 22개사에 달하며, 외연 확장에 따른 시스템 복잡도는 기하급수적으로 늘어난 상태다.

하지만 이번 사고에서 드러났듯, 개별 앱이 아닌 하나의 ‘슈퍼앱’ 환경에서는 특정 기능의 오류가 전체 금융 서비스 신뢰도로 전이되는 ‘동반 추락’의 위험이 크다.

금감원은 원 앱 기반 서비스에서 사고가 발생할 경우 외부로 피해가 확산할 가능성이 크다는 점을 특히 경계했다.

이승건 대표가 공언한 ‘Product Ethics(제품 윤리)’ 원칙과 ‘고객의 기대를 저버리지 않는 설계’가 현장에서는 전산 사고라는 결과물로 나타나면서, 토스가 혁신이라는 이름 뒤에 숨어 가장 기본적인 ‘금융의 안전’을 도외시하고 있다는 비판을 피하기 어렵게 됐다.