가입자 수 1700만명, 기업가치 3조원에 달하는 토스(법인명 비바리퍼블리카)가 부정결제 논란에 섰다. '간편 결제'를 바탕으로 시중 은행권을 위협할 유니콘 기업으로 급성장했지만, 금융업의 기반이 되는 보안 및 컴플라이언스(내부통제)가 미비한 것 아니냐는 논란이 번지고 있다.

투자업계에서는 사내 리스크관리를 총괄하는 법률책임자가 연초 회사를 떠난 점 등을 꼽으며 이런 논란이 일찌감치 예고된 것 아니냐는 해석도 나온다. 토스 내부적으로 리스크 관리자들이 일찌감치 금융업 전반 수준에 맞춘 내부통제 시스템 강화를 요구해왔지만 대표이사를 포함한 경영진은 빠른 사업 확장에 공을 들이면서 양측이 마찰을 겪었다는 것.

9일 비바리퍼블리카는 최근 제기된 자사 서비스의 부정 결제 논란에 대해 해명자료를 냈다. 지난 3일 회사의 온라인 가맹점 세 곳에서 이용자 동의 없이 고객 8명 명의로 총 940만원 가량의 결제가 발생한 점이 드러났다. 해당일 이후 사고 내용을 은폐해오다 언론 보도 이후에서야 공지한 점을 두고도 뒷말이 나왔다.

토스 측은 "보안 문제가 아닌 개인정보의 유출 문제로 인한 사고"라며 "해당 계정과 의심되는 IP로 접속한 계정을 모두 차단하고 피해액은 고객에 돌려줬다"고 해명했다.

토스 측은 사이버수사대에 도용으로 인한 부정결제 사고에 대한 수사를 의뢰하며 진화에 나섰지만 보안을 둔 논란은 지속되고 있다. 금융감독원 등 당국에서도 주시하는 상황이다. 금융위원회도 현황 파악에 나선 것으로 전해진다.

일각에선 금융분야 유니콘 기업을 표방한 토스의 빠른 성장세 탓에 "터질 게 터졌다"는 반응도 나온다.

토스에서는 지난 3월 회사내 리스크 관리를 전담하는 법률부문 책임자 이 모 변호사가 갑작스럽게 퇴사했다. 그는 김앤장법률사무소와  법무법인 율촌을 거친 금융 전문 변호사다. 이승건 대표 자문을 도운 인연으로 토스에 합류한 것으로 전해진다. 금융위 등 당국을 대상으로 한 토론회 및 간담회 등에도 적극적으로 참여, 규제 완화를 요청하는 등 회사 확장에 기반을 다졌다는 평가를 받아왔다. 율촌 합류 이전엔 글로벌 수준 컴플라이언스 규정을 갖춘 골드만삭스 자산운용을 거치기도 했다.

양 사 사정에 정통한 법조계 관계자는 "회사 규모는 커졌는데, 이승건 대표는 여전히 사업 확장에 집중한 반면 이 변호사는 이제 은행업도 준비해야하다보니 컴플라이언스에 더 신경을 써야한다고 지속적으로 의견을 냈다"며 "대표이사 입장에선 잔소리로 받아들여지다보니 양측간 갈등이 컸다"고 말했다.

동시에 그간 토스가 본격적인 금융업 진출을 내부 컴플라이언스 조직 구축이 미비했던 점도 지적되고 있다. 회사는 이 변호사가 퇴사한 이후인 올해 4월부터야 독립적인 컴플라이언스 부서를 꾸려 내부 통제에 나섰다.

현재 토스는 컨소시엄을 구성해 인터넷은행 예비인가를 통과한 이후 본인가 절차를 앞두고 있다. 신뢰가 핵심인 금융업에서 규제 준수의 중요성은 커지고 있다. 이런 상황에서 사고가 발생하면 고객이 등을 돌리기 때문에 처음 금융에 발을 딛는 토스 입장에서 치명적이다. 자금세탁 등 치명적인 사고에 연루되면 존폐를 걱정해야 하는 처지에 놓일 수 있다.

경찰 수사 결과 등에 따라 회사의 기업가치에도 영향을 미칠 전망이다.

회사는 최근 총 2조8000억원 규모로 시리즈F 투자유치를 마친 상황이다. 과거 인터넷은행 예비인가 승인 과정에선 기존 주주들에게 상환전환우선주(RCPS)를 전환우선주(CPS)로 변경해줄 것을 요청했는데, 수사 결과에 따라 상환권을 잃은 주주들의 반발이 나올 가능성도 제기된다.

아울러 이번 사태를 계기로 토스 뿐만 아니라, 핀테크 기업 전반의 보안 및 결제와 관련한 리스크 관리 시스템에 대한 우려도 주목받을 것으로 전망된다.

이 같은 논란에 대해 토스 측은 "토스 내 리스크관리는 법무팀만의 소관이 아니라 대표이사를 비롯, 보안팀 고객행복팀 주요 기술팀원등으로 이뤄진 태스크포스(TF)가 주요 사안에 따라 기민하게 조직되어 대응해왔다"고 밝혀왔다.

아울러 토스 측은 "컴플라이언스 부서 조직은 전자금융업자로 의무 사항은 아니다"며 "그러나 현업 부서와 필요성을 논의한 끝에 4월부터 본격적으로 조직했다"고 밝혔다.