피싱과 금융사고에 취약한 인뱅...안전망 구축 필요해

[IT동아 정연호 기자] 지금까지 인터넷뱅크 3사의 저조한 피싱 대응 성적표를 두고 대책 마련이 필요하다는 지적들이 있었다. 인뱅3사는 이러한 꼬리표에서 벗어나기 위해서 보안 시스템에 대한 투자를 늘리고 있다. 하지만, 비대면금융 자체가 금융범죄를 걸러내고 대응하는 절차가 상당히 허술하기 때문에, 시중은행과 인뱅 모두 안전망 구축에 더 힘써야 한다는 주장이 제기된다.

더불어민주당 박재호 의원이 금융감독원으로부터 받은 자료에 따르면, 2022년 상반기 보이스피싱 건수와 피해금액은 카카오뱅크가 1483건에 42억 원, 케이뱅크가 424건에 17억 원, 토스뱅크가 446건 18억 원이었다. 카카오뱅크의 피해건수와 피해금액은 규모가 더 큰 5대 시중은행(KB국민·신한·하나·우리·NH농협)과 맞먹는 수준이다.

보이스피싱 피해자의 자금이 이체된 이용계좌는 카카오뱅크가 3270건, 케이뱅크 1836건, 토스뱅크 855건으로 나타났다. 5대 시중은행을 보면 국민은행(3498건), 농협은행(2501건), 우리은행(2466건), 신한은행(2428건), 하나은행(1671건) 순이다.

다만, 카카오뱅크의 MAU(월간활성이용자수)가 토스뱅크 케이뱅크 대비 4배 수준이며, 시중 5대 은행보다 많기 때문에 전체 피해 건수와 금액도 더 크다는 이야기도 나온다. 5대 은행과 인뱅 3사가 더불어민주당 윤영덕 의원실에 제출한 자료에선 지난해 12월 기준 카카오뱅크 MAU는 약 1643만 명이다. 케이뱅크와 토스뱅크는 각각 408만 명, 387만 명이고, 시중은행에서 가장 많은 MAU를 보유한 국민은행은 약 1105만 명이다.

익명을 요구한 한 업계 관계자는 “최근 인터넷뱅크들도 사이버 피싱의 심각성을 인지하고 보안 및 피싱 탐지 기술을 위한 투자를 확대하고 있다”고 전했다.

비대면금융, 나도 모르는 새 당하는 피싱

최근엔 보이스피싱 이외에도 신분증 사본을 활용하는 금융범죄 피해가 커지고 있다.경제정의실천시민연합(이하 경실련)은 작년 7월 비대면금융 신분증 사본인증의 피해자 고발대회를 열고, 신분증 사본 인증에 따른 금융피해자들의 이야기를 전했다.

경실련이 밝힌 가해자 A는 운전 면허증 사진이 있던 피해자의 휴대전화 훔치고 해당 사진으로 카카오뱅크 계좌를 개설했다. 피해자 직장 정보, 집 주소 등이 허위로 기재됐지만 본인인증을 통과했다. 분실 신고를 한 신분증 사본이었음에도 최초 가입 시 본인 인증이 통과됐다는 이유로 추가 확인 및 심사 없이 대출이 승인됐다.

금융위원회의 ‘비대면 실명거래확인 방법’은 “실지명이(주민등록표상의 명의, 사업자등록증상의 명의, 그 밖에 대통령령으로 정하는 명의) 확인이 가능한 증표, 주민등록번호를 포함한 주민등록표 초본, 신분을 증명할 수 있는 증표”를 개인의 실명 확인 방법으로 규정한다. 신분증 사본은 적법한 증표가 아니다. 경실련은 “신분증 사본인증이 불법인 것은 행정안전부의 유권해석, 금융위원회의 유권해석과도 일치한다”고 설명했다.

물론, 신분증 사본 인증 시스템은 인뱅 3사만의 문제가 아니며 시중은행도 해당된다. 또한, 비대면금융 피해 사례가 언론을 통해 보도되면서 인뱅 3사도 피싱 대응 시스템을 강화하기 시작했다는 후문도 나온다.

경실련에서 비대면금융 신분증 사본 이슈를 맡아온 금융개혁위원회 정호철 간사는 “카카오뱅크는 2022년 하반기부터 비대면대출 시스템을 보완한 것으로 알고 있다”면서 “최근엔 카뱅의 비대면대출은 시중은행보다 (문제가) 적을 것이라 추측한다”고 했다. 그는 “카카오뱅크는 사고가 발생했을 때 보험금을 청구할 수 있도록 보험제도도 만들었다”고 말했다. 카뱅은 시니어 고객을 위한 금융안심보험을, 토스는 사기 피해를 보상하는 안심보상제도를 운영한다.

다만, “시중은행과 인뱅 3사는 송금과 계좌개설 시 (피싱에 대한 대응이) 비슷한 수준이며,경실련 고발 전 문제 의식 없이 위법을 저질러왔다”는 게 그의 진단이다. 그는 고발 이후로 비대면금융 시스템도 조금씩 변하고 있다고 보고 있다. 토스뱅크와 카카오뱅크는 신분증이 원본인지 확인하는 기술을 도입했다.

이외에도 인뱅 3사는 24시간 이상거래탐지 시스템을 운영한다. 또한, 토스와 카카오뱅크는 앱을 켤 때 스마트폰에 악성 앱이 있는지 탐지하는 서비스도 제공한다.

여기서 더 나아가 경실련은 신분증 사본 대출 피해를 해결하려면 "경찰 수사를 통해 명의 도용 사실이 확인된 후 피해자에 대한 금융회사의 채권이 소멸돼야 한다"고 주장한다.

“피싱 피해자 위한 촘촘한 사회 안전망 필요해”

피싱 범죄의 원인을 개인의 부주의가 아닌 안전망의 부재로 꼽는 분석이 많다. 사회적 안전망을 촘촘하게 구축하고, 피해에 대한 적절한 보상 대책을 마련해야 한다는 것이다. 금융감독원의 전문 학술지 금융감독연구에 게재된 ‘금융소비자 보호를 위한 보이스피싱 대응방안 연구(저자 장주성)’는 피싱 예방, 대응, 구제 세 가지 프로세스를 제안한다.

예방을 위해선 구글과 협의를 통해 경찰청 등 긴급 및 주요 전화의 경우 안드로이드의 콜 리다이렉션 기능이 작동하지 않게 할 수 있다. 스마트폰이 악성 앱에 감염되면 이 기능을 통해 경찰청 등에 전화를 걸어도 보이스피싱 범죄자에게 발신되기 때문이다.

발신자 실명 및 발신통신사 정보 확인 서비스를 도입하는 것도 피싱 예방에 도움이 된다. 발신자가 실명을 공개할 때만 수신자에게 전화가 연결되게 하면, 외국인 명의 전화나 수신통신사와 제휴되지 않는 해외통신사 연락에도 쉽게 속지 않을 것이다.

장주성은 피싱 대응 방안으로 지연이체 서비스 확대와 세컨드 폰 개통 당일 비대면 신규대출 제한을 제시했다. 금융기관은 100만원 이상이 송금되면 출금을 잠시 제한하는데, 이는 사전 신청이 필요하며 지연 이체 제외 계좌를 일일이 등록해야만 하는 불편함이 있었다. 제한 시간을 더 길게하며, 이를 위한 사전 신청을 하지 않도록 하는 대안이 거론됐다. 이어, 그는 금융사와 통신사 연계를 통해 이상 거래 발생 시 피해자에게 자동으로 전화 안내를 해 위험을 줄일 수 있다고 했다.

피싱 피해를 구제하는 방법으로는 보이스피싱 보험의 장려가 꼽혔다. 그는 “휴대전화 분실파손 보험 등과 결합 판매를 해서 시장 규모를 확대하는 걸 기대할 수 있다”고 했다.

글 / IT동아 정연호 (hoho@itdonga.com)