기업은행 홈페이지 갈무리

<이미지를 클릭하시면 크게 보실 수 있습니다>

정부가 인터넷 사기의 온상이 되고 있는 ‘오픈뱅킹’ 제도 개선에 나섰다. 금융위원회는 지난 9월 29일 오픈뱅킹 신규 가입 시 자금 이체를 3일간 차단하고, 이상거래 탐지를 강화하는 등의 개선책을 발표했다. 오픈뱅킹을 이용한 범죄가 증가하는 현실과 제도의 문제를 인정했다는 점에서 긍정적인 평가가 나온다. 정부는 2023년 하반기까지 제도 개선을 완료할 계획이다.

그런데 대책 발표를 두고 핵심이 빠졌다는 지적도 있다. 실제로 금융위 발표에는 ‘책임’과 ‘피해자 구제’가 없다. 오픈뱅킹은 제도 자체의 문제뿐만 아니라 금융회사가 운영하는 과정에서 새로운 문제가 파생됐다. 그럼에도 금융위는 ‘피싱’ 범죄 대응의 일환으로만 대책을 발표했다. 피해자가 범인에게 속아 ‘신분증’ 등의 개인정보를 유출한 것이 문제의 근원이라는 관점이다. 당국과 금융회사들이 ‘책임’을 인정하지 않으면 ‘피해자 구제’에도 소극적일 수밖에 없다. 실제로 대책 발표 직후 기자와 통화한 금융위 관계자는 “오픈뱅킹 등의 전기통신금융사기는 신분증 노출 등으로 인한 사기 범죄에 해당한다”며 “이런 것까지 정부가 도와주기는 어렵다”고 말했다.

경향신문은 지난 두 차례의 기사를 통해 ‘오픈뱅킹’의 존재 자체를 몰라도 피해자가 될 수 있음을 지적했다. 또 당국과 은행이 1년도 전에 ‘오픈뱅킹’ 제도의 문제점을 알고 있었음에도 아무런 조치를 취하지 않았음을 밝혔다.

▶관련기사-[단독]금융사기 당해도...“당신은 ‘오픈뱅킹’을 거부할 권리가 없다”


▶관련기사-[단독]구멍 뚫린 ‘오픈뱅킹’, 은행·당국은 알고도 안 고쳤다


취재 과정에서 당국, 은행의 문제는 숱하게 발견됐다. 모두 나열하지 않은 것은 이들의 책임이 없다고 판단해서가 아니다. 범행에 역이용되는 것을 막고 자발적 개선을 기대했기 때문이었다. 그러나 대책에서 ‘책임’과 ‘피해자 구제’만 쏙 빠졌다. 이들의 책임을 하나하나 꺼내 다시 묻지 않을 수 없는 상황이 됐다.

■은행 보안의 사각지대

지난 2월 23일 오후 6시. 올해 81세의 A씨는 문자 한통을 받았다. 자신을 ‘딸’이라며 신분증 사진, 계좌번호, 비밀번호를 요구하는 문자에 A씨는 기업은행 계좌 등을 포함한 정보를 넘겨주고 말았다. 범인은 A씨 개인정보를 이용해 국민은행 ‘모바일 인증서’ 발급, ‘오픈뱅킹’ 등록을 완료했다. 모두 비대면으로 가능했다.

국민은행 오픈뱅킹을 통해 범인은 A씨 명의의 모든 계좌를 장악했다. 특히 A씨가 기업은행 예금 통장 4개를 보유 중이고 총액이 약 4억원에 달한다는 사실도 확인했다. 오후 8시 6분, 범인은 국민은행 오픈뱅킹을 이용해 A씨 명의 기업은행 계좌에서 956만원을 미리 준비한 대포통장으로 이체했다. 오픈뱅킹 1일 이체한도는 1000만원이다. 더 이상 돈을 이체할 수 없게 된 범인은 A씨의 기업은행 계좌에 직접 접근했다.

범행은 치밀했다. 오후 9시 34분, 기업은행에서 A씨 명의로 3500만원 대출을 시도했다. 대출은 별도의 본인 확인 없이 비대면으로 간단히 이뤄졌다. 은행 이용에 아무런 제약이 없음을 확인한 범인은 A씨 명의의 예금에 본격적으로 손을 댔다. 오후 9시 58분, A씨의 첫 번째 기업은행 통장에서 7500만원 상당을 20회에 걸쳐 인출했다. 새벽 1시 11분에는 두 번째 통장에서 24회에 걸쳐 약 7300만원을 인출했다. 마지막으로 새벽 5시 8분, 세 번째 통장에서 6000만원을 21회에 걸쳐 인출했다. 범인은 오픈뱅킹을 통해 확인한 A씨의 하나은행 통장에서 602만원, 국민은행 통장에서 1204만원도 별도로 인출했다. A씨의 통장 비밀번호가 같은 점을 파악하고 악용한 것이다. 총 피해액만 2억3000만원에 달했다.

범인의 수법은 전형적인 피싱 범죄였다. 새벽 시간대 이해하기 어려운 고액 거래가 다수 발생했지만 제동은 단 한 번도 걸리지 않았다. 우선 대출 부분이다. A씨는 1941년생으로 81세다. 일부 금융회사들은 ‘65세 이상 고객이 대출을 받는 경우 별도의 본인 확인 절차를 거치는 등’ 예방 조치를 강화하고 있다. 기업은행 대출은 A씨에게 별도의 본인 확인 절차를 진행하지 않았다. 신분증 및 계좌정보 등으로 대출까지 가능했다. 마치 장난처럼 범인은 단, 6시간 만에 3500만원 대출금을 모두 갚았다. 보안시스템을 실험해보며 사실상 농락한 것이다.

A씨는 20년 이상 기업은행과 거래했다. 휴대전화 사용에 익숙하지 않아 거래는 늘 은행을 방문해 대면거래로만 했다. 인터넷뱅킹 등을 통해 2억원이 넘는 돈이 거래된 것은 A씨의 평소 거래 방식과는 완전히 다른 것이었다. 심지어 범인은 탈취한 돈을 모두 15개 계좌로 69회에 걸쳐 이체했다. 그럼에도 기업은행은 해당 거래에 제동을 걸지 않았다.

어떻게 이런 일이 가능할까. 기업은행에 물어봤다. 관계자는 “기업은행은 이상거래 탐지시스템(FDS)과 보이스피싱 탐지를 전문으로 하는 AI 모니터링 시스템을 분리해 운영한다”며 “AI 모니터링 시스템은 24시간 돌아가지만 의심거래로 잡히는 사례가 워낙 많다 보니 직원들이 해당 사례를 확인하고 통보하는 데 시간이 걸린다”고 했다. 핵심은 다음 발언이었다. “해당 작업은 직원들의 업무시간 내에만 이뤄진다.” 쉽게 말해, 피싱 범죄 확인 및 통보를 사람이 직접 하게끔 설계해 두고 이들이 퇴근한 이후의 대책은 세우지 않았다는 말이다. 은행 보안이 12시간 이상 사각지대에 놓여 있는 셈이다.

기업은행이 A씨 민원에 답변한 내용. 고객님의 사고 발생 시간이 당행 모니터링 운영시간 이후로 피해 예방이 불가한 상황이었음을 안내드린다는 내용이 적혀 있다./A씨 제공

“기술적으로 보완해야 하지 않느냐”고 물었다. 그러자 “기술적 문제라고 보기 어렵다. 결국 피해자가 신분증, 계좌정보 등을 구두로 알려줘 생긴 문제 아니냐”고 답했다. 논리적 모순이다. 똑같은 거래가 새벽에는 문제로 인식되지 않고, 직원들이 출근한 후에는 문제로 잡힌다. 직원들은 점을 쳐서 이상거래를 확인하는 것이 아니다. 기업은행 스스로 밝힌 바와 같이 거래패턴을 분석하고, 피해자에게 확인한다는 점에서 이는 기술의 영역이다. 기술적 보완만 한다면 새벽시간 범죄도 얼마든지 방어가 가능하다는 의미다.

더욱 이해가 어려운 것은 ‘새벽시간 15개 계좌로 69회에 걸쳐 돈이 빠져나갔음에도 이상거래로 잡히지 않았다’는 점이다. 대체 무엇이 이상거래인지 물었다. 관계자는 “범죄에 악용될 소지가 있어 상세히 말해주기 어렵다”고 말했다.

금감원이 밝힌 2022년 상반기 전자금융사기범죄 현황에 따르면 기업은행은 피해건수(1987건), 피해액(72억) 모두에서 시중 5대 은행(국민·농협·신한·우리·하나)을 앞선다. 보안에 구멍이 뚫려 있음이 결과로 나타난 셈이다. 그런데도 기업은행 측은 해당 문제에 당당하다. “금감원에서 귀책사유가 없다는 판단을 받았다”는 이유다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

■금감원의 존재 이유

A씨는 2억원이 넘는 피해를 감당하기 어려웠다. 은행이 본인 확인 등의 의무를 다했는지 따져보고자 했다. 지난 5월 4일 국민신문고를 통해 금감원에 민원을 제기했다. 약 한 달 만에 회신이 왔다. “금융회사에 중대한 과실이 있다고 보기 어렵다”는 답변이었다. A씨가 제기한 몇가지 의문에 기업은행이 각각 답변을 했다는 것이 결정 배경이었다. A씨는 “금감원이 중립적 감독기관인지, 은행의 입장을 대변해주는 기관인지 모르겠다”고 분통을 터뜨렸다.

A씨는 휴대전화로 인터넷 검색은 물론, 앱을 설치하는 방법도 모른다. 피해가 황당했던 것도 존재 자체를 몰랐던 ‘오픈뱅킹’, ‘비대면 본인 인증’ 등으로 재산이 털렸기 때문이다. 사용하지도 않는 인터넷뱅킹으로 피해를 입었다고 기업은행, 금감원에 호소했다. 이들은 A씨가 2014년 인터넷뱅킹에 가입했고, 비대면으로만 가입 가능한 적금상품에 가입했기 때문에 A씨 주장은 사실이 아니라고 결론냈다.

기업은행 자료를 바탕으로 사실관계를 추적해봤다. 실제로 A씨가 2014년 인터넷뱅킹에 가입한 건 맞다. 하지만 2017년까지 한 번도 사용한 적이 없어 로그 이력조차 나오지 않는다. 이러한 A씨가 2017년, 2018년에는 각각 비대면으로 적금에 가입했다. 어떻게 된 일일까. A씨 딸이 사실관계를 추궁하자 기업은행 직원은 “은행 창구에서 도와드렸을 것”이라며 “창구 직원에게 휴대전화를 주면, 가입을 도와드린다”고 말했다. 은행에서 흔히 볼 수 있는 상품 가입을 권유하고 도움을 주는 상황을 떠올리면 이해가 쉽다. 이는 비대면 가입도 아니고, A씨가 인터넷뱅킹을 사용할 줄 안다는 증거로 보기도 어렵다.

이해가 어려운 내용은 또 있다. 금감원이 기업은행이 ‘본인 확인 절차’를 준수했다고 본 것이다. ‘금융실명거래 및 비밀보장에 관한 법률’, 금융위의 ‘비대면 계좌개설 시 실명확인 방식 합리화 방안’(이하 ‘가이드라인’) 등에 따르면 비대면 실명확인은 ‘실명확인증표(신분증) 사본 제출’, ‘영상통화’, ‘본인만 수취할 수 있는 접근매체(현금카드·OTP 등) 전달 과정에서 본인 확인’, ‘기존계좌 활용’, ‘바이오 정보가 포함된 기타 방법’ 중 2가지 이상을 중복 적용해야 한다. 범인은 본인 인증을 실명확인증표, 기존 계좌 활용 방식으로 했다. 여기서 실명확인증표는 신분증 ‘원본’을 촬영 또는 스캔하는 행위다. A씨는 신분증을 범인에게 탈취당한 적이 없다. 신분증 사진을 전송했을 뿐이다. 즉 범인이 신분증 사진만으로 A씨 본인 인증을 완료했다면 이는 은행이 ‘본인 확인 절차’ 의무를 위반했다는 의미다.

금감원 입장을 물었다. 관계자는 “실명확인증표 제출은 신분증 원본으로 하는 것이 맞다”며 “기업은행에서 본인들이 실명확인 가이드라인 절차를 지켰다고 답변했다. 민원에 대해 조사를 나가기도 어려운 상황에서 은행이 절차를 지켰다면, 문제가 없다는 원론적 답변을 한 것”이라고 말했다. 그러면서 “금감원은 기업은행의 귀책사유가 없다고 판단해준 것이 아니다”고 덧붙였다.

실제로 기업은행은 금감원에 “신분증 인증 및 당행 계좌 비밀번호를 활용해 본인 인증을 완료하여 금융당국에서 규정하고 있는 비대면 본인 확인 절차를 준수했다”고 보고했다. 기업은행은 비대면 본인 인증에서 신분증 원본을 확인하는 기술이 없다. 금융당국 규정대로 고객이 신분증 원본을 제출했는지, 사본을 조작해 제출했는지 알 수 있는 방법이 없다는 뜻이다. 그럼에도 기업은행은 금감원에 “규정을 지켰다”고 답변했다. 이는 당국을 속인 거짓말이 된다.

기업은행에 “정말 규정을 지켰냐”고 재차 물었다. 관계자는 기업은행의 공식답변이라며 “금융당국의 비대면 가이드라인을 준수하고 있다”고 말했다. 그러면서도 “2023년 상반기까지 신분증 원본 확인 시스템을 도입할 예정”이라고 덧붙였다. 정리하면, 신분증 원본으로 본인 확인을 하라는 금융당국 가이드라인을 2023년 도입 예정인 기술로 현재 준수하고 있다는 말이다. 이해가 어렵다. 당연하다. 말의 앞뒤가 맞지 않기 때문이다.

은행은 모순된 말을 공식답변으로 내놓고, 금융위·금감원은 이를 제대로 확인하지 않는다. 그 사이에서 피해자들은 억울함을 호소할 곳을 잃었다. 심지어 금감원 조사담당자는 A씨에게 “답변서를 받아보니 기업은행에 대한 오해가 풀렸다”고 말했다. A씨는 “그 말을 듣는 순간 더 이상 방법이 없겠구나라는 생각이 들어서 눈물이 났다”고 말했다.

신분증 원본 확인은 금융당국이 스스로 정한 원칙이다. 이를 실현할 기술이 없지도 않다. 국민은행은 지난 9월 21일 ‘AI 신분증 진위 확인 판별시스템 구축 입찰공고’를 냈다. 지원 요건은 ‘원본을 촬영했는지 여부의 판단’, ‘캡처된 이미지 여부 판단’, ‘스크린 화면 여부 판단’ 등 신분증 사본을 걸러낼 수 있는 기술들을 기본으로 했다. 입찰까지 진행하는 상황임에도 금융당국 관계자는 “은행이 기술이 없다고 하더라. 현실적으로 어려운 부분이 있는 것 같다”고 말했다.

■금융회사의 연대책임

당국과 은행의 문제는 이뿐만이 아니다. 금융사기에 이용된 계좌를 동결하는 ‘지급정지’ 제도에도 문제가 있다. 지난 5월 24일 B씨는 딸을 사칭한 스미싱 문자에 속아 2억원 상당의 피해를 입었다. 하루 뒤 사기를 인지한 B씨는 계좌번호를 알려준 신협은행에 곧바로 지급정지를 신청했다. 피해사실을 확정한 B씨는 범죄 피해금을 환급받기 위해 피해구제신청도 했다. 피해자가 할 수 있는 일은 다 한 셈이다.

해당 조치들의 핵심은 B씨의 돈이 N차 이체된 경우까지 지급정지로 막고, 피해금액을 보존해 반환하는 것이다. ‘전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 및 시행령’은 이를 금융회사의 책임으로 규정하고 있다. 예를 들어, 범인은 B씨의 신협은행에서 돈을 국민은행에 이체했다가 2차로 신한은행에 일부를 또 3차로 농협은행에 일부를 이체할 수 있다. 돈을 소액으로 쪼개야 인출이 용이하기 때문이다. 이 경우 돈이 이체된 N차 은행까지 일괄 지급정지가 이뤄져야 한다. 법은 피해자로부터 피해구제신청을 받은 금융회사는 피해금이 다른 금융회사의 사기이용계좌로 송금·이체된 경우 해당 금융회사에 지급정지를 요청해야 한다고 규정한다. 즉 지급정지·피해구제신청이 접수되면 은행이 책임지고 처리하라는 의미다.

새마을금고가 피해구제신청이 제대로 되지 않았다고 B씨에게 전달한 안내문 / B씨 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>

문제는 해당 조치가 제대로 됐는지 피해자는 사고가 터지기 전까지 알 수 없다는 점이다. 실제로 지난 5월 30일 B씨에게 새마을금고 측에서 안내문을 보내왔다. 피해구제신청 서류가 제대로 접수되지 않아 지급정지가 풀릴 수 있다는 경고였다. B씨는 “알아보니 범인이 새마을금고로 돈을 이체하기 직전에 사용했던 금융회사가 새마을금고에 피해구제신청을 제대로 하지 않았던 것”이었다며 “통지가 늦게 오거나 확인을 못 하면 나도 모르게 지급정지가 풀릴 수 있다”고 말했다. 그러면서 “내 돈이 몇개의 은행을 거쳐 어느 은행에 얼마나 남아 있는지 알 수 있는 방법이 없다. 은행이 돈을 찾아주면 감사한 것이고, 없다고 해도 방법이 없다”고 덧붙였다. B씨는 금감원에도 민원을 제기했다. “금융회사 계좌 등에 대한 실시간 정보는 알 수 없다”는 답변만 돌아왔다.

금융회사 상품이 새로운 범죄의 창구가 되는 경우도 있다. 지난 7월 31일 C씨는 스미싱 피해를 당해 범인에게 각종 개인정보를 노출했다. 범인은 오픈뱅킹을 등록하고, 여러 계좌로 C씨 돈을 이체했다. 이중에는 만 14세부터 18세까지 가입 가능한 카카오뱅크 미성년자 선불전자지급수단(mini·미니)도 있었다. 미니는 계좌처럼 이용이 가능함에도 법적으로는 계좌로 인정받지 않는다. 이에 따라 지급정지, 피해구제신청이 불가능하다.

범인은 카카오톡 오픈채팅으로 미성년자를 모았다. 이들에게 미니를 개설하게 하고, C씨에게 탈취한 돈을 이체했다. 범인은 소액의 돈을 미성년자에게 지급하고, 미니에 들어온 돈으로 구글 기프트카드를 구매해 자신에게 전달하게 했다. 일종의 돈세탁이다. 사건을 경찰에 신고했지만 범죄 가담자가 미성년자이기 때문에 처벌조차 쉽지 않다. C씨는 “사건이 발생하고 곧바로 경찰에 신고했지만 두 달이 넘도록 아무런 연락도 받지 못했다”고 말했다.

카카오뱅크가 10대 청소년을 대상으로 출시한 선불전자지급수단 mini(미니)/카카오뱅크 홈페이지 갈무리

<이미지를 클릭하시면 크게 보실 수 있습니다>

카카오뱅크 관계자는 “미니 출범 전부터 이런 문제들을 예측하고, 많은 고민을 했었다”면서도 “지급정지나 피해구제신청은 안 되고 자체적으로 신고 이력은 관리하고 있다”고 밝혔다. 그러면서 “범죄에 이용됐다는 것이 확인되면 처음에는 경고를 하고, 두 번째 적발 시 미니를 이용할 수 없도록 거래를 제한한다”고 말했다. 그러나 피해금액을 보전해주는 등의 조치는 없다. 카카오뱅크 측에 신고 이력 통계를 공개해달라고 요청했지만 이 역시도 거절했다. 카카오뱅크가 범죄의 통로로 이용됨에도 근본적 대책은 없다는 말이다.

새로운 사건이 터질 때마다 문제를 땜질 처방해서는 피해가 언제쯤 사라질지 알 수 없다. 결국 근본적 대안은 ‘책임’이라는 지적이 나오는 것도 이 때문이다. 오픈뱅킹, 신분증 원본 확인 미비 등으로 발생한 사건에는 당국, 금융회사의 귀책사유도 있다. 이들이 피해에 연대책임을 지게 한다면 자발적 개선도 기대해볼 수 있다.

누군가는 평생 모은 재산을 짧게는 몇분, 길게는 몇시간 만에 모두 잃었다. “피해자가 신분증을 넘겨준 탓 아니냐”라고 하기에는 제도에 난 구멍이 너무 크다. “존재도 몰랐던 오픈뱅킹, 비대면 본인 확인으로 발생한 피해를 왜 저만 책임져야 하나요?” 피해자들이 던지는 물음이다.

김찬호 기자 flycloser@kyunghyang.com

▶ 백래시의 소음에서 ‘반 걸음’ 여성들의 이야기 공간
▶ ‘눈에 띄는 경제’와 함께 경제 상식을 레벨 업 해보세요!

©경향신문(www.khan.co.kr), 무단전재 및 재배포 금지