스미싱·보이스피싱·파밍 등 신종금융사기가 활개치고 있다. 폰뱅킹서비스를 통해 수천만원대의 돈이 본인도 모르는 사이에 빠져 나가거나, 문자메시지의 링크를 누르자 휴대전화 소액 결제가 되는 등 나날이 등장하는 변종 사기에 소비자들은 속수무책 당할 수밖에 없다. 하지만 금융당국은 이러한 사태에 대해 뚜렷한 대책을 내놓고 있지 않다. 나날이 늘어가는 피해 상황에 소비자들의 불안만 커져 가고 있다.
최근 신한은행에서는 잇달아 수천만원대의 폰뱅킹 사고가 발생했다. 지난해 11월 2일, 피해자 정모씨의 신한은행 계좌에서 폰뱅킹서비스를 통해 6차례에 걸쳐 총 1,069만원이 빠져나갔다. 용의자들은 파밍 수법을 이용해 개인정보를 빼낸 후, 폰뱅킹서비스로 돈을 계좌이체 시킨 것으로 밝혀졌다. 이때 사용된 IP주소는 중국인 것으로 확인됐다.
정씨가 피해를 입은 계좌는 지난해 2월 개설한 월급통장으로, 개설 당시 폰뱅킹서비스에 가입은 했지만 한 번도 사용하지 않았다. 또다른 피해자 조모씨는 지난해 11월 29일, 신한은행 계좌에 있던 예금 4,169만원이 폰뱅킹서비스를 통해 무단으로 인출되는 피해를 입었다. 조씨 역시 폰뱅킹을 오랫동안 사용하지 않았다.
신한은행은 이번 폰뱅킹 사고와 관련해 “경찰 수사결과를 기다리고 있다”며, “폰뱅킹서비스는 주민번호와 보안카드번호, 일련번호까지 입력해야 하는 폐쇄적인 시스템으로 피해자의 개인정보가 어떻게 유출됐는지가 관건이며 신한은행의 잘못이 드러나지 않은 상황에서 배상은 생각할 수 없다”고 말했다.
최근 생겨난 변종 악성코드는 소액결제 인증번호를 가로채는 것에 그치지 않고, 피해자 스마트폰에 저장된 연락처, 사진(주민등록증·보안카드 사본), 공인인증서까지 탈취한다. 따라서 더 큰 금융범죄로 이어질 소지가 높다.
문제는 금융사고 문제가 비단 어제오늘 일이 아니라는 것이다. 사건이 터지면 그 때에만 잠깐 대처를 하는 금융사의 주먹구구식 행정처리가 지속돼 왔다.
이보다 훨씬 앞선 2005년 1월, 언론 보도를 통해 폰뱅킹 사고에 대한 사례가 알려졌다. 누군가 중국에서 폰뱅킹을 통해 돈을 인출했다는 것이다. 피해자는 보안카드를 항상 주머니 속에 지니고 다녔을 정도로 꼼꼼한 성격으로 본인은 잘못이 없다고 주장했다. 폰뱅킹을 통해 송금할 경우에는 주민등록번호와 통장 보안카드의 비밀번호 입력 등 까다로운 과정을 거쳐야 하기 때문에 당시 범인이 이 모든 정보를 다 알고 있었다는 것은 놀라운 일이었다. 범인은 고의로 비밀번호를 틀려 피해자의 예금 조회 자체를 차단하는 등 범행에 치밀함을 보였다.
이처럼 과거부터 개인정보유출이 의심되는 피해사례는 있었지만, 금융당국에서는 별다른 조치를 취하지 않았다. 최근에 이르러 이 개인정보유출 범죄는 변이를 거듭해 스미싱·보이스피싱·파밍 등 신종 금융사기수단으로 변모했고, 피해건수와 피해액 또한 급증했다.
이러한 상황과 관련해 금융소비자연맹 관계자는 “금융사기를 당한 소비자에게 모든 책임을 부과해서는 안 되며, 금융당국과 정부는 예방 조치 및 강력한 제재와 더불어 소비자 피해 보상에 힘써야 할 것이다”고 말했다.
하지만 범인도 속 시원히 잡지 못하는 상황에서 피해 보상 역시 만만치 않다. 은행 등 금융기관들이 배상책임보험을 통해 피해 배상에 나서는 경우라도, 기관별·사례별로 기준이 각각 다르기 때문에 일부라도 피해를 보전 받을 수 있다는 보장이 없는 실정이다. 금융감독원 관계자는“현재는 개인이 입은 금융거래 사고에 대해서는 사안별로 법원 판결을 받아 피해를 배상받게 돼 있다”고 설명했다.
한편, 한 은행 관계자는 스미싱·보이스피싱·파밍 등에 대한 피해책임과 보상에 대해 “고객의 과실에 의한 정보유출로 피해를 입은 경우에는 은행 측에서는 보상을 하지 않고, 고객의 과실이 아닌 홈페이지 해킹 등으로 인한 정보유출로 피해를 입었을 경우에는 은행 측이 보상을 한다”며 “보상 비율은 자세한 경위를 경찰이 조사해 법적으로 처리한다”고 말했다.
결국 소비자들 스스로 금융사기에 미리 대처하는 것이 중요하다. 스미싱·보이스피싱·파밍 등으로 인한 금융사고를 방지하기 위한 방법으로는 첫째, 링크가 걸려있는 문자메시지를 조심해야 한다. 문자메시지 속의 링크를 무심코 누를 경우 악성코드가 깔려 개인정보가 빠져나가거나 즉시 결제가 될 수 있다.
둘째, 금융사를 사칭한 전화나 이메일, 문자메시지에 금융사 비밀번호나 보안카드 등을 알려주지 않아야 한다. 금융사는 개인 비밀번호 등을 일체 물어보지 않는다.
셋째, 유사 홈페이지나 유사 앱 등을 조심해야 한다. 유사 홈페이지·앱은 신종 사기 중 하나로 그 모양이나 구조가 매우 비슷하기 때문에 소비자들은 혼동하기 쉽다. 따라서 개인정보를 입력할 때에는 특히 유의해야 한다. 또한 PC나 이메일에 공인인증서나 보안카드 사진, 비밀번호 등을 저장하지 않는 게 안전하다. 계좌이체 내역을 틈틈이 확인하는 습관을 가지는 것도 중요하다.
마지막으로, 스미싱 탐지 전용 앱과 스팸감지 앱 등을 수시로 사용해 보안에 만전을 기하는 것이 좋다.
이전까지 금융업체는 정보보호가 직접적인 수익원이 아니었기 때문에 마케팅보다 정보보호 관련 사안을 뒷전에 두는 경향을 보였다. 일각에서는 개인정보유출로 인해 피해를 입은 소비자들에 대한 구체적인 구제 없이, 서로 책임지지 않으려했던 자세가 오늘날과 같이 신종 금융사기가 만연하는 사회를 만든 것이라고 추측한다.
외국의 경우, 개인정보 유출이 있거나 이로 인한 재정적 손해가 있을 경우에는 기업의 영업을 정지시키거나 손실이 발생한 부분에 대한 관리책임을 엄격히 묻고 있다.
소비자 문제 전문가들은 “이제는 정보보호 안전망 등에 투자하는 관행이 자리를 잡아야 할 때”라고 입을 모아 말하고 있다. 한편, 현실적으로 가해자 추적이 힘든 상황에서 대포통장이 범죄에 쓰일 것을 알면서도 자신의 명의를 빌려 준 명의 제공자에 대한 처벌 또한 강화할 필요가 있다고 지적한다. 또 선진국 사례처럼 고객의 과실과 관련 없는 금융거래 사고가 발생할 경우 고객의 자산을 맡고 있는 기관이 일정 부분 책임을 지도록 하는 규제도 반드시 필요하다고 강조하고 있다.
<특별취재팀>
스미싱(smishing)
스미싱은 문자메시지(SMS)와 피싱(fishing)의 합성어로, ‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일 청첩장’ 등을 내용으로 하는 문자메시지를 발송해서 문자메시지를 받은 사용자가 인터넷주소를 클릭하면 악성코드가 스마트폰에 설치돼 피해자가 모르는 사이에 소액 결제가 이뤄지는 방식의 신종 사기수법을 말한다.
보이스피싱(voice phishing)
‘전화금융사기’로 일컬어지는 보이스피싱은 전화를 통해(voice) 사기 대상자를 낚시(fishing)한다는 의미의 신조어로 전화를 통해 불법적으로 개인정보를 빼내 계좌이체를 요구하는 등의 신종범죄를 가르킨다.
파밍(pharming)
파밍이란 악성코드에 감염된 사용자 PC를 조작해 금융정보를 빼내는 수법이다. 사용자 PC가 악성코드에 감염되면 정상 홈페이지에 접속해도 피싱(가짜)사이트로 유도되는데, 그 즉시 금융정보가 탈취돼 범행계좌로 자금이 이체되는 방식이다. 피싱사이트는 ‘http://*Kb*bank.com’ 등의 정상 홈페이지로 가장해 금융정보(보안카드번호 전부) 입력을 요구하는데, 입력하는 순간 정보가 빠져나간다. 파밍은 현재 신종금융사기의 주요 범행수단으로 이용되고 있다.
고객정보유출 3개 신용카드업자
업무정지·과태료 처분
지난달 16일 제2차 임시 금융위원회에서, 2012년 10월~2013년 12월 기간 중 카드회원의 개인신용정보가 제3자에게 대량으로 유출된 KB국민카드, NH농협카드, 롯데카드 각각에 대한 3개월 일부 업무정지 및 과태료(600만원) 처분이 결정됐다.
금융위원회는 “동 카드사들은 카드회원 등의 정보보호 소홀로 인해 관련법령 상 고객정보 외부유출 방지의무, 안전성 준수 의무, 내부통제절차 등을 위반한 사실이 확인돼 위와 같은 처분을 결정했다”고 밝혔다.
업무정지 대상은 카드업무, 부대업무 및 부수업무 등 카드사의 ‘신규’ 업무이며, 업무정지 기간은 지난 2월 17일부터 오는 5월 16일까지 총 3개월이다. 3개 카드사는 ▲신용카드, 체크(직불)카드, 선불카드 회원의 모집 및 카드발급, ▲현금서비스·카드론·리볼빙 등 신용카드회원에 대한 자금융통약정 체결 등의 부대업무, ▲통신판매·여행업·보험대리점(카드슈랑스) 업무의 취급 등의 부수업무가 정지된다.
기존회원 불편 최소화하는 방향으로
금번 업무정지 조치는 ‘신규’ 카드발급 및 서비스 이용과 관련된 것으로서 ‘기존’ 회원이 보유한 기발급카드를 사용하는 데에 불편함이 없도록 하는 한편, 공공성이 큰 카드에 대해서는 신규발급을 허용하는 한도 내에서 진행된다.
기존회원의 불편을 최소화하기 위해 금융위원회는 ▲업무정지 기간 중에도 기존 회원이 유효기간 도래, 분실, 도난, 훼손 등의 사유가 있을 경우 기존 카드를 해지하고 재발급 가능, ▲‘업무정지일 이전’까지 카드사에 이미 접수된 신청서에 대해서는 카드 발급을 허용, ▲현금서비스, 카드론, 리볼빙 등을 사용할 수 있었던 회원은 업무정지 기간 중에도 ‘약정한도 내’에서 사용 가능, ▲부수업무의 경우에도 기존 계약 내용을 변경해 다른 계약으로 전환 가능(예: 여행상품계약, 보험계약 등) 등의 안을 내놨다.
공공성 상품의 경우 신규발급 허용
또한, 공공성이 큰 일부 카드상품에 대해서는 신규발급을 허용한다는 방침이다. ▲보육·복지관련 보조금·바우처 지원 상품, ▲취약계층(노인·장애인·농어민 등) 지원 상품, ▲정부, 지자체 경비집행 등 용도가 특정한 상품, ▲교육, 직원후생 차원에서 일괄 발급하는 상품 ▲그 밖에 이에 준하는 것으로서 금융위원장이 별도로 인정하는 경우 등 영리목적이 아닌 공공목적 달성을 위해 발급되는 카드로서 단기간 내에 다른 카드사로 대체하기 어려운 경우에 한해 신규발급을 허용한다.
금융위원회는 향후 3개 카드사에 감독관을 파견해 업무정지조치 내용을 잘 준수하고 있는지 점검하는 한편, 금감원 검사가 마무리 되는대로 행위자별 책임소재와 구체적인 법위반 정도 등에 따라 관련 임·직원 제재를 추진할 방침이다. 또한, 이후 정보유출 사고 시 최대 영업정지기간을 현행 3개월에서 6개월 이내로 연장하는 법안을 추진할 예정이다.
