주부 이모(29)씨는 지난달 27일 오전 9시쯤 계좌이체를 위해 자신의 PC로 K금융사의 정상 홈페이지에 접속했다. 이씨는 계좌이체를 여러 차례 시도했지만 오류 메시지가 반복해 떴다. 이씨는 이체를 포기하고 PC를 껐다. 두 시간 뒤 다시 PC를 켜고 계좌를 확인하다 자신의 계좌에서 모르는 사람의 계좌로 1000만원이 빠져나간 사실을 알게 됐다. 은행 확인 결과 범인은 거래 이틀 전부터 세 곳의 IP 주소로 10여 차례 이씨의 개인정보를 이용해 K금융사 사이트에 접속한 것으로 드러났다. 사기범이 이씨의 PC에 미리 심어놓은 악성코드를 통해 공인인증서·계좌 비밀번호와 보안카드 숫자를 빼돌린 것이다.
경찰청은 지난 22일 메모리 해킹 ‘주의보’를 내리고 “일회성 비밀번호(OTP), 보안토큰(비밀정보 장치 외부 복사 방지) 등을 사용하고 전자금융사기 예방 서비스에 가입해 두는 것이 좋다”고 당부했다.
보이스피싱으로 대표되던 금융사기가 진화하고 있다. 피해자의 빈틈을 노리는 시나리오로 돈을 빼돌리는 ‘스토리형’에서 악성코드를 이용해 피해자 몰래 돈을 빼내는 ‘해킹형’으로 발전한 것이다.
신종 금융사기인 메모리 해킹은 지난 6월 경찰 신고가 접수되기 시작했다. <중앙일보 8월 21일자 10면> 메모리 해킹은 범인이 미리 피해자의 PC에 악성코드를 심어놓아 진짜 금융사 사이트에 접속한 이들의 개인정보를 빼돌리는 수법이다. 본지 보도 이후에도 비슷한 피해 사례가 속속 드러나고 있다.
전자·통신 분야 금융사기의 원조 격은 e메일 피싱이다. 2003년 미국에서 개발된 뒤 전 세계에 퍼졌다. 당시 사기 수법은 인터넷 서비스업체로 가장해 다수에게 e메일을 보낸 뒤 신용카드 번호와 계좌번호를 캐내는 방식이었다. 보이스피싱으로 진화한 건 2006년 즈음이다. 일본·중국·대만 등 아시아 국가에서 공공기관을 사칭한 전화 금융사기가 급속히 확산됐다.
보이스피싱에 대한 정부의 단속이 강화되기 시작한 2007년에는 ‘메신저 피싱’과 ‘파밍’이 국내에 등장했다. 파밍은 피해자의 PC에 가짜 금융사 사이트로 유도하는 악성코드를 심어놓고 개인정보를 빼내는 수법이다. 스마트폰이 널리 보급되면서 파밍의 업그레이드 버전인 스미싱이 지난해 나타났다. 스미싱은 문자메시지를 통해 스마트폰에 악성코드를 배포하고 개인정보를 빼낸다.
보이스피싱은 2011년 발생 8244건, 피해액 1019억원에서 지난해 발생 5709건, 피해액 595억원으로 크게 줄었다. 대신 악성코드 등을 이용한 금융사기가 피싱의 빈자리를 메우고 있다. 파밍은 올해 1~7월에만 1263건이 발생해 피해액 63억원을, 스미싱은 지난해 1월부터 올해 6월까지 1만8631건이 발생해 피해액 37억원을 기록했다. 메모리 해킹은 지난 6~7월 두 달간 112건이 발생해 6억9000만원의 피해액을 남겼다. 경찰은 스미싱이나 메모리 해킹처럼 악성코드를 심어 개인정보를 빼돌리는 방식이 앞으로 당분간 기승을 부릴 것으로 내다봤다.
경찰은 금융사기 전반을 기획하는 총책이 붙잡히지 않고 새로운 기법을 계속 개발하고 있는 것으로 분석한다. 대포통장과 이미 유출된 개인정보는 금융사기를 증식하는 밑거름이 되고 있다. 경찰청 이민수 경제범죄계장은 “중국·동남아시아 등 해외에 콜센터를 운영하거나 서버를 두고 범죄를 이어나가기 때문에 검거가 쉽지 않다” 고 말했다.
금융사기에 대한 피해구제 방법은 사안별로 조금씩 다르다. 금융사를 통해 벌어지는 피싱은 2011년 9월 시행된 ‘전기통신 금융사기 피해금 환급에 관한 특별법(환급 특별법)’에 따라 피해구제 절차가 진행된다. 112 신고를 하면 경찰이 즉시 해당 금융사에 지급정지 요청을 한다. 경찰에서 사건사고사실확인원을 받아 신분증 사본과 피해구제신청서를 금융사에 제출하면 된다.
하지만 문제는 사기범이 계좌로 송금된 돈을 즉시 인출한다는 점이다. 경찰에 따르면 사기범은 대부분 송금된 지 5분 이내에 돈을 찾아간다. 따라서 사기를 당한 뒤 최대한 빨리 신고해야 지급정지를 통해 피해를 막을 가능성이 높아진다. 그러나 이미 인출됐다면 은행을 상대로 전자금융거래법에 따른 민사소송을 제기해야 한다. 피해자의 과실이 있으면 소송비용과 시간을 들이고도 환급받지 못할 수 있다.
신종범죄인 파밍과 메모리 해킹도 개정된 전자금융거래법에 따라 보상을 받을 수 있다. 환급 절차는 피싱과 비슷하다. 문제는 일선 경찰서에선 피해자 PC가 악성코드에 감염됐는지를 분석할 수 없고, 지방 경찰청 단위를 거쳐야 하기 때문에 시간이 오래 걸린다는 점이다. 또 은행이 가입된 보험사가 사실 확인을 거쳐 피해자의 과실로 판정하면 결국 소송을 거쳐야 하는 번거로움이 있다.
메모리 해킹은 은행의 진짜 사이트를 이용하다 벌어지기 때문에 피해자의 과실이 없다면 은행이 가입한 보험사를 통한 피해보상이 비교적 쉬운 편이다. 그러나 범인이 만들어 놓은 가짜 금융사 사이트에 접속했다가 당하는 파밍의 경우 책임소재를 가리기 힘들다. 지난달 경기도 의정부지법에서 “재발급된 공인인증서도 위조 범위에 포함될 수 있다”며 금융기관의 책임을 인정해 청구액의 30%를 손해배상하라는 판결이 나오면서 파밍 피해 보상 가능성도 보다 높아졌다.
스미싱은 금융사가 아닌 이동통신사를 대상으로 하는 범죄이므로 환급 주체와 절차가 다르다. 피해자는 112 신고 뒤 경찰로부터 사건사고사실확인원을 받아 해당 이동통신사에 제출해야 한다. 이동통신사는 결제업체·콘텐트제공업체에서 사실을 확인한 뒤 피해액을 환급한다. 이미 요금청구서를 통해 돈이 빠져나갔어도 피해 사실만 확인되면 전액 환급이 가능하다.
피싱·파밍 등의 사기사건에 대해 금융사가 돌려준 환급액은 많지 않다. 환급 특별법이 시행된 이후 환급액은 336억원으로 전체 피해신고액 1543억원의 21.7%에 불과했다. 이 때문에 피해 예방과 구제에 적극적으로 나서야 할 금융감독원과 은행이 미온적이라는 지적이 나온다.
경찰은 보이스피싱이 사회적 문제가 된 2008년부터 금융권에 대포통장 단속을 요구했었다. 하지만 지난해에 와서야 금융감독원에서 의심 계좌를 실시간 감시하기 시작했다. 대포통장 개설 때 금융거래를 차단하는 등의 대책은 지난 7일 나왔다. 금융사 관계자는 “금융 시스템은 고객의 편리성을 위해 만들어진 서비스이므로 일부 피해가 있다고 시스템 전체를 피해 예방에만 맞춰 바꾸기는 힘들다”고 설명했다.
하반기 시행되는 법률과 대책이 금융사기를 줄일 수 있을지 주목된다. 금융감독원은 다음 달부터 300만원 이상의 돈을 송금하려면 지정된 PC만 이용해야 한다고 밝혔다. 지정하지 않은 PC로 거래를 하려면 휴대전화 문자메시지 등으로 본인임을 인증해야 한다.
인터넷 소액결제도 지정 PC와 휴대전화를 이용해야 하고 지정하지 않은 단말기에서는 본인 인증을 거쳐야 한다. 올 11월부터는 해킹으로 인한 피해에도 금융사의 책임과 예방의무가 있다는 내용을 보강한 전자금융거래법 개정안이 시행된다.
법무법인 민후의 김경환 대표 변호사는 “국내 제도는 금융기관이 손해배상을 하지 않아도 되는 면책사항의 범위가 지나치게 넓다”며 “소비자 피해구제에 중점을 둬 제도를 보완할 필요가 있다”고 말했다.
이정봉·민경원 기자
