주간경향(총 3 건 검색)

금융위, 전자금융사기 온상 ‘오픈뱅킹’ 개선한다(2022. 09. 29 17:05)

2022. 09. 29 17:05 정치 김찬호 기자

김소영 금융위원회 부위원장이 9월 29일 정부서울청사 브리핑실에서 보이스피싱 금융분야 대응방안을 발표하고 있다./연합뉴스전자금융사기에 이용되는 ‘오픈뱅킹’, ‘비대면 계좌개설’ 등에 대해 정부가 대응책을 내놨다. 주요 내용은 오픈뱅킹 신규 가입 시 3일간 자금이체를 차단하고, 1일 이용 한도 역시 기존 1000만원에서 300만원으로 축소한다는 것이다. 또, 비대면 계좌개설 과정에서 본인확인을 강화하기로 했다. 당국의 대책 발표로 구멍이 뚫린 기존 제도의 보안은 일부 강화될 예정이다. 하지만 허술한 제도로 재산피해를 입은 기존 피해자들에 대한 구제나 재발 방지대책은 여전히 빠져 있다. 금융위가 ‘보이스 피싱’ 등을 언급하며 피해자의 주의만 강조하지 말고, 금융회사의 책임도 따져야 한다는 지적이 나온다. ■오픈뱅킹을 이용한 사기, 어떻게 막을 것인가 금융위원회가 9월 29일 ‘금융분야 보이스피싱 대응방안’을 내놨다. “최근 기존 대응체계를 회피하는 새로운 유형의 보이스피싱이 증가하고 피해금액도 점차 확대되고 있다”고 진단한 금융위는 계좌이체 없이 피해자를 직접 만나 현금을 탈취하는 ‘대면편취형 보이스피싱’, ‘비대면 계좌개설’을 기반으로 한 ‘오픈뱅킹’ 피해 등을 주요 사례로 꼽았다. ‘오픈뱅킹’ 문제는 주간경향이 지난 1494호, 1496호에서 두 차례 지적한 문제다. ▶관련기사-[단독]존재도 몰랐던 ‘오픈뱅킹’에 내 계좌가 전부 털렸다 ▶관련기사-[단독]오픈뱅킹 문제, 은행과 당국은 알고도 안 고쳤다 이날 금융위가 발표한 대응책에는 주간경향이 ‘오픈뱅킹’의 문제로 지적한 내용들이 다수 담겼다. 우선, 피해를 사전에 차단할 수 있는 방안 부문이다. ‘오픈뱅킹’을 이용한 금전피해는 스미싱 등으로 고객의 개인정보를 획득한 범인이 비대면으로 피해자 명의의 알뜰폰을 개통하고, 계좌를 개설할 수 있다는 점에서 시작한다. 신규로 개설한 계좌 등을 이용해 오픈뱅킹을 등록하면 그 즉시, 피해자 명의의 모든 계좌가 범인 손에 들어간다. 일단 오픈뱅킹이 등록되면 계좌 이체를 하더라도 비밀번호를 요구하는 등의 제한은 없다. 주로 오픈뱅킹의 존재 자체도 모르는 고령자가 범죄 대상이 되면서 피해 발생 후에도 상당 기간 피해 사실을 인식하지 못하는 점 역시 문제다. 이에 대해 금융위는 ‘일정 기간 오픈뱅킹 이용 제한’과 ‘이상거래 탐지강화’를 대안으로 내놨다. 앞으로 고객이 비대면 계좌개설을 통해 오픈뱅킹에 가입할 경우 3일간 자금이체가 제한되고, 출금 및 결제 등도 300만원 한도로 제한된다. 3일이 지나면 다시 이용 한도는 1000만원으로 올라간다. 이 경우 사흘 내에 피해만 인지하면 피해 규모는 줄일 수 있다. 해당 제도는 2023년 상반기까지 도입 완료할 예정이다. 금융위원회 공식 블로그에서 홍보하고 있는 오픈뱅킹 / 금융위원회 블로그 갈무리또 오픈뱅킹 참여기관이 고객 명의 전화를 식별할 수 있도록 시스템을 구축한다. 즉, 휴대폰으로 금전 거래를 할 경우 금융회사는 고객 명의 휴대폰의 고유 식별번호를 확인하게 된다. 만약, 기존에 사용하던 휴대전화가 아닌 다른 식별번호를 가진 휴대전화로 오픈뱅킹을 등록할 경우 금융회사는 이를 이상거래로 탐지하고 고객에게 주의를 준다. 이 경우 개인정보가 노출돼 범인이 피해자 명의의 별도 휴대전화를 개통해도 피해를 막을 수 있다. 고객의 기존 휴대전화가 아니면 금융회사가 거래를 차단할 수 있기 때문이다. 해당 제도는 올해 안에 도입 완료 예정이다. 피해 발생 후의 수습대책도 마련했다. 앞서 주간경향은 오픈뱅킹으로 인한 피해가 발생해도 신고 절차가 부재해 사고를 파악하고, 조치를 취하기까지 상당 시간이 소요된다는 문제를 지적했다. 이에 금융위는 피해자가 금융감독원이 운영하는 ‘개인정보노출자 사고예방 시스템’에 등록할 경우, 본인 명의의 오픈뱅킹 가입신청 및 계좌연결을 즉시 제한할 수 있게 개선하기로 했다. 또 피해가 발생했거나 우려되는 경우, 피해자가 본인명의 계좌의 거래를 일괄 또는 선택해 이용을 제한할 수 있는 시스템을 구축한다. 앞으로 피해자는 계좌정보통합관리서비스(어카운트인포)에서 명의도용 계좌 개설여부를 확인하고, 지급정지만 신청하면 된다. 해당 제도는 올해 안에 도입 완료할 예정이다. 또, 금융회사 창구 및 고객센터를 방문해 본인명의 계좌에 대한 일괄 지급정지를 신청할 수 있게 2023년 상반기까지 제도를 정비할 방침이다. 마지막으로 휴대전화에 설치된 금융회사 앱과 범인이 스미싱 등을 통해 설치한 원격조정 앱이 동시에 작동하는 문제에 대한 대책도 발표했다. 금융위는 “2023년 상반기까지 금융회사 앱과 원격조종 앱이 연동되지 않도록 하고, 금융보안원이 이를 점검하도록 할 계획”이라며 “디지털 취약계층을 지원하기 위해 금융회사 고객센터 등이 고객 휴대전화에 연동하는 경우라도 계좌개설·자금이체·대출신청 등 거래 관련 기능은 반드시 차단하겠다”고 밝혔다. ■강화되는 신분증 확인 절차 전자금융사기의 시작점이 되고 있는 ‘비대면 계좌개설’ 문제에 대한 대책도 발표했다. 주간경향은 은행을 포함한 시중 금융회사가 비대면 계좌개설 과정에서 신분증 진위확인조차 제대로 하지 않는다는 점을 지적했다. 금융위는 “앞으로 비대면 실명확인 과정 중 제출된 신분증 사본은 반드시 금융결제원의 신분증 진위확인시스템으로 진위여부를 검증하도록 하겠다”며 “안면인식 시스템 이용도 권고사항으로 운영하고, 자체도입이 어려운 금융회사의 경우 금융결제원을 통한 안면인식 시스템을 활용할 수 있도록 할 예정”이라고 밝혔다. 늦어도 2023년 하반기까지 해당 제도 도입을 완료할 예정이다. 비대면 계좌개설 시 강화되는 신분증 확인 절차/금융위 제공정호철 경제정의실천시민연합 간사는 “금융위 발표는 지금까지 문제로 지적된 부분을 대부분 언급하고 있어 다행이라는 생각도 들지만 한편으로는 여전히 사고가 발생했을 경우 책임 소재가 불분명하다는 한계가 있다”며 “제도에 문제가 있음을 알고서도 개선하지 않은 부분에 대해서는 반드시 금융회사에 책임을 물어야 한다”고 말했다.

오픈뱅킹비대면 계좌개설한도축소

[단독]오픈뱅킹 문제, 은행과 당국은 알고도 안 고쳤다(2022. 09. 23 14:26)

2022. 09. 23 14:26 경제 김찬호 기자

ㆍ은행, 2021년 4월 금융위·금결원에 보안 강화 건의서 ㆍ비대면 인증 땐, 사진 가린 신분증도 원본으로 인식 시중은행이 ‘오픈뱅킹’의 문제를 인지하고, 금융위·금융결제원에 개선건의를 했지만 1년이 넘도록 받아들여지지 않은 것으로 확인됐다. 해당 건의에는 ‘오픈뱅킹으로 인한 전자금융사고 추이’뿐만 아니라 ‘오픈뱅킹 사고를 막을 방법, 신고 절차 수립’ 등의 내용도 담겨 있었다. 개선안이 관계자들 손에서 ‘검토 중’인 동안, 존재 자체도 몰랐던 오픈뱅킹으로 인한 피해자들이 발생했다. 건의를 반영해 개선했다면 피해를 입지 않았을 사례들이었다. 은행 거래에 필요한 인증서 발급을 위한 신분증 인증 절차. “반드시 신분증 원본을 촬영해야 한다”고 고지했다. 그러나 원본이 아니어도 인증이 된다. 주민등록증 사진을 가리고 인증서 발급을 위한 본인인증을 해도 통과된다. 휴대폰으로 촬영한 사진을 띄워두고 본인인증을 해도 통과된다. 발급받은 인증서로 오픈뱅킹을 등록하고 계좌이체까지 성공했다. 인증서 발급을 완료한 사진(왼쪽부터) / 김찬호 기자 의도했든, 그렇지 않든 은행과 당국의 방치 속에 피해자들은 평생 일군 재산을 잃었다. 그럼에도 모든 책임은 피해자들에게 전가된다. ‘개인정보를 노출한 것이 문제의 시작’이라는 논리다. 금융권과 당국이 책임에서 자유롭다 보니 오픈뱅킹을 이용한 금융사기 피해자 수, 피해 규모 등은 모두 오리무중이다. 확립된 신고 절차도 없어 피해자가 필요한 조치를 알아보는 데만 최소 하루가 걸린다. 이마저도 방문하는 기관마다 설명이 다르다. 결국 피해자들끼리 알음알음 모여 사고신고, 수습, 피해구제 등의 정보를 공유하고 있다. 피해자들을 괴롭히는 것은 금전피해뿐만이 아니다. 이들은 ‘자괴감’과 ‘주변 인식’이 가장 두렵다고 말한다. ‘오픈뱅킹이 무엇인지 몰라 피해 신고조차 제대로 못 하는 모습’은 무력감을 키운다. ‘스미싱, 보이스피싱이나 당하는 어리숙한 사람’이라는 낙인도 두렵다. 이러한 인식과 오픈뱅킹 1일 이체한도가 1000만원 이하라는 상황이 만나 범죄는 더욱 음성화되고 있다. 수백만원 피해로 변호사를 선임하고, 거대 금융기관과 싸우느니 차라리 금전 피해를 떠안아 버리자는 식이다. 새로운 기술을 이해하고, 이용하는 사람들에게 오픈뱅킹은 생활에 편리를 가져다주는 ‘도구’다. 동시에 오픈뱅킹은 범죄자들에게 범행의 편리를 가져다주는 ‘도구’이기도 하다. ‘생활의 편리’와 ‘범행의 편리’ 사이에는 구멍 뚫린 제도가 있다. 오픈뱅킹 사태의 시작은 ‘피해자들의 부주의’가 아닌 문제를 알고도 방치한 ‘관련기관들의 부주의’라는 지적이 나온다. 1년 넘게 검토만… 은행·당국 책임은 ‘오픈뱅킹 전자금융사고 관련 제도 수립 및 품질 검증 강화’. 국민은행이 2021년 4월 28일 금융위원회·금융결제원에 제출했다는 건의서 제목이다. 해당 문서에는 그동안 확인할 수 없었던 은행이 보는 ‘오픈뱅킹 피해사례 추이’와 ‘문제점’ 등이 담겨 있다. 문서는 “오픈뱅킹으로 인한 전자금융사고 사례가 증가하고 있다”며 “오픈뱅킹을 이용하면 기관 전자금융 가입여부, 비밀번호 검증없이 타 기관 플랫폼에서 거래가 가능하다”고 지적한다. 그러면서 “고객이 개인정보 유출 등의 사고로 은행의 전자금융 이용자 탈퇴, 비밀번호 변경 등록을 완료해도 오픈뱅킹을 이용하면 해당 은행에서 출금이 가능하다”고도 덧붙였다. 이는 주간경향이 지난 1494호에서 지적한 내용과 같다. 은행은 이미 1년도 전에 모든 문제를 파악하고 당국에 보고까지 했다. 그럼에도 개선이 이뤄지지 않았다. 국민은행이 금융위·금융결제원에 제출한 오픈뱅킹 문제 및 개선방안 해당 건의서가 특별한 것은 문제점뿐만 아니라 대안도 담고 있기 때문이다. 우선 오픈뱅킹으로 인한 피해가 발생했을 경우 사고신고 절차가 부재하다는 점을 지적한다. 그러면서 금융사기범죄가 발생하면 모든 오픈뱅킹 거래를 정지할 수 있는 참가기관 ‘공동의 사고신고 절차’가 필요하다고 제안했다. 또 현행 오픈뱅킹은 비밀번호를 검증할 수 있는 API(Application Programming Interface)가 없기 때문에 ‘공동규약으로 정해둔 오픈 API에 비밀번호를 검증할 수 있는 항목을 개설해 보안을 강화하자’는 내용도 담겼다. 쉽게 말해, A은행 오픈뱅킹을 이용해 B금융기관 계좌에서 이체를 하는 경우 돈이 인출되는 B금융기관 계좌 비밀번호를 한 번 더 입력하게끔 하자는 내용이다. 이 경우 오픈뱅킹을 이용하더라도 각 계좌의 비밀번호가 모두 노출되지 않는 한 피해를 막을 수 있다. 결과적으로 두가지 모두 개선되지 않았다. 개선안을 왜 1년 넘도록 반영하지 않았는지 금융위, 금융결제원 쪽에 각각 문의했다. 금융위 관계자는 “지난해 4월 건의가 들어온 것은 맞다”며 “당시 국민은행 측이 오픈뱅킹에 참여하는 기관들의 품질 검증을 강화해 달라고 요청해 개선조치를 완료했다. 그 밖에 다른 내용은 검토 중”이라고 말했다. 금융결제원 관계자는 “오픈뱅킹으로 이체 등을 할 때 비밀번호를 검증하려면 해당 은행앱을 호출해 그 앱에 비밀번호를 쓰게 해야 유출 가능성이 줄어든다”며 “현재 오픈뱅킹은 보안이냐 편의냐 두 가치 중 편의성에 중점을 둔 것인데 이 부분도 당국이 검토 중인 걸로 안다”고 말했다. 그러면서 “금융위가 곧 오픈뱅킹을 포함한 금융사기범죄 방어수단을 발표할 예정”이라고 덧붙였다. ‘긴 검토’ 끝에 관계당국이 오픈뱅킹제도를 보완한다면 환영할 일이다. 하지만 피해자 입장에선 황당하다. 적어도 2021년 4월 이후에는 은행도, 당국도 오픈뱅킹에 심각한 문제가 있다는 점을 인지하고 있었기 때문이다. 정호철 경제정의실천시민연합 간사는 “기술을 도입했는데 문제가 있다면 곧바로 개선을 하든가, 그게 어렵다면 사실을 알리고 잠시 중단을 하는 게 상식 아니냐”며 “결국 피해가 계속 발생할 것을 알면서도 1년 넘게 지켜만 봤다는 얘기”라고 말했다. 임종인 고려대 정보보호대학원 석좌교수는 “처음 오픈뱅킹을 이용해보고 깜짝 놀랐다”며 “클릭 한 번으로 모든 금융계좌에 접근이 가능하고 금융거래까지 할 수 있다는 것은 누구나 잠재적 피해자가 될 수 있음을 의미한다”고 말했다. 그러면서 “사전에 범죄를 완전히 차단하는 것이 어렵다면 사후적으로 출금이나 이체 시 동의를 받게 하는 등의 2차 인증 방식을 도입해야 한다. 기술적으로 그리 어려운 문제도 아니다”고 말했다. 문서의 존재는 은행과 당국이 정말 오픈뱅킹 관련 금융사기범죄에 책임이 없는지 의문을 제기한다. 국민은행뿐만 아니라 농협·신한·하나·우리 은행 관계자들 역시 “제도의 문제점에 대해 관계기관과 수시로 소통하고 있다”고 말했다. 책임이 없다고 주장하는 이들이 자발적으로 제도를 개선하리라 기대하기는 어렵다. 이들의 귀책사유를 더 찾아봤다. 원본확인 기술, 왜 빠졌나 오픈뱅킹 사고 책임과 관련해 시중은행과 당국의 입장에는 미묘한 차이가 있다. “고객 신분증이 유출돼 발생한 사고”라는 인식에서는 유사하다. 그런데 당국은 “비대면 인증 쪽에서 문제가 생기는 것 아니냐”는 전제를 붙인다. 이 말은 어떤 의미일까. 이를 이해하려면 현행 ‘전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법’속 ‘금융회사의 피해 방지 책임’에 주목해야 한다. 즉 금융회사는 전기통신금융사기를 막기 위해 거래 당사자가 ‘본인임을 확인하는 조치’를 해야 한다는 것이다. 이는 ‘금융실명거래 및 비밀보장에 관한 법률’(이하 금융실명법) 제3조 제1항이 명시한 “금융회사 등은 거래자의 실명을 확인해야 한다”는 조항과도 엮인다. 해당 법을 준수하기 위해 과거 본인확인은 대면이 원칙이었다. 은행을 방문해 실물 주민등록증 등을 보여주는 방식이었다. 문제는 비대면 금융거래가 활성화되면서 ‘본인확인’까지 비대면으로 가능해졌다는 점이다. 금융위가 발표한 ‘비대면 계좌개설 시 실명확인 방식 합리화 방안’(이하 ‘가이드라인’)이 적용근거다. 비대면 실명확인을 하는 경우 ‘실명확인증표 사본 제출’, ‘영상통화’, ‘본인만 수취할 수 있는 접근매체(현금카드·OTP 등) 전달 과정에서 본인확인’, ‘기존계좌 활용’, ‘바이오 정보가 포함된 기타 방법’ 중 2가지 이상을 중복 적용하면 된다. 해당 가이드라인에서 말하는 ‘실명확인증표’는 신분증 원본을 말한다. 즉 은행이 비대면으로 고객의 계좌개설을 할 경우 신분증 원본을 촬영한 사본을 제출받아 확인하라는 의미다. 문제는 여기서부터 시작된다. 기자가 제도의 문제점을 파악하기 위해 실제로 시중은행 금융앱을 설치하고, 오픈뱅킹으로 타 은행 계좌의 돈을 이체하는 실험을 해봤다. 먼저 휴대전화 금융앱을 실행시킨다. 거래를 하려면 ‘인증서’를 발급받으라고 한다. 선택지는 모바일 인증서, 금융인증서, 공동인증서 등 다양하다. 이중 모바일 인증서를 선택했다. 첫 번째로 약관동의와 휴대전화 본인인증이 나온다. 이를 완료하면 두 번째로 본인을 확인할 수 있는 방법이 나온다. 이중 신분증 ‘원본’ 촬영을 누르니 주민등록증·운전면허증 중 하나를 선택해 촬영할 수 있다. 금융앱이 휴대전화 카메라를 작동시켰다. 몇가지 실험을 해봤다. 주민등록증 사진을 가려봤다. 본인인증이 됐다. 별도의 휴대전화를 가져와 주민등록증 사진을 촬영한 뒤 해당 사진을 띄워두고 본래 휴대전화로 인증을 해봤다. 역시 인증이 됐다. 주민등록증을 촬영한 사진이 어딘가로 유출됐다면 그 사진만 가지고도 본인인증이 된다는 의미다. 이번에는 주민등록증 사진을 촬영해 각각 흑백·컬러로 프린트했다. 흑백 사진은 인증에 실패했다. 반면, 컬러로 프린트한 주민등록증은 인증이 됐다. 금융앱은 원본을 요구할 뿐 고객이 제시하는 신분증이 원본인지, 아닌지를 걸러낼 능력은 없었다. 신분증 사본 유출로 금융사기피해를 당한 사람들이 모인 단체 대화방. 지난 9월 21일 기준 379명의 피해자가 모였다 / 박정경씨 제공 금융위에 가이드라인의 명확한 의미에 대해 물었다. 금융위 관계자는 “실명확인증표는 신분증 원본을 의미하는 것”이라며 “가이드라인을 준수해야 할 의무는 1차적으로 금융기관에 있다”고 말했다. 결국 시중은행은 금융위 가이드라인 나아가 금융실명법을 제대로 준수하지 않고 있는 것이다. 그렇다면 혹시 신분증 원본을 확인할 기술이 없는 것은 아닐까. 보안 관련 업체들을 수소문해봤다. 이미 2000년대 초반부터 신분증이 원본임을 확인할 수 있는 시스템은 개발돼 있었다. 그럼에도 비대면 본인확인 시 해당 기술을 적용하지 않았다. 신분증 진위확인 기술을 보유한 한 업체 관계자는 “은행이 신분증 원본 확인 기술을 도입하려면 아무리 많이 잡아도 초기 비용 10억원 정도면 충분하다”며 “이후 2년차부터 운영비용으로 연간 1억6000만~1억8000만원 정도가 든다”고 말했다. 신분증 인증 후 계좌인증 단계를 지나니 모바일 인증서 발급이 완료됐다. 인증서로 무엇을 할 수 있을까. 기자 명의의 모든 계좌를 연동시켰다. 타 은행 계좌에서 이체를 해봤다. 별도의 비밀번호 확인 없이 곧바로 이체가 완료됐다. 신분증과 계좌는 피싱 피해에서 단골로 유출되는 정보다. 범인들은 한국 금융시스템의 맹점을 파악하고, 원하는 정보만 쏙쏙 탈취했다. 비단 새로운 것도 아니다. 몇년째 유사한 방식의 범죄가 반복되지만, 당국과 은행은 고객 주의만 당부할 뿐 보안강화에는 눈을 감고 있었다. 뻔히 범인이 악용할 것으로 예상되는 또 다른 제도만 도입했다. 지금의 오픈뱅킹이다. 거래 즉시정지·일괄 신고만 가능했어도 만약 오픈뱅킹을 이용한 피해가 문서 속 건의대로 보완이 이뤄진 상태에서 발생했다면 어땠을까. 문서를 바탕으로 추가로 검증해봤다. A씨는 지난 8월 21일 오후 12시 44분 “아빠 나 폰이 먹통 됐어. 임시용 번호로 문자하는 건데 확인하면 여기로 답장줘”라는 문자를 받았다. A씨는 딸이 보낸 문자로 착각해 카카오톡으로 대화를 이어갔다. 범인은 “아빠 주민등록사진, 계좌번호, 비밀번호를 달라”고 요청했다. A씨는 해당정보를 전송했다. 범인은 A씨의 주민등록증 등을 이용해 국민은행 인증서를 발급받고 오픈뱅킹을 등록했다. A씨의 모든 계좌가 범인에게 공개됐다. 오후 4시 43분 A씨 명의의 농협은행 계좌에서 602만원이 현모씨 명의의 농협은행 계좌로 이체됐다. 오픈뱅킹은 1일 이체한도가 1000만원이다. 소용없었다. 범인이 오픈뱅킹을 이용해 A씨 명의의 농협은행 계좌가 한도 5000만원짜리 마이너스통장이라는 점까지 파악했기 때문이다. 하필 정보를 알려준 바로 그 계좌였다. 범인은 A씨 농협은행 계좌에서 신한은행 2번, 국민은행 1번, 농협은행 2번 등 모두 5차례에 걸쳐 총 3764만원을 이체했다. 첫 이체 시작 후 범행 완료까지 걸린 시간은 1시간 30분. 전자금융사기치고는 꽤 오랜 시간이 걸린 셈이다. 그럼에도 이 시간 동안 은행은 A씨에게 ‘경고’를 하지 않았다. 이날은 ‘일요일’이었다. A씨는 “22일 은행 업무 개시 이후에 농협에서 의심되는 거래가 발견됐다고 연락을 줘서 그때야 피해사실을 알았다”며 “국민은행으로부터는 아무 연락도 받지 못했다”고 말했다. 피해자 A씨 농협은행 계좌에서 예금이 인출된 순서. 피해자 A씨에게 범인이 보내온 문자. 딸을 사칭했다.(왼쪽부터) / A씨 제공 시중은행은 모두 이상거래감지 시스템을 가동 중이다. 왜 사건이 발생하고 하루가 지난 뒤 통보가 이뤄졌는지 물었다. 농협은행 관계자는 “이상거래감지 시스템은 주말 없이 24시간 가동되는 것이 맞다”면서도 “다만 스미싱 피해를 당한 경우 고객이 계좌번호, 비밀번호 등을 직접 노출한 것이기 때문에 이상거래로 잡아내기가 어려운 점이 있다”고 말했다. 그럼 어떻게 하루 뒤에는 이상거래로 판단하고 통보한 것인지 의문이 남는다. 이에 대해 “통보한 부서가 이상거래를 감지하는 부서와 다른 부서”라며 “이들이 출근해 거래패턴을 분석해 알려준 것”이라고 말했다. 피해사례 중에는 유독 일요일 발생이 많다. 일요일에 모르는 번호로 신분증 사진을 요구해올 경우 특히 조심해야 한다. 이처럼 피해사례를 모으면 은행의 취약점과 범행의 유사한 패턴을 찾을 수 있었다. 범죄 악용 가능성이 우려돼 공개적으로 밝힐 순 없지만 관계기관들은 피해자들의 목소리에 귀를 기울여 서둘러 보안강화 조치에 나서야 한다. A씨는 피해 규모를 확인하고 필요한 조치를 했다. 계좌가 있는 은행마다 일일이 돌아다니며 피해 사실을 알려야 했다. 잊고 지낸 카드나 통장이 있을까 불안해 딸에게 사실을 알렸다. 딸의 도움으로 범인이 알뜰폰을 개통한 것도 뒤늦게 알았다. A씨의 딸은 “나 역시 오픈뱅킹 사고가 나면 어떻게 해야 하는지 파악하기가 어려웠다”며 “대응 매뉴얼도 없기 때문에 여기저기 묻고 물어 피해가 발생할 수 있는 곳을 하나씩 찾아 막았다”고 했다. 그러면서 “오픈뱅킹이 뭔지도 모르는 아버지가 홀로 대처하기란 사실상 불가능하다”고 설명했다. 휴대전화 통제권이 범인에게 넘어가더라도 모든 오픈뱅킹 거래를 즉시 정지시킬 수 있다면 2차, 3차 피해를 막을 수 있다. 또 일괄적으로 신고할 수 있는 절차가 있다면 피해자들이 지금처럼 필요한 조치가 누락됐을까봐 불안에 떠는 일은 줄일 수 있다. A씨는 “아직도 모르는 번호로 전화가 오거나 문자가 오면 심장이 쪼그라든다”며 “무슨 일이 더 생길지 모르는 두려움에서 오는 것 같다. 피가 마른다”고 하소연했다. 당국이 방관하는 사이 피해자들은 서로를 돕고 있다. 지난 1월, 신분증 사본 유출 등으로 금전 피해를 입은 사람들이 모이는 단체 대화방이 만들어졌다. 9월 현재, 379명이 대화방에 들어와 있다. 이들은 피해 처리 과정에서 알게 된 경험을 서로에게 공유한다. 먼저 겪은 피해자가 나중에 겪은 피해자를 위로하며 돕고 있다. 이와 별개로 이체가 발생할 때 각각의 은행계좌 비밀번호를 입력하게 하는 것도 대안이 될 수 있다. 조금의 불편함을 감수하더라도 혹시 모를 재산 피해를 막는 방식이다. 현행 오픈뱅킹은 한 계좌 정보만으로 모든 계좌에 제한없이 접근할 수 있다. 은행의 의무와 소비자의 의무 사이 2022년 8월 말 기준, 오픈뱅킹에는 중복가입을 포함해 1억4061만명이 가입돼 있다. 총인구수의 3배에 가깝다. 이를 뒤집어보면, 한국에는 잠재적 범행 기회가 1억4061만번이나 있는 셈이다. 일각에서는 “기술을 따라가지 못하는 사람들의 문제”라고 말한다. 피해를 바라보는 일부 은행의 태도와 유사하다. 심지어 법원 판단도 그렇다. ‘대법원 판례 2017다257395’의 요지는 “설령 의사에 반해 공인인증서 등으로 본인임이 확인됐다고 하더라도 ‘특별한 사정이 없는 한’, 수신자가 ‘정당한 이유’가 있는 자가 보냈다고 믿을 수 있는 경우 전화통화나 면담 등의 추가 본인확인 절차 없이 금융거래를 할 수 있다”이다. 해당 판례 속 공인인증서는 현행 방식(모바일·공동·금융 공인인증서)으로 바뀌기 전의 구(舊) 공인인증서다. 새로운 체제의 공인인증서를 이용한 범죄에도 판례를 적용할 수 있느냐는 논란의 여지가 있다. 다만 적용 법리는 동일하다. 인증기관이 발급한 인증서로 이뤄지는 거래에서 은행은 책임이 없다는 것이다. 정지웅 법률사무소 정 변호사는 “핵심은 인증서가 아닌 은행이 금융위가 요구하는 수준의 본인확인 절차 의무를 정말 다했느냐에 있다”며 “비대면 금융거래로 인한 범죄행위가 늘어가는 상황에서 신분증 등의 원본 확인이 제대로 이뤄지지 않았다면 이는 의무를 다한 것으로 보기 어렵다”고 말했다. 사고 발생 시 은행이 공동책임을 져야 한다면 자발적인 보안강화를 기대할 수도 있다. 국회도 문제를 인지하고 관심을 보이고 있다. 강병원 의원은 “오픈뱅킹 사고신고 제도 수립과 피해가 발생했을 경우 모든 계좌거래를 일괄 제한할 수 있는 시스템 구축 등 실효성 있는 대책 마련이 시급하다”며 “범죄 수법이 날로 고도화되는 상황에서 새로운 금융시스템을 도입할 때는 항상 금융소비자의 안전성을 고려한 세밀한 대책이 동반돼야 한다”고 밝혔다.

특집

[단독]존재도 몰랐던 ‘오픈뱅킹’에 내 계좌가 전부 털렸다(2022. 09. 02 11:31)

2022. 09. 02 11:31 경제 김찬호 기자

금융위원회 공식 블로그에서 홍보하고 있는 오픈뱅킹 / 금융위원회 블로그 갈무리 은행 이용의 편의를 위해 도입한 ‘오픈뱅킹’이 금융사기범죄에 속수무책인 것으로 드러났다. 개인정보를 확보한 범인은 오픈뱅킹을 이용해 피해자의 모든 계좌에 손쉽게 접근할 수 있다. 이를 우려해 사전에 오픈뱅킹 등록을 차단하거나 이체한도를 줄이려 해도 불가능하다. “규정이 없다”는 이유로 은행이 관련 조치를 거부한다. 이로 인해 2차, 3차 피해가 발생해도 책임은 전부 피해자에게 돌아간다. 금융권 범죄를 관리·감독하는 당국 역시 속수무책이다. 금융감독원, 경찰 모두 오픈뱅킹을 이용한 범죄를 별도 관리하지 않는다. 기술을 도입한 지 3년여가 지났지만 “오픈뱅킹은 새로운 기술이어서 지켜보고 있다”는 입장이다. 은행이 보안 강화에 자발적으로 나서길 기다리는 모양새다. 오픈뱅킹을 이용한 범죄 방식, 규모 등의 실체파악이 제대로 이뤄지지 않는만큼 대책도 없다. 고객 스스로 피해를 당하지 않도록 주의하는 게 사실상 유일한 대안이다. 오픈뱅킹은 은행 이용에 필요한 시간, 비용 등을 획기적으로 절약한다고 홍보됐다. 새로운 기술 활용에 익숙한 세대를 중심으로 이용자도 급격히 증가했다. 반면, 오픈뱅킹이 초래할 수 있는 문제에 대한 경고는 제대로 이뤄지지 않았다. 이로 인해 ‘기술이 있는지도 모르고, 앞으로 이용할 의사도 없는 사람들’이 금융사기범죄 피해를 입고 있다. 이들은 주로 고령자다. 오픈뱅킹 가입을 독려한 은행, 이들을 감독하는 금감원, 피해수사를 책임진 경찰이 충분히 예상가능한 문제를 지켜보는 사이 누군가에게 오픈뱅킹 기술은 ‘재앙’이 됐다. ‘개인정보가 노출되면 피해자의 모든 은행계좌가 한꺼번에 위험에 노출될 수 있다. 모든 계좌를 확인해야 한다’. 장점 사이에 가려져 숨겨져 있던 오픈뱅킹의 또 다른 본질이다. 가입은 ‘환영합니다’, 문제 생기면 ‘우리 책임 아닙니다’ 지난 8월 6일 A씨는 낯선 번호로 “아빠 나야 휴대폰이 고장 나서 수리 맡겼어. 문자 확인하면 여기로 답장줘”라는 문자메시지를 수신했다. 실제 딸이 보낸 문자로 착각한 A씨는 발신자와 몇차례 대화를 주고받은 뒤 요청대로 휴대폰 앱을 설치하고, 신분증 사진을 전송했다. 딸을 사칭한 범인에게 속아 넘어간 A씨는 하나은행 계좌번호까지 알려주고 말았다. A씨가 스미싱 범인에게 받은 문자 내용./A씨 제공 뒤늦게 이상함을 눈치챈 A씨는 딸과 통화한 후 하나은행 계좌에 입금돼 있던 약 200만원을 즉시 인출했다. 범인에게 노출된 하나은행 계좌만 조치하면 문제가 없으리라고 판단했다. 흔히 볼 수 있는 스미싱 범죄(인터넷주소가 포함된 문자를 피해자에게 보내 악성코드를 설치한 후 개인정보를 탈취하는 수법)라는 생각이었다. 착각이었다. A씨가 모르는 사이 도입된 기술은 상상도 하지 못했던 범죄에 그를 노출시켰다. 범인은 은행 간 금융결제망을 개방하는 ‘오픈뱅킹’ 기술을 이용해 A씨 명의의 모든 계좌를 손에 넣고 있었다. 범인이 사용한 방식은 손쉬웠다. A씨 휴대폰으로 악성코드가 포함된 인터넷주소를 보내 누르게 하고, 원격조정이 가능한 앱을 설치했다. 여기까지는 일반적인 스미싱 범죄와 같았다. 이후 범인은 A씨 휴대폰을 조작해 우리은행 계좌를 만들고, 오픈뱅킹을 등록했다. 오픈뱅킹을 이용하면 은행이나 핀테크 기업 앱 하나로 한 사람의 모든 계좌에 접근이 가능하다는 점을 악용한 것이다. 안전장치 역시 쉽게 무력화했다. 오픈뱅킹을 등록할 때 필요한 본인 인증은 타행계좌 인증 방식 등으로 간단히 통과했다. 이 방식은 인증기관이 A씨 명의 계좌로 1원을 보낸 후 입금자명(보통 ‘숫자’)을 입력하면 본인 인증이 완료되는 것이다. A씨의 하나은행 계좌는 바로 여기서 이용됐다. 유사한 방법으로 우리은행의 모바일 금융인증서(WON 금융인증서)도 발급받았다. 우리은행의 비대면 실명확인 방법을 사용하면, 신분증 촬영과 계좌인증만으로 발급이 가능하다는 점을 악용한 것이다. A씨는 기존에 우리은행과는 거래를 하지 않았다. 그럼에도 우리은행 오픈뱅킹을 통해 A씨의 모든 계좌가 범인에게 넘어갔다. 범인은 A씨의 농협계좌에 있던 602만원을 기업은행 ‘이규형’이라는 이름의 계좌로 이체했다. 처음 문자를 보낸 후 이체완료까지 걸린 시간은 단 35분이었다. 우리은행의 비대면 실명확인 방식. 신분증과 계좌정보만 있으면 손쉽게 가능하다. / 우리은행 모바일앱 갈무리 범인에게 신분증, 계좌번호를 공개한 것은 A씨의 부주의다. 이로 인해 발생한 문제에 대해 A씨는 금전적 피해로 책임을 졌다. A씨는 “범인을 꼭 잡을 수 있길 바랄 뿐 해당 부분에 대한 책임까지 피하려는 것이 아니다”고 했다. 문제는 추가 피해를 막으려는 피해자의 ‘당연한’ 조치에서 발생했다. 이는 한국의 오픈뱅킹 제도가 얼마나 허술한지를 보여준다. 오픈뱅킹의 특성상 A씨의 또 다른 계좌에서 추가 이체가 발생할 수 있었다. A씨는 경찰의 도움을 받아 휴대폰에 설치된 원격조정 앱부터 삭제했다. 또 범인이 A씨 명의로 신규 휴대폰을 개설하는 것을 막기 위해 명의도용방지서비스를 제공하는 엠세이퍼(www.msafer.or.kr)를 통해 제한조치를 완료했다. 남은 것은 가장 핵심인 오픈뱅킹에 대한 조치였다. 그런데 여기서 문제가 발생했다. 은행이 A씨가 요구한 오픈뱅킹에 대한 일련의 조치를 모두 거절했다. 지난 8월 8일, A씨는 우리은행 지점을 방문해 오픈뱅킹 개설을 사전에 차단할 수 있는지 물었다. “그럴 수 없다”는 대답이 돌아왔다. A씨는 오픈뱅킹이 무엇인지도 모르고, 앞으로 이용할 계획도 없지만 등록을 사전에 막을 수 없다는 것을 이해할 수 없었다. 그렇다면 범인이 자신(A씨)의 계좌에 접근해 돈을 이체할 수 없도록 제한을 걸거나 이체한도를 소액으로 설정할 수는 있는지 물었다. 이에 대해서도 우리은행 측은 “오픈뱅킹은 1000만원보다 이체한도를 적게 설정할 수는 없다”고 답했다. A씨는 “내 부주의로 발생한 손해를 책임져 달라는 것도 아니고 단지 추가 피해를 막아달라는 것이었다”며 “이체제한이나 이체한도 설정도 불가능하다는 것을 금감원에 따지기 위해 서면으로 해당 내용을 답변해달라고 했지만 우리은행은 이마저도 거부했다”고 말했다. 결국 A씨는 추가피해를 막기 위해 오픈뱅킹으로 접근 가능한 모든 금융권 계좌에서 돈을 인출했다. A씨는 “내가 피해자임에도 마치 신용불량자처럼 금융거래를 하지 못하고 있다”며 “언제까지 이렇게 지내야 할지 알 수 없어 너무 괴롭다”고 말했다. 오픈뱅킹 제한조치를 거부한 우리은행에 해당 내용을 서면으로 답변해줄 것을 요청한 민원 내용. A씨는 우리은행 측이 “서면 답변을 거부했다”고 말했다./A씨 제공 은행 vs 금융결제원… 누구의 말이 진실인가 A씨가 겪은 피해 사례는 여러 의문점을 남긴다. 특히 범죄에 대응하는 과정에서 은행은 대체 무슨 일을 할 수 있는지가 핵심이다. 우리은행 관계자는 기자와의 통화에서 “오픈뱅킹 스미싱은 범인이 유도하는 대로 피해자가 앱을 설치하고, 신분증을 보냈기 때문에 발생한 것”이라며 “의심되는 앱은 설치하지 말라고 경고를 했음에도 발생한 피해까지 막기는 어렵다”고 말했다. 해당 답변은 A씨가 요구한 사후 조치에 대한 내용이 아니다. A씨는 이미 발생한 금전 피해가 아닌 ‘오픈뱅킹을 앞으로도 이용하지 않을 테니 등록을 사전에 막아달라’, ‘계좌이체를 제한하거나 이체한도를 소액으로 제한해달라’고 요구했다. 다시 우리은행 관계자에게 물었다. 사전 등록제한과 관련해서는 “오픈뱅킹을 이용할 의사가 없다고 하더라도 막을 수 없다”고 답했다. 그러한 제도 자체가 없다는 이유다. 또 이체제한, 이체한도 설정과 관련해서는 “오픈뱅킹 이체한도가 1일 1000만원으로 설정된 것은 금융결제원이 결정한 것으로 전체 금융권이 일관되게 적용받는다”며 “오픈뱅킹은 금융결제원이 만든 전산망을 쓰기 때문에 임의로 이체를 제한하거나 한도 설정을 변경해줄 방법이 없다”고 말했다. 은행은 고객들에게 오픈뱅킹 가입을 홍보해왔다. 하지만 막상 문제가 발생하면 금융결제원 전산망을 쓰기 때문에 은행은 책임이 없다는 것이다. 우리은행만의 입장인지 확인이 필요했다. 사실관계를 보다 명확히 하기 위해 우리은행을 포함한 5대 은행(국민·신한·농협·하나·우리) 고객센터에 동일한 질문을 했다. 답변의 포장을 막기 위해 은행 홍보팀이 아닌 일반 고객들이 접근할 수 있는 ‘고객센터’에 연락했다. 그 결과 자체 시스템으로 사전에 오픈뱅킹 등록제한이 가능하다고 안내하는 곳이 있었다. ‘하나은행’이었다. 하나은행 관계자는 “오픈뱅킹 이용을 원하지 않으면 가까운 영업점에 신분증을 가지고 방문해 오픈뱅킹 사용거부 등록을 하면 된다”고 말했다. 등록제한이 기술적으로 불가능한 것은 아니라는 의미다. 이외 4개 은행은 오픈뱅킹 등록을 사전에 제한하는 방법은 없다고 답했다. 이체제한, 이체한도 설정과 관련해서는 5개 은행 모두 “금융결제원이 1일 이체한도 1000만원을 지정했기 때문에 개별적으로 이체를 제한하거나 한도를 줄이는 것은 불가능하다”고 답변했다. 다만 신한은행은 안전장치를 하나 두고 있었다. ‘만 50세 이상 고객이 최초 오픈뱅킹 등록 시, 12시간 동안 이체를 제한하는 제도’를 운영했다. 농협은 농협계좌의 이체한도를 소액으로 설정해두면 오픈뱅킹 이체한도 1000만원에 우선해서 적용한다고 말했다. 즉 은행이 마음만 먹으면 이체제한, 한도설정이 불가능한 것도 아니라는 것이다. 은행들은 금융결제원 지침을 이유로 오픈뱅킹에 대한 조치가 어렵다고 했다. 이에 대해 금융결제원에 사실관계 확인을 요청했다. 관계자는 “전혀 사실이 아니다”며 “시중 은행에서 오픈뱅킹 1일 이체한도를 1000만원 이하로 낮춰도 문제가 없다. 은행들과 만든 이용약관에도 이체한도는 1000만원 범위 내에서 설정해야 한다고 했기 때문에 자유롭게 설정하면 된다”고 말했다. 또 “오픈뱅킹을 이용할 의사가 없는 고객들의 등록을 사전에 막아두는 제도 역시 은행들이 자율적으로 제공하면 된다”며 “금융결제원은 은행들의 오픈뱅킹 제도 운용에 제한을 두는 지침을 준 적이 없다”고 밝혔다. 주요 시중은행은 금융결제원의 사원으로 등록돼 있다. 그럼에도 이들 내부에서조차 규정을 둘러싼 이해가 다르다. 서로에게 책임을 떠넘기는 사이 피해를 입는 것은 오픈뱅킹이 무엇인지도 몰랐던 A씨와 같은 일반 시민들이다. 왜 모든 책임을 고객이 떠안나 해당 문제에서 자유로울 수 없는 것은 금융 관련 사건을 감독하는 금감원, 사후 수사를 담당하는 경찰도 마찬가지다. 금감원에 해당 사례에 대한 입장을 요청했다. 금감원 관계자는 “사전에 오픈뱅킹 등록을 막는 제도가 정규화된 것은 없다”며 “시중은행에 오픈뱅킹 관련 주의사항을 여러번 당부했지만 일률적으로 대안을 강제하기는 어려운 사안이다. 사기예방 서비스는 은행이 자율적으로 도입하는게 맞는 것 같다”고 말했다. 오픈뱅킹의 경우 잊고 있던 계좌를 도용당해 등록될 수도 있다. 적어도 본인 명의 계좌가 도용돼 오픈뱅킹에 가입됐는지 정도는 금감원에서 조회할 수 있어야 한다. 하지만 이에 대한 대책도 없다. 관계자는 “금감원이 제공하는 시스템에 등록하면 신규계좌 개설이나 대출은 제한되지만 오픈뱅킹 가입여부를 조회하거나 해지하는 시스템은 아직 없다”며 “올해 연말까지 금융결제원과 논의해 이러한 시스템을 구축하는 것이 목표”라고 말했다. 금감원은 오픈뱅킹을 이용한 범죄에 대해서도 별도 통계를 가지고 있지 않다고 밝혔다. 경찰도 상황은 크게 다르지 않다. 경찰청 관계자에게 오픈뱅킹을 이용한 금융범죄에 대해 물었다. “이러한 범죄는 보통 대포폰, 차명계좌 등을 이용해 이뤄지기 때문에 범인 검거가 쉽지 않은 것이 현실”이라며 “가장 바람직한 것은 피해자 휴대폰에 해킹앱이나 원격조정앱이 설치되면 금융앱이 작동하지 않도록 사전에 차단하는 것인데 제1금융권의 경우 이러한 제도를 이미 도입했다”고 말했다. 그러면서 “A씨 사례의 경우 원격제어앱과 금융앱이 어떻게 동시에 작동할 수 있었는지 확인해봐야 한다”고 말했다. 실제로 스미싱 피해가 늘어나면서 휴대폰에 악성앱이 설치되면 금융앱이 작동하지 않도록 하는 기술이 도입됐다. 우리은행 관계자에게 앱 보안 문제에 대해 확인을 요청했다. 관계자는 “은행앱이 악성앱을 탐지하는 기능은 기본적으로 탑재된 것이 맞다”면서도 “이를 피할 수 있는 경우의 수가 너무 많다”고 말했다. 악성앱이 감지되면 ‘알 수 없는 어플’이라는 경고문이 뜨는데 이용자가 이를 무시하고 설치를 강행하면 보안기능이 무력화된다는 것이다. 또 보안 기술을 회피할 수 있는 새로운 악성앱이 개발됐을 가능성도 배제할 수 없다고 설명했다. 경찰 관계자는 이에 대해 답답함을 호소한다. “금융권은 자사 앱 보안 기능이 제대로 작동하는지 경각심을 가져야 한다”며 “경찰에서 매번 이를 확인하려고 해도 현실적인 어려움이 있다”고 말했다. 악성앱과 금융앱이 동시에 작동하는 것에 대한 책임이 누구에게 있는지는 상황에 따라 달라질 수 있다. 그럼에도 책임은 고스란히 피해자에게만 전가된다. 모든 잘못이 피해자에게만 있다는 것이다. 해당 사안에 대해 정지웅 법률사무소 정 변호사는 “오픈뱅킹 등록을 사전에 제한하는 조치가 은행의 자율적 영역이 맞다면, A씨 사례처럼 은행이 고객의 등록제한 요청을 거부한 것은 지나친 권리 침해로 보인다”며 “오픈뱅킹 등록제한, 이체제한, 앱 보안 등이 기술적으로 불가능한 문제도 아닌 만큼 법적으로 다퉈볼 여지가 있다”고 말했다. 정 변호사는 경실련 금융개혁위원으로 활동하며 금융위원장을 상대로 불법 공매도 세력의 명단 공개 소송을 내 승소를 이끈 바 있다. A씨는 한 달째 모든 생활을 현금으로만 하고 있다. 은행 예금은 모두 인출했다. 오픈뱅킹을 통해 A씨 명의의 또 다른 은행계좌에서 피해가 발생할까 불안하기 때문이다. 금전적 피해보다 A씨를 괴롭히는 것은 자괴감이다. A씨는 “오픈뱅킹 제도가 있는지도 몰랐고, 설사 알고 있었다고 해도 이용할 생각이 없는데 피해는 전부 내 책임이라고 한다”며 “돈을 잃은 것보다 괴로운 것은 은행이 하루아침에 나를 세상 물정 모르는 한심한 사람으로 취급하는 것”이라고 말했다. 모든 문제를 피해자 탓으로 돌리는 건 책임을 회피하는 방법 중 가장 전형적인 모습이다. 제도의 맹점을 피해자의 잘못으로 가린다. A씨 사례처럼 오픈뱅킹으로 모든 계좌가 범죄자에게 노출됐다면, 그로 인해 발생한 2차, 3차 피해까지 오롯이 피해자 책임인지는 따져봐야 한다. A씨는 오픈뱅킹 기술을 알지도, 이용에 동의하지도 않았기 때문이다. 추석, 부모님께 ‘이것’만은 알려드리세요 취재 완료 후 몇몇 은행에서 기자에게 연락해왔다. 주요 내용은 “오픈뱅킹이 범죄에 이용되는 것을 막기 위해 이런 제도가 있다”는 것이다. 문제는 은행 홍보팀이 ‘기자’에게 알려주는 내용과 은행 고객센터 직원들이 ‘고객’에게 알려준 내용에 차이가 있다는 점이다. 좋은 제도가 있더라도 제대로 알려지고 이용하지 않으면 해당 제도는 없는 것과 같다. 이들 은행은 ‘왜 같은 은행에서 다른 설명을 내놓느냐’는 기자의 질문에 “고객센터 직원들이 규정을 제대로 습득하지 못한 것 같다”고 말했다. 은행 고객센터 업무는 대부분 외주업체에 맡긴다. 결국 은행은 잘못이 없고, 규정을 제대로 습득하지 못한 외주업체 직원의 잘못이라는 의미다. 오픈뱅킹을 이용한 스미싱 피해자들은 적게는 수백만원부터 많게는 수천만원 이상의 피해를 입는다. 이들이 입는 정신적 피해 역시 막대하다. 단순히 규정을 제대로 습득하지 못한 것이라는 은행의 답변이 무책임하게 느껴지는 것은 이 때문이다. 오픈뱅킹 제도의 특성상 한 은행에서 등록제한, 이체제한을 한다고 위험이 완전히 사라지는 것은 아니다. 그럼에도 피해 가능성을 조금이라도 줄이기 위해 몇몇 은행이 뒤늦게 알려온 내용들을 정리했다. 이례적으로 이들 입장을 추가하는 것은 해당 은행을 옹호하거나 오픈뱅킹의 위험을 완전히 불식시킬 수 있는 방법이 있어서가 아니다. 오픈뱅킹의 안전성이 강화될 때까지 조금이라도 피해를 줄여보기 위함이다. 신한은행 관계자는 “오픈뱅킹 등록 사전 차단 서비스를 제공하고 있다”며 “가까운 영업점을 직접 방문하거나 모바일앱을 통해 조치할 수 있다”고 말했다. 하나은행 관계자 역시 “영업점을 직접 방문하는 것뿐만 아니라 인터넷, 모바일 뱅킹 등을 통해 비대면으로 등록을 사전에 차단할 수 있다”며 “만 48세 이상 고객이 최초 오픈뱅킹 등록 시, 12시간 동안 이체제한 서비스도 제공하고 있다”고 말했다. 우리은행 관계자는 “현재, 오픈뱅킹으로 발생하는 전자금융사기 방지를 위해 금융결제원와 수시로 연락해 현 문제점에 대해 논의하고 있으며, 은행 내부적으로도 오픈뱅킹 서비스 가입 제한 장치 마련 등을 검토 중에 있다”고 말했다. 국민은행 관계자는 “국민은행에는 계좌번호가 노출되지 않게 숨기는 기능이 있다”며 “이를 활용하면 타행 오픈뱅킹을 이용해도 국민은행 계좌는 연동되지 않을 수 있다”고 말했다. 금융사기범죄는 주로 고령층을 대상으로 발생한다. 오픈뱅킹을 악용하면, 그 피해가 기존 스미싱 범죄에 비해 훨씬 더 커질 수 있는 만큼 각별한 주의가 요구된다. 오는 추석 부모님께 알려드리면 좋을 내용들을 정리했다. 첫째, 가장 기본이다. 모르는 번호로 ‘딸, 아들’이라며 문자가 오는 경우가 의심해 봐야 한다. 특히, 최근 오픈뱅킹 스미싱 피해를 입은 피해자들은 모두 “아빠(엄마) 나야 휴대폰이 고장 나서 수리 맡겼어. 문자 확인하면 여기로 답장 줘”라는 문자를 받았다. 또 신분증 사진을 보내달라거나 계좌번호를 물어보는 경우 의심해야 한다. 오픈뱅킹 등록의 경우 타행 계좌인증 방식으로 본인인증을 하는 경우가 많기 때문에 누군가 계좌번호를 물어보는 경우 더욱 의심해 봐야 한다. 둘째, 오픈뱅킹을 이용한 스미싱 피해는 휴대폰 원격조정 앱의 설치만 막아도 피해를 줄일 수 있다. 인터넷 주소가 포함된 문자를 받는 경우 어떠한 경우에도 이를 눌러봐서는 안된다. 셋째, 위의 주의사항 모두가 뚫렸다면 즉시, 경찰에 신고하고 휴대폰에 설치된 원격조정앱, 해킹앱부터 삭제할 수 있게 도움을 받아야 한다. 또, 본인 명의의 모든 은행계좌를 반드시 확인해야 한다. 현재 오픈뱅킹이 등록된 계좌를 한 번에 확인할 방법이 없다. 본인 명의 계좌가 있는 각 금융기관에 모두 연락해 오픈뱅킹 등록이 발생했는지 확인하고, 스미싱 피해를 당했음을 알려야 한다. 신분증이 노출된 경우 본인도 모르게 휴대폰이 개통돼 2차, 3차 피해를 입을 수 있다. 명의도용방지 사이트 엠세이퍼(www.msafer.or.kr)에서 가입제한을 신청해야 한다. 넷째, 오픈뱅킹을 모르거나 이용할 생각이 없다면 등록 사전제한 서비스를 신청해 두는 것이 좋다. 아쉽게도 현재 5대 시중은행 중 등록제한이 가능한 곳은 신한, 하나은행뿐이다. 이들 은행들이라도 사전에 차단 서비스를 신청해두는 것이 좋다. 아울러 농협, 우리은행은 자사 이체한도가 오픈뱅킹 이체한도(1000만원)보다 우선 적용된다고 밝혔다. 이들 은행의 이체한도를 소액으로 설정해두는 것 역시 피해를 줄일 수 있는 방법이 될 수 있다. *오픈뱅킹을 이용한 스미싱 피해를 입은 분들의 제보를 기다립니다. 오픈뱅킹의 기술적 문제점을 알고 있는 전문가분들의 연락을 기다립니다.