내 통장도 털렸어요!

<앵커멘트>

지난주 취재파일K에서 보도한 농협 전자금융사기 사건이 큰 반향을 일으켰습니다.

방송 직후 금융감독원이 농협에 대한 조사에 착수했고, 경찰은 재수사를 시작했습니다.

그런데, 이 사고를 미연에 방지할 수는 없었을까요?

많은 전문가들은 충분히 그럴 수 있었다고 말합니다.

우리나라 은행들의 허술한 보안 실태와 피해자들이 겪는 고통을 양성모 기자가 취재했습니다.

<리포트>

<인터뷰> 이상신 : "통장에 1억 2천 얼마가 있어야 되는데 잔고가 하나도 없고 마이너스 498만 원이 돼 있는 거예요."

<인터뷰> 이영선 : "모르고 있잖아요 돈이 어떻게 나간 건지... 은행에다가 어떻게 돈을 예치를 시켜요?"

<인터뷰> 임종인 : "세계적으로는 FDS(이상거래탐지시스템)이 발달되어 있는데 우리는 그런 쪽이 전혀 안 돼 있습니다."

통장에 있던 전 재산 1억 2천만 원을 수법조차 알기 힘든 전자금융사기로 잃은 이상신 씨.

<녹취> "텔레뱅킹인데 인터넷으로 접속은 돼 있더라고요."

돈이 빠져나가기 하루 전인 지난 6월 25일.

이 씨 계좌 접속 기록엔 밤 9시 30분부터 중국 IP 접속 흔적이 남아 있습니다.

사기범들은 먼저 이 씨가 인터넷뱅킹에 가입했는지를 알아본 것으로 파악됩니다.

<녹취> "가입시도는 했던 건 같은데...."

농협 측은 이 IP로 돈을 빼가진 못했기 때문에 사건과는 직접 관련이 없다는 입장이지만 전문가들의 지적은 달랐습니다.

<인터뷰> 이승진(보안 전문가) : "중국에서 확인한 이 행위들이 사건과 무관하지 않습니다. 당시에 이체만 안 했을 뿐이지 이 사람이 평소 하지 않았던 패턴을 통해서 뭔가 접속을 시도하려고 했다, 그럼 여기서 일단 무너진 거고요 첫번째로."

수상한 IP를 차단하는 것은 가장 기초적인 보안 조치라는 겁니다.

이 IP 접속 다음날인 26일 오후 3시 6분.

의문의 전화번호가 이 씨의 텔레뱅킹에 접속합니다.

통장 주인인 이 씨도 처음 보는 번호입니다.

<녹취> "(02-1599-4264 이건 뭐예요?) 모르겠는데요."

직접 전화를 걸어봤습니다.

<녹취> "죄송합니다. 등록된 번호가 아닙니다."

그런데 한 포털사이트엔 한 네티즌이 이 번호로 걸려온 전화에 보이스피싱을 당했다는 글이 올라와 있습니다.

이 네티즌이 보이스피싱을 당한 날은 지난 6월 15일.

이 씨 사건이 일어나기 11일 전이었습니다.

<인터뷰> 이승진(보안 전문가) "02-1599 이런 전화는 가정 내에서 쓰는 번호가 아니까 떄문에 매우 이상한 행위라고 볼 수 있습니다. 이건 사전에 탐지될 수 있었겠죠."

한 차례 보이스피싱 사고를 일으켰던 전화번호가 며칠 뒤에도 아무런 제재를 받지 않고 이 씨 계좌에 접속한 겁니다.

이상한 점은 또 있습니다.

이 의문의 전화번호가 접속한 뒤부터는 이 씨의 휴대전화로 텔레뱅킹이 이뤄지면서 돈이 빠져나간 것으로 돼 있습니다.

<녹취> "이 시간대에 제 통화내역은 하나도 없어요"

하지만 이 씨 휴대전화 사용 기록엔 이 시간대 통화가 전혀 없습니다.

누군가 컴퓨터나 인터넷 전화로 발신지를 조작해 접속한 것으로 추정됩니다.

<인터뷰> 이준길(미국 변호사) : "대부분 인터넷폰, 대포폰을 가지고 합니다. 그렇다면 전산시스템은 이게 전화기가 아니고, 스마트폰이 아니고 컴퓨터란 것은 다 알고 있습니다. IP도 체크되고 MAC주소도 체크되고 다 확인이 가능합니다."

발신지를 조작하는 사기범들의 기술 앞에 농협 텔레뱅킹은 속수무책이었다는 말입니다.

<녹취> "299만 원 298만 원 그런식으로 해서 41회에 걸쳐서 뺐어요..."

사기범들은 이 씨 통장에 있던 돈 1억 2천만 원을 299만 원, 또는 298만 원씩 41차례에 걸쳐 11개 은행 15개 통장에 나눠서 입금했습니다.

<인터뷰> 이상신(전자금융사기 피해자) : "298만 원씩 계속 이뤄진 거잖아요. 299만 원씩 41건 동안 그러면 다른 은행 같은 데는 (이상한 거래니까) 문자도 온대요. (저한테는) 한 건도 없었어요."

누가 봐도 의심스러운 거래 정황이었지만 경보는 울리지 않았습니다.

<인터뷰> 임종인(고려대학교 정보보호대학원 원장) : "지금 290 몇 만 원씩 지속적으로 인출되고 있지 않습니까? 그러면 보통 3번 내지 7번 정도 내에 아, 이거는 FDS 시스템이 이상하다 그래서 당사자에게 확인을 한 다음에 이게 정상적인 거래라고 하면 지속시키고 아니면 즉시 이것을 정지시키고 이렇게 하는데 농협은 전혀 그러지를 않았거든요."

이상거래탐지시스템.

전자금융거래에 사용되는 단말기와 접속 정보, 거래 내용 등을 종합적으로 분석해 의심스러운 거래를 찾아내 차단하는 시스템입니다.

<인터뷰> 이승진(보안 전문가) : "가령 항상 한국에서만 거래했던 사람이 어느날 갑자기 영국에서 거래한다 그러면 이것이 사용자가 평소 해온 행위가 아니기 때문에 이런 것들을 사전에 탐지하고 발견해낼 수 있는 시스템이 FDS입니다."

전자금융사기 피해가 잇따르자 금융감독원은 지난해부터 각 시중 은행에 이상거래탐지시스템을 도입할 것을 권고했습니다.

하지만 지금까지 금감원이 요구하는 수준의 이상거래탐지시스템을 도입한 은행은 세 곳 뿐입니다.

<인터뷰> 임종인(고려대학교 정보보호대학원 원장) : "권고사항이지 의무사항이 아니다 이런식으로 발뺌하고 있는데, 그건 말이 안 되죠. 왜냐하면 전자상거래나 전자금융에 안전성을 위해서 가장 필요한 게 이 FDS라고 외국에서 벌써 10여년 전에 입증이 되고 있는데..."

돈이 빠져나간 지 5개월이 지난 지금.

사고가 난 이 씨의 마이너스 통장에서는 이제는 매달 꼬박꼬박 이자까지 빠져나가고 있습니다.

<인터뷰> 이상신(전자금융사기 피해자) : "지급정지 돼 있어서 이자가 안 빠져나가는 줄 알았어요. 그런데 잔액이 있는 거 마저 다 이자를 빼갔어요. 그러니까 자기네들이 받을 이자는 만몇천 원 몇만 원도 이렇게 죽어라 받아가고...."

이렇게 허술한 보안 시스템이 이번 사고의 피해를 더욱 키웠다는 지적이 나오고 있지만 피해 보상에 대해 농협은 경찰 조사 결과를 지켜보겠다는 입장입니다.

금융기관들은 왜 이렇게 보상에 소극적일까?

휴대전화 매장을 운영하는 41살 이영선 씨.

지난 2012년 5월, 이 씨 역시 보이스피싱이나 파밍에 당하지 않았는데도 시중 저축은행 통장에 있던 돈 2천4백 만 원이 갑자기 빠져나갔습니다.

<인터뷰> 이영선(전자금융사기 피해자) : "여기 있는 돈을 대포통장에 있는 돈으로 이체를 시킨 거예요. 아홉 번에 걸쳐서, 두 시간 동안 이백구십몇만 원, 삼백오십만 원, 칠십만 원 이런 식으로 빼간 거예요."

그런데, 이 씨의 돈이 빠져나간 계좌는 입출금 통장이 아닌, 1년짜리 정기예금이었습니다.

예금통장을 만든 날짜는 2012년 5월 2일.

돈이 빠져나간 날짜는 불과 열흘 남짓 지난 5월 15일이었습니다.

계좌에 접속한 IP는 중국 IP로 확인됐습니다.

<인터뷰> 이영선 : "이게 중국에서 접속된 IP라고 그러더라고요. 386번이 집중적으로 그날 (돈을) 빼갈 때 이렇게 접속이 된 거예요."

저축은행 측은 내부 전산망에서 정보가 유출되지 않았다며 피해 보상을 거부했습니다.

하지만 이 씨는 보안카드를 휴대전화나 컴퓨터에 보관한 적이 없고, 누군가에게 보여준 적도 없다고 말합니다.

<인터뷰> 이영선(전자금융사기 피해자) : "그 보안카드는 갖고 다니는 게 아니고, 말씀드렸잖아요. 집에다가 모셔두는 거라고. 예금통장이니까..."

결국 소송으로까지 이어졌지만 이 씨는 패소했습니다.

재판 과정에서도 보안카드 유출 경위는 핵심 쟁점이었습니다.

지난해 9월 선고된 판결문입니다.

보안카드 정보 등을 누군가에게 유출한 이 씨의 중과실 때문에 사고가 일어났다는 저축은행 측 주장이 받아들여집니다.

이 씨가 유출하지 않았다면 사기범들이 어떻게 보안카드번호를 알아냈겠냐는 막연한 추측에 근거한 것입니다.

<인터뷰> 이준길 : "현재 전자금융거래법은 (고객이) 중과실이 있을 경우에는 은행의 책임이 없게끔 해놨어요. 그러나 경과실과 중과실은 우리 법원에서도 현재 일어나고 있는데, 무척 자의적입니다. 그래서 외국 같은 경우에는 아예, 고의하고 범죄를 빼고서는 모든 과실에 있어서 면책을 하지 못하게 해놨습니다."

이 씨는 지금도 분통을 터뜨립니다.

<인터뷰> 이영선(전자금융가시 피해자) : "정상적으로 빠져나갔다라는 이거 하나만으로 다 너희들이 잘못했으니까 너희 책임이라고 이렇게 얘기를 하니... 한국에서 살고 싶지 않았어요. 그리고 떠나고 싶었어요. 지금도 그건 변치 않아요."

고객에게 과실 책임을 떠넘기는 은행들의 행태는 지금도 크게 변한 게 없습니다.

커피숍을 운영하는 이모 씨.

지난달 14일 갑자기 통장에 있던 돈 천만 원이 빠져나갔습니다.

<인터뷰> 이○○(전자금융사기 피해자) : "저녁 8시 44분에 천만 원을 다섯 개 다른 계좌로 입금이 됐거든요."

다른 피해자들과는 달리 이 씨는 OTP, 즉 일회용 비밀번호 생성기를 사용하고 있었습니다.

<인터뷰> 이○○ : "그래도 보안이 좋다고 하는 걸 하는 거죠. 다들 저랑 비슷하시겠죠. OTP 사용하시는 분들 생각이..."

이씨 역시 보이스피싱이나 파밍을 당한 적은 없습니다.

현존하는 가장 강력한 보안 장치로 알려진 OTP.

사기범들은 이 씨의 OTP 비밀번호를 어떻게 가로챈 걸까?

사고가 난 은행을 찾았지만 조사 중이라는 대답만 돌아왔습니다.

<녹취> 우리은행 관계자 : "OTP카드를 사용하는데도 이렇게 사고가 났다라고 하면 이거는 정말 문제가 되는 부분이 있으니까 그래서 어떤 유형의 사고인지 지금 조사 중에 있어요."

이 씨 계좌로 접속한 IP는 영국으로 나타났습니다.

역시 이상거래탐지시스템이 작동됐더라면 막을 수 있어던 피해였습니다.

<인터뷰> 이승진(보안 전문가) : "FDS에서 당연히 잡아줬어야겠네요. 왜냐하면 거래 IP가 딱 찍혔는데 이게 영국이라고 나오니까 이 사람이 영국에 자주 가는 사람이 아니라면..."

그런데 이 씨는 사고를 조사하는 보험사로부터 황당한 말을 들었습니다.

이 씨가 자신의 실수를 인정해야 보상을 해줄 수 있다는 겁니다.

<인터뷰> 이○○(전자금융사기 피해자) : "물어봤어요. 왜 자꾸 나한테 실수한 걸 물어보느냐 그랬더니, 실수한 게 있어야 뭔가 보상을 해드릴 수가 있을 거 같은데, 실수한 게 없으면 더 힘들어진다..."

사고 원인을 고객에게 떠넘기는 이런 행위는 은행에 대한 신뢰 훼손으로 이어집니다.

<인터뷰> 이준길(미국변호사) : "사고 나면 날때마다 은행은 자기 책임이 아니다. (고객의) 중대한 과실인지 아닌지 억울하면 소송을 해라...그게 가장 큰 문제점입니다. 매 사건마다 소송을 하라면 돈을 받아갈 사람 거의 없습니다."

인터넷뱅킹 가입자 1억명 시대.

전문가들은 금융 소비자 중심의 제도가 필요하다고 강조합니다.

<인터뷰> 임종인(고려대학교 정보보호대학원 원장) : "각 금융기관들의 보안등급을 평가해서 이것을 공시하는 겁니다. 그렇게 되면 고객들이 금융기관을 선택함에 있어서 이름이라든지, 이자, 이율, 이런 것만 볼 게 아니라 보안등급도 보고 선택할 수 있는 선택권을 주고."

높은 수준의 이상거래탐지시스템 도입과 동시에 다양한 거래 안전장치도 마련해야 합니다.

<인터뷰> 이기동(금융범죄예방연구센터 소장) : "진짜 천만 원 승인할 겁니까? 출금할 겁니까? 카드든 인터넷뱅킹이든 사전에 본인한테 문자를 보내서 승인여부를 물어본 다음에 맞다 그러면 승인해줘야 되는 게 맞다고 생각합니다."

끊임없이 등장하는 신종 전자금융사기.

해커들의 놀이터라고 불릴 정도로 우리나라 은행들의 보안은 여전히 취약한 상태입니다.