자고 일어났더니 내 돈이 사라졌다!…이유는 아무도 모른다?
입력 2020.06.23 (15:38)
수정 2020.06.23 (16:33)
읽어주기 기능은 크롬기반의
브라우저에서만 사용하실 수 있습니다.
요약
비대면 보이스피싱 확산 조짐 보이나?…간편결제 사고 의심사례 확인
'언택트' 시대 신종 보이스피싱?…금융사는 '모르쇠', 경찰도 '신고 불가'
금융사 FDS(이상거래탐지시스템)로 부정 사용 감시 단속 강화하게 해야
60대 남성 최 모 씨는 지난 3월 13일, 신한은행 마이너스통장 잔고를 확인했다가 눈앞이 캄캄해졌습니다.
마이너스 통장 한도 금액이 1,500만 원인데, 온라인 쇼핑몰인 '위메프'에서 한도를 꽉 채운 금액만큼 누군가 결제를 해버렸다는 걸 알아챘기 때문입니다. 물론 자신은 알지도 못하는 사이에 일어난 거래였습니다.
거래 내역을 확인해 봤더니, 닷새 전 일요일 새벽 (3월 8일) 4시 33분부터 1시간 40여 분간에 걸쳐 84만 3천 원씩 18차례 문화상품권을 사들인 것으로 돼 있었습니다. 금액은 대략 1,500만 원이었습니다.
부랴부랴 BC카드 측에 문의했더니 황당한 답변이 돌아왔습니다. 돈이 결제되기 직전인 새벽 2시쯤 BC 카드의 간편결제 서비스인 페이북에 가입이 돼버렸고, 자신이 갖고 있던 BC 카드 중 한 카드가 결제 카드로 등록까지 돼 있더라는 겁니다.
페이북은 BC카드가 만든 간편결제서비스입니다. 사건이 일어난 시점엔 페이북에 가입하려면 SMS 인증을 통해 본인이 맞는다는 걸 확인받은 뒤, 가입자가 ID와 6자리 비밀번호를 만들어 입력하면 서비스를 이용할 수 있습니다.
페이북 서비스에서 결제하는 데 쓸 카드는 가입자 소유의 BC카드 가운데 하나를 선택해 카드 비밀번호 앞 2자리만 입력하면 등록해서 계속 쓸 수 있습니다.
최 씨의 아들을 만날 수 있었습니다. 최 씨는 자신의 아버지는 해당 서비스에 등록할 만큼 스마트폰에 익숙지 않은 분이라고 말했습니다. 이러다 보니 자신의 아버지는 본인 잘못으로 이런 일이 일어난 게 아니냐고 생각하셨다고 합니다.
최 씨 아들
단순히 이상하다고만 생각하셨던 거죠. 단순히 나이 많으신 분들은 본인이 잘못했다고 생각하잖아요. 그래서 이 휴대폰이 이상한데 내가 뭐 잘못 눌렀나보다라고 생각하셨다고 해요. 해킹할 생각이나 이런 거는 생각을 하지 못했던 것 같아요, 그 당시만 해도.
최 씨 아들의 말이 맞는다면, 누군가 자신의 아버지 스마트폰을 도용해 본인 인증을 하고, ID와 비밀번호까지 받은 뒤 아버지가 갖고 있던 또 다른 BC 카드를 결제카드로 등록까지 했다는 뜻이 됩니다.
비슷한 결제 시도는 또 있었습니다. 사건 발생한 이후인 3월 8일 오후 농협카드에서 한 통의 전화를 받았습니다. 농협 BC카드 FDS(이상거래탐지시스템)에서 비슷한 방식의 부정 사용이 감지됐다는 내용이었는데, 통화 직후 농협계좌를 지급정지 처리했습니다.
농협 마이너스통장 한도는 4천만 원이었는데, 이 전화 한 통 덕분에 더 큰 피해는 막을 수 있었습니다.
최 씨의 아들은 이런 농협 BC카드의 사례를 들며, 앞서 일어났던 피해도 막을 수 있지 않았을까 생각이 든다고 말합니다.
비씨카드는 주말 새벽 시간 문화상품권 18차례에 걸쳐 1천5백만 원이 결제됐는데도 이상 거래를 전혀 탐지하지 못했기 때문입니다.
이에 대해 BC카드는 "직접 FDS(이상거래탐지시스템)을 운용하는 회원사인 신한카드에 책임이 있다"는 입장이고, "피해 보상은 경찰 수사 결과에서 최 씨 과실이 아닌 해킹이나 정보 유출로 드러나면 검토하겠다"고 밝혔습니다.
신한카드는 "FDS 권한은 자사에 있지만, 페이북은 비밀번호 등으로 고객인증을 거치는 것이기 때문에 사고 당시에 정상결제로 봤다"고 해명했습니다.
간편 결제 앱인 'NH콕뱅크'를 2년째 쓰고 있는 대기업 직원 유성 씨도 유사한 사건을 겪었습니다.
콕뱅크 역시 6자리 핀 번호만 있으면 로그인은 물론, 300만 원 한도 내에서 계좌이체도 할 수 있는 간편 결제 서비스입니다.
그런데 지난달 23일 토요일 아침, 콕뱅크 알림 내역을 보고 매우 놀랐습니다.
새벽 3시쯤 70만 원씩 3번. 10만 원씩 1번. 모두 4차례에 걸쳐 220만 원이 모르는 사람인 김 모 씨의 광주은행 P2P 계좌로 송금된 겁니다. 자신은 전혀 몰랐다는 게 유 씨의 주장입니다.
농협과 광주은행 콜센터에 지급정지를 요청했는데, "안된다"는 답변을 들었습니다.
금융사고나 범죄라고 확정할 근거가 없다며 경찰에 사건 접수부터 하라고 했습니다.
경찰청 사이버수사대도 전화했지만 "처음 경험해보는 사건이라 어떻게 도와줄 방법이 없다. 월요일에 경찰서에 가라"고만 했다는 게 유 씨의 말입니다.
이틀 뒤 당진경찰서에 찾아간 유 씨, 해킹을 당한 거 같다며 수사를 요청했는데 거부당했습니다. "사기라는 증거가 없다"는 이유 때문입니다.
유성/피해자
보이스피싱이나 현행범이 아니고 사기라는 증거가 없어서 이거는 받아줄 수 없다. 접수가 안 된다.
경찰은 그러면서 "실수로 송금했을 수도 있으니, 뒤늦게 착오송금이라고 생각이 든다면, 은행에 자금 반환요청을 할 수 있다"고 안내했습니다.
사건 접수는 안 되고, 시간만 흘러가고...다급해진 유 씨는 돈이라도 먼저 찾고 보자는 생각에 허위 신고를 합니다. 농협 콜센터에 "술 먹고 돈을 잘못 보냈다"며 자금반환요청을 한 겁니다.
하지만 닷새 뒤 돈이 송금된 "광주은행 예금주 김 모 씨가 연락이 닿지 않는다"며 자금 반환 요청은 거부됐습니다.
법률구조공단에 찾아가 상담도 해봤지만 "남은 건 민사 소송밖에 없고, 소송해도 돈을 돌려받을 확률은 매우 낮다"는 답을 들었습니다.
결국, 지푸라기라도 잡는 심정으로 KBS에 제보한 유 씨. 취재가 시작되자 경찰은 사전 발생 19일 만에 사건 접수를 하고 수사에 착수했습니다.
경찰 입장도 이해가 가는 측면이 있습니다. 보통 보이스피싱은 전화나 문자 같은 증거가 있는데, 이번 경우는 그런 게 없었기 때문에 범죄라고 보기도, 죄명을 적용하기도 힘들었다는 겁니다.
문제는 갈수록 지능화된 범인들이 이런 허점을 노리고, 최근 전화도 문자도 없는 이른바 '언택트 보이스피싱'을 시도하는 건 아닐까 의심이 드는 대목입니다.
피해 양상은 통상의 해킹 방식과 매우 유사한데, 농협 측은 자사 시스템엔 문제가 없었고 정보 유출도 없었다며 해킹이나 범죄는 아니라고 주장합니다.
휴대전화 고유식별번호인 맥(MAC)주소 확인 결과, 유 씨의 스마트폰에서 송금된 게 확인됐다는 겁니다. 또 유 씨도 "잘못 송금했다"고 신고한 적 있는 만큼, 유 씨의 말을 전적으로 신뢰할 수 없다는 입장입니다.
취재 과정에서 만난 농협 관계자들 사이에서는 유 씨를 의심하거나, 유 씨 과실을 암시하는듯한 발언을 이어가기도 했습니다. 돈이 송금된 계좌가 '도박 거래에 이용된다'는 주장도 나왔는데, 근거를 물었더니 그럴 가능성이 있다는 얘기를 들었다고 말할 뿐 뚜렷한 근거를 대지는 못했습니다.
유 씨도 자신을 의심하는 농협 관계자와 통화하면서 억울함을 감추지 못했습니다. 순간적으로 오해를 살 만한 대처를 한 것은 인정하지만, 정말 결백하다며 인터뷰에서 자신의 이름과 얼굴을 공개했습니다.
또 본인의 스마트폰까지 취재진에게 보내며, 포렌식이든 어떤 방식이든 검증해 달라고 요청했습니다. 유 씨의 스마트폰은 현재 민간 업체에서 검사가 진행 중입니다.
사이버 보안 전문기업 '스틸리언'의 신동휘 연구소장 "보안의 영역에서 100%라는 건 있을 수 없다며, 핸드폰에 어떤 문제가 발생했고, 이로 인해 원격조작 됐을 가능성도 있다"고 말합니다.
신동휘/스틸리언연구소장
사용자가 인지하든 인지를 못 하든 그런 게 설치가 되어야 하는데 ... 만약에 원격제어를 통해서 뭔가 이루어졌다면 그거는 설치됐을 것 같고....사용자가 일반적으로 사용하는 맥 주소나 이런 주소의 정보들. 사용자의 단말기에서 이 행위를 했다는 그렇게 추론할 수밖에 없는 기반 정보들이 있거든요. 그렇기 때문에 원격제어를 이용해서 이런 행위들이 일어났을 거라고 추론하게 되는 거죠.
물론 부정 결제가 일어난 모든 업체에서 이런 식의 대응이 일어난 건 아닙니다.
최근 부정 결제가 발생한 간편결제 업체 토스, 8명의 고객 명의로 부정 결제된 938만 원을 모두 환급 조치해줬습니다.
경찰 수사가 진행 중이고 과실 여부도 확인되지 않았지만, 피해를 본 고객에게 일단 보상해준 겁니다.
김승주/고려대학교 정보보호대학원 교수
간편결제 시스템을 볼 때는 볼 때는 즉각 소비자 보상 절차가 신속하게 이뤄져 있는가? 그걸 봐야 해요. 카카오뱅크 토스 같은 인터넷 전문은행 기업들은 어떤 사고방식을 갖고 있느냐면 일단 사고가 나면 미국식으로 소비자한테 먼저 보상해줘요. 그리고 기존의 ID와 비번이 뚫렸던 사이트에 구상권을 청구하는 거예요. 소비자에게 보상할 건 보상해주고, 기업 간의 해결할 문제는 거기서 해결하면 되는 거에요.
간편 결제 등 비대면 금융서비스가 나날이 발전하고 있지만, 이에 못지않게 사기 범죄도 진화하고 있는 상황. '간편성'과 '안전성'이란 딜레마를 어떻게 해결하고, 고객 피해를 최소화할 수 있을지...
정부와 금융사, 핀테크 업체 모두에게 주어진 과제입니다.
마이너스 통장 한도 금액이 1,500만 원인데, 온라인 쇼핑몰인 '위메프'에서 한도를 꽉 채운 금액만큼 누군가 결제를 해버렸다는 걸 알아챘기 때문입니다. 물론 자신은 알지도 못하는 사이에 일어난 거래였습니다.
거래 내역을 확인해 봤더니, 닷새 전 일요일 새벽 (3월 8일) 4시 33분부터 1시간 40여 분간에 걸쳐 84만 3천 원씩 18차례 문화상품권을 사들인 것으로 돼 있었습니다. 금액은 대략 1,500만 원이었습니다.
부랴부랴 BC카드 측에 문의했더니 황당한 답변이 돌아왔습니다. 돈이 결제되기 직전인 새벽 2시쯤 BC 카드의 간편결제 서비스인 페이북에 가입이 돼버렸고, 자신이 갖고 있던 BC 카드 중 한 카드가 결제 카드로 등록까지 돼 있더라는 겁니다.
페이북은 BC카드가 만든 간편결제서비스입니다. 사건이 일어난 시점엔 페이북에 가입하려면 SMS 인증을 통해 본인이 맞는다는 걸 확인받은 뒤, 가입자가 ID와 6자리 비밀번호를 만들어 입력하면 서비스를 이용할 수 있습니다.
페이북 서비스에서 결제하는 데 쓸 카드는 가입자 소유의 BC카드 가운데 하나를 선택해 카드 비밀번호 앞 2자리만 입력하면 등록해서 계속 쓸 수 있습니다.
최 씨의 아들을 만날 수 있었습니다. 최 씨는 자신의 아버지는 해당 서비스에 등록할 만큼 스마트폰에 익숙지 않은 분이라고 말했습니다. 이러다 보니 자신의 아버지는 본인 잘못으로 이런 일이 일어난 게 아니냐고 생각하셨다고 합니다.
최 씨 아들
단순히 이상하다고만 생각하셨던 거죠. 단순히 나이 많으신 분들은 본인이 잘못했다고 생각하잖아요. 그래서 이 휴대폰이 이상한데 내가 뭐 잘못 눌렀나보다라고 생각하셨다고 해요. 해킹할 생각이나 이런 거는 생각을 하지 못했던 것 같아요, 그 당시만 해도.
최 씨 아들의 말이 맞는다면, 누군가 자신의 아버지 스마트폰을 도용해 본인 인증을 하고, ID와 비밀번호까지 받은 뒤 아버지가 갖고 있던 또 다른 BC 카드를 결제카드로 등록까지 했다는 뜻이 됩니다.
비슷한 결제 시도는 또 있었습니다. 사건 발생한 이후인 3월 8일 오후 농협카드에서 한 통의 전화를 받았습니다. 농협 BC카드 FDS(이상거래탐지시스템)에서 비슷한 방식의 부정 사용이 감지됐다는 내용이었는데, 통화 직후 농협계좌를 지급정지 처리했습니다.
농협 마이너스통장 한도는 4천만 원이었는데, 이 전화 한 통 덕분에 더 큰 피해는 막을 수 있었습니다.
최 씨의 아들은 이런 농협 BC카드의 사례를 들며, 앞서 일어났던 피해도 막을 수 있지 않았을까 생각이 든다고 말합니다.
비씨카드는 주말 새벽 시간 문화상품권 18차례에 걸쳐 1천5백만 원이 결제됐는데도 이상 거래를 전혀 탐지하지 못했기 때문입니다.
이에 대해 BC카드는 "직접 FDS(이상거래탐지시스템)을 운용하는 회원사인 신한카드에 책임이 있다"는 입장이고, "피해 보상은 경찰 수사 결과에서 최 씨 과실이 아닌 해킹이나 정보 유출로 드러나면 검토하겠다"고 밝혔습니다.
신한카드는 "FDS 권한은 자사에 있지만, 페이북은 비밀번호 등으로 고객인증을 거치는 것이기 때문에 사고 당시에 정상결제로 봤다"고 해명했습니다.
간편 결제 앱인 'NH콕뱅크'를 2년째 쓰고 있는 대기업 직원 유성 씨도 유사한 사건을 겪었습니다.
콕뱅크 역시 6자리 핀 번호만 있으면 로그인은 물론, 300만 원 한도 내에서 계좌이체도 할 수 있는 간편 결제 서비스입니다.
그런데 지난달 23일 토요일 아침, 콕뱅크 알림 내역을 보고 매우 놀랐습니다.
새벽 3시쯤 70만 원씩 3번. 10만 원씩 1번. 모두 4차례에 걸쳐 220만 원이 모르는 사람인 김 모 씨의 광주은행 P2P 계좌로 송금된 겁니다. 자신은 전혀 몰랐다는 게 유 씨의 주장입니다.
농협과 광주은행 콜센터에 지급정지를 요청했는데, "안된다"는 답변을 들었습니다.
금융사고나 범죄라고 확정할 근거가 없다며 경찰에 사건 접수부터 하라고 했습니다.
경찰청 사이버수사대도 전화했지만 "처음 경험해보는 사건이라 어떻게 도와줄 방법이 없다. 월요일에 경찰서에 가라"고만 했다는 게 유 씨의 말입니다.
이틀 뒤 당진경찰서에 찾아간 유 씨, 해킹을 당한 거 같다며 수사를 요청했는데 거부당했습니다. "사기라는 증거가 없다"는 이유 때문입니다.
유성/피해자
보이스피싱이나 현행범이 아니고 사기라는 증거가 없어서 이거는 받아줄 수 없다. 접수가 안 된다.
경찰은 그러면서 "실수로 송금했을 수도 있으니, 뒤늦게 착오송금이라고 생각이 든다면, 은행에 자금 반환요청을 할 수 있다"고 안내했습니다.
사건 접수는 안 되고, 시간만 흘러가고...다급해진 유 씨는 돈이라도 먼저 찾고 보자는 생각에 허위 신고를 합니다. 농협 콜센터에 "술 먹고 돈을 잘못 보냈다"며 자금반환요청을 한 겁니다.
하지만 닷새 뒤 돈이 송금된 "광주은행 예금주 김 모 씨가 연락이 닿지 않는다"며 자금 반환 요청은 거부됐습니다.
법률구조공단에 찾아가 상담도 해봤지만 "남은 건 민사 소송밖에 없고, 소송해도 돈을 돌려받을 확률은 매우 낮다"는 답을 들었습니다.
결국, 지푸라기라도 잡는 심정으로 KBS에 제보한 유 씨. 취재가 시작되자 경찰은 사전 발생 19일 만에 사건 접수를 하고 수사에 착수했습니다.
경찰 입장도 이해가 가는 측면이 있습니다. 보통 보이스피싱은 전화나 문자 같은 증거가 있는데, 이번 경우는 그런 게 없었기 때문에 범죄라고 보기도, 죄명을 적용하기도 힘들었다는 겁니다.
문제는 갈수록 지능화된 범인들이 이런 허점을 노리고, 최근 전화도 문자도 없는 이른바 '언택트 보이스피싱'을 시도하는 건 아닐까 의심이 드는 대목입니다.
피해 양상은 통상의 해킹 방식과 매우 유사한데, 농협 측은 자사 시스템엔 문제가 없었고 정보 유출도 없었다며 해킹이나 범죄는 아니라고 주장합니다.
휴대전화 고유식별번호인 맥(MAC)주소 확인 결과, 유 씨의 스마트폰에서 송금된 게 확인됐다는 겁니다. 또 유 씨도 "잘못 송금했다"고 신고한 적 있는 만큼, 유 씨의 말을 전적으로 신뢰할 수 없다는 입장입니다.
취재 과정에서 만난 농협 관계자들 사이에서는 유 씨를 의심하거나, 유 씨 과실을 암시하는듯한 발언을 이어가기도 했습니다. 돈이 송금된 계좌가 '도박 거래에 이용된다'는 주장도 나왔는데, 근거를 물었더니 그럴 가능성이 있다는 얘기를 들었다고 말할 뿐 뚜렷한 근거를 대지는 못했습니다.
유 씨도 자신을 의심하는 농협 관계자와 통화하면서 억울함을 감추지 못했습니다. 순간적으로 오해를 살 만한 대처를 한 것은 인정하지만, 정말 결백하다며 인터뷰에서 자신의 이름과 얼굴을 공개했습니다.
또 본인의 스마트폰까지 취재진에게 보내며, 포렌식이든 어떤 방식이든 검증해 달라고 요청했습니다. 유 씨의 스마트폰은 현재 민간 업체에서 검사가 진행 중입니다.
사이버 보안 전문기업 '스틸리언'의 신동휘 연구소장 "보안의 영역에서 100%라는 건 있을 수 없다며, 핸드폰에 어떤 문제가 발생했고, 이로 인해 원격조작 됐을 가능성도 있다"고 말합니다.
신동휘/스틸리언연구소장
사용자가 인지하든 인지를 못 하든 그런 게 설치가 되어야 하는데 ... 만약에 원격제어를 통해서 뭔가 이루어졌다면 그거는 설치됐을 것 같고....사용자가 일반적으로 사용하는 맥 주소나 이런 주소의 정보들. 사용자의 단말기에서 이 행위를 했다는 그렇게 추론할 수밖에 없는 기반 정보들이 있거든요. 그렇기 때문에 원격제어를 이용해서 이런 행위들이 일어났을 거라고 추론하게 되는 거죠.
물론 부정 결제가 일어난 모든 업체에서 이런 식의 대응이 일어난 건 아닙니다.
최근 부정 결제가 발생한 간편결제 업체 토스, 8명의 고객 명의로 부정 결제된 938만 원을 모두 환급 조치해줬습니다.
경찰 수사가 진행 중이고 과실 여부도 확인되지 않았지만, 피해를 본 고객에게 일단 보상해준 겁니다.
김승주/고려대학교 정보보호대학원 교수
간편결제 시스템을 볼 때는 볼 때는 즉각 소비자 보상 절차가 신속하게 이뤄져 있는가? 그걸 봐야 해요. 카카오뱅크 토스 같은 인터넷 전문은행 기업들은 어떤 사고방식을 갖고 있느냐면 일단 사고가 나면 미국식으로 소비자한테 먼저 보상해줘요. 그리고 기존의 ID와 비번이 뚫렸던 사이트에 구상권을 청구하는 거예요. 소비자에게 보상할 건 보상해주고, 기업 간의 해결할 문제는 거기서 해결하면 되는 거에요.
간편 결제 등 비대면 금융서비스가 나날이 발전하고 있지만, 이에 못지않게 사기 범죄도 진화하고 있는 상황. '간편성'과 '안전성'이란 딜레마를 어떻게 해결하고, 고객 피해를 최소화할 수 있을지...
정부와 금융사, 핀테크 업체 모두에게 주어진 과제입니다.
■ 제보하기
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 유튜브, 네이버, 카카오에서도 KBS뉴스를 구독해주세요!
- 자고 일어났더니 내 돈이 사라졌다!…이유는 아무도 모른다?
-
- 입력 2020-06-23 15:38:07
- 수정2020-06-23 16:33:37
비대면 보이스피싱 확산 조짐 보이나?…간편결제 사고 의심사례 확인<br />'언택트' 시대 신종 보이스피싱?…금융사는 '모르쇠', 경찰도 '신고 불가'<br />금융사 FDS(이상거래탐지시스템)로 부정 사용 감시 단속 강화하게 해야
60대 남성 최 모 씨는 지난 3월 13일, 신한은행 마이너스통장 잔고를 확인했다가 눈앞이 캄캄해졌습니다.
마이너스 통장 한도 금액이 1,500만 원인데, 온라인 쇼핑몰인 '위메프'에서 한도를 꽉 채운 금액만큼 누군가 결제를 해버렸다는 걸 알아챘기 때문입니다. 물론 자신은 알지도 못하는 사이에 일어난 거래였습니다.
거래 내역을 확인해 봤더니, 닷새 전 일요일 새벽 (3월 8일) 4시 33분부터 1시간 40여 분간에 걸쳐 84만 3천 원씩 18차례 문화상품권을 사들인 것으로 돼 있었습니다. 금액은 대략 1,500만 원이었습니다.
부랴부랴 BC카드 측에 문의했더니 황당한 답변이 돌아왔습니다. 돈이 결제되기 직전인 새벽 2시쯤 BC 카드의 간편결제 서비스인 페이북에 가입이 돼버렸고, 자신이 갖고 있던 BC 카드 중 한 카드가 결제 카드로 등록까지 돼 있더라는 겁니다.
페이북은 BC카드가 만든 간편결제서비스입니다. 사건이 일어난 시점엔 페이북에 가입하려면 SMS 인증을 통해 본인이 맞는다는 걸 확인받은 뒤, 가입자가 ID와 6자리 비밀번호를 만들어 입력하면 서비스를 이용할 수 있습니다.
페이북 서비스에서 결제하는 데 쓸 카드는 가입자 소유의 BC카드 가운데 하나를 선택해 카드 비밀번호 앞 2자리만 입력하면 등록해서 계속 쓸 수 있습니다.
최 씨의 아들을 만날 수 있었습니다. 최 씨는 자신의 아버지는 해당 서비스에 등록할 만큼 스마트폰에 익숙지 않은 분이라고 말했습니다. 이러다 보니 자신의 아버지는 본인 잘못으로 이런 일이 일어난 게 아니냐고 생각하셨다고 합니다.
최 씨 아들
단순히 이상하다고만 생각하셨던 거죠. 단순히 나이 많으신 분들은 본인이 잘못했다고 생각하잖아요. 그래서 이 휴대폰이 이상한데 내가 뭐 잘못 눌렀나보다라고 생각하셨다고 해요. 해킹할 생각이나 이런 거는 생각을 하지 못했던 것 같아요, 그 당시만 해도.
최 씨 아들의 말이 맞는다면, 누군가 자신의 아버지 스마트폰을 도용해 본인 인증을 하고, ID와 비밀번호까지 받은 뒤 아버지가 갖고 있던 또 다른 BC 카드를 결제카드로 등록까지 했다는 뜻이 됩니다.
비슷한 결제 시도는 또 있었습니다. 사건 발생한 이후인 3월 8일 오후 농협카드에서 한 통의 전화를 받았습니다. 농협 BC카드 FDS(이상거래탐지시스템)에서 비슷한 방식의 부정 사용이 감지됐다는 내용이었는데, 통화 직후 농협계좌를 지급정지 처리했습니다.
농협 마이너스통장 한도는 4천만 원이었는데, 이 전화 한 통 덕분에 더 큰 피해는 막을 수 있었습니다.
최 씨의 아들은 이런 농협 BC카드의 사례를 들며, 앞서 일어났던 피해도 막을 수 있지 않았을까 생각이 든다고 말합니다.
비씨카드는 주말 새벽 시간 문화상품권 18차례에 걸쳐 1천5백만 원이 결제됐는데도 이상 거래를 전혀 탐지하지 못했기 때문입니다.
이에 대해 BC카드는 "직접 FDS(이상거래탐지시스템)을 운용하는 회원사인 신한카드에 책임이 있다"는 입장이고, "피해 보상은 경찰 수사 결과에서 최 씨 과실이 아닌 해킹이나 정보 유출로 드러나면 검토하겠다"고 밝혔습니다.
신한카드는 "FDS 권한은 자사에 있지만, 페이북은 비밀번호 등으로 고객인증을 거치는 것이기 때문에 사고 당시에 정상결제로 봤다"고 해명했습니다.
간편 결제 앱인 'NH콕뱅크'를 2년째 쓰고 있는 대기업 직원 유성 씨도 유사한 사건을 겪었습니다.
콕뱅크 역시 6자리 핀 번호만 있으면 로그인은 물론, 300만 원 한도 내에서 계좌이체도 할 수 있는 간편 결제 서비스입니다.
그런데 지난달 23일 토요일 아침, 콕뱅크 알림 내역을 보고 매우 놀랐습니다.
새벽 3시쯤 70만 원씩 3번. 10만 원씩 1번. 모두 4차례에 걸쳐 220만 원이 모르는 사람인 김 모 씨의 광주은행 P2P 계좌로 송금된 겁니다. 자신은 전혀 몰랐다는 게 유 씨의 주장입니다.
농협과 광주은행 콜센터에 지급정지를 요청했는데, "안된다"는 답변을 들었습니다.
금융사고나 범죄라고 확정할 근거가 없다며 경찰에 사건 접수부터 하라고 했습니다.
경찰청 사이버수사대도 전화했지만 "처음 경험해보는 사건이라 어떻게 도와줄 방법이 없다. 월요일에 경찰서에 가라"고만 했다는 게 유 씨의 말입니다.
이틀 뒤 당진경찰서에 찾아간 유 씨, 해킹을 당한 거 같다며 수사를 요청했는데 거부당했습니다. "사기라는 증거가 없다"는 이유 때문입니다.
유성/피해자
보이스피싱이나 현행범이 아니고 사기라는 증거가 없어서 이거는 받아줄 수 없다. 접수가 안 된다.
경찰은 그러면서 "실수로 송금했을 수도 있으니, 뒤늦게 착오송금이라고 생각이 든다면, 은행에 자금 반환요청을 할 수 있다"고 안내했습니다.
사건 접수는 안 되고, 시간만 흘러가고...다급해진 유 씨는 돈이라도 먼저 찾고 보자는 생각에 허위 신고를 합니다. 농협 콜센터에 "술 먹고 돈을 잘못 보냈다"며 자금반환요청을 한 겁니다.
하지만 닷새 뒤 돈이 송금된 "광주은행 예금주 김 모 씨가 연락이 닿지 않는다"며 자금 반환 요청은 거부됐습니다.
법률구조공단에 찾아가 상담도 해봤지만 "남은 건 민사 소송밖에 없고, 소송해도 돈을 돌려받을 확률은 매우 낮다"는 답을 들었습니다.
결국, 지푸라기라도 잡는 심정으로 KBS에 제보한 유 씨. 취재가 시작되자 경찰은 사전 발생 19일 만에 사건 접수를 하고 수사에 착수했습니다.
경찰 입장도 이해가 가는 측면이 있습니다. 보통 보이스피싱은 전화나 문자 같은 증거가 있는데, 이번 경우는 그런 게 없었기 때문에 범죄라고 보기도, 죄명을 적용하기도 힘들었다는 겁니다.
문제는 갈수록 지능화된 범인들이 이런 허점을 노리고, 최근 전화도 문자도 없는 이른바 '언택트 보이스피싱'을 시도하는 건 아닐까 의심이 드는 대목입니다.
피해 양상은 통상의 해킹 방식과 매우 유사한데, 농협 측은 자사 시스템엔 문제가 없었고 정보 유출도 없었다며 해킹이나 범죄는 아니라고 주장합니다.
휴대전화 고유식별번호인 맥(MAC)주소 확인 결과, 유 씨의 스마트폰에서 송금된 게 확인됐다는 겁니다. 또 유 씨도 "잘못 송금했다"고 신고한 적 있는 만큼, 유 씨의 말을 전적으로 신뢰할 수 없다는 입장입니다.
취재 과정에서 만난 농협 관계자들 사이에서는 유 씨를 의심하거나, 유 씨 과실을 암시하는듯한 발언을 이어가기도 했습니다. 돈이 송금된 계좌가 '도박 거래에 이용된다'는 주장도 나왔는데, 근거를 물었더니 그럴 가능성이 있다는 얘기를 들었다고 말할 뿐 뚜렷한 근거를 대지는 못했습니다.
유 씨도 자신을 의심하는 농협 관계자와 통화하면서 억울함을 감추지 못했습니다. 순간적으로 오해를 살 만한 대처를 한 것은 인정하지만, 정말 결백하다며 인터뷰에서 자신의 이름과 얼굴을 공개했습니다.
또 본인의 스마트폰까지 취재진에게 보내며, 포렌식이든 어떤 방식이든 검증해 달라고 요청했습니다. 유 씨의 스마트폰은 현재 민간 업체에서 검사가 진행 중입니다.
사이버 보안 전문기업 '스틸리언'의 신동휘 연구소장 "보안의 영역에서 100%라는 건 있을 수 없다며, 핸드폰에 어떤 문제가 발생했고, 이로 인해 원격조작 됐을 가능성도 있다"고 말합니다.
신동휘/스틸리언연구소장
사용자가 인지하든 인지를 못 하든 그런 게 설치가 되어야 하는데 ... 만약에 원격제어를 통해서 뭔가 이루어졌다면 그거는 설치됐을 것 같고....사용자가 일반적으로 사용하는 맥 주소나 이런 주소의 정보들. 사용자의 단말기에서 이 행위를 했다는 그렇게 추론할 수밖에 없는 기반 정보들이 있거든요. 그렇기 때문에 원격제어를 이용해서 이런 행위들이 일어났을 거라고 추론하게 되는 거죠.
물론 부정 결제가 일어난 모든 업체에서 이런 식의 대응이 일어난 건 아닙니다.
최근 부정 결제가 발생한 간편결제 업체 토스, 8명의 고객 명의로 부정 결제된 938만 원을 모두 환급 조치해줬습니다.
경찰 수사가 진행 중이고 과실 여부도 확인되지 않았지만, 피해를 본 고객에게 일단 보상해준 겁니다.
김승주/고려대학교 정보보호대학원 교수
간편결제 시스템을 볼 때는 볼 때는 즉각 소비자 보상 절차가 신속하게 이뤄져 있는가? 그걸 봐야 해요. 카카오뱅크 토스 같은 인터넷 전문은행 기업들은 어떤 사고방식을 갖고 있느냐면 일단 사고가 나면 미국식으로 소비자한테 먼저 보상해줘요. 그리고 기존의 ID와 비번이 뚫렸던 사이트에 구상권을 청구하는 거예요. 소비자에게 보상할 건 보상해주고, 기업 간의 해결할 문제는 거기서 해결하면 되는 거에요.
간편 결제 등 비대면 금융서비스가 나날이 발전하고 있지만, 이에 못지않게 사기 범죄도 진화하고 있는 상황. '간편성'과 '안전성'이란 딜레마를 어떻게 해결하고, 고객 피해를 최소화할 수 있을지...
정부와 금융사, 핀테크 업체 모두에게 주어진 과제입니다.
마이너스 통장 한도 금액이 1,500만 원인데, 온라인 쇼핑몰인 '위메프'에서 한도를 꽉 채운 금액만큼 누군가 결제를 해버렸다는 걸 알아챘기 때문입니다. 물론 자신은 알지도 못하는 사이에 일어난 거래였습니다.
거래 내역을 확인해 봤더니, 닷새 전 일요일 새벽 (3월 8일) 4시 33분부터 1시간 40여 분간에 걸쳐 84만 3천 원씩 18차례 문화상품권을 사들인 것으로 돼 있었습니다. 금액은 대략 1,500만 원이었습니다.
부랴부랴 BC카드 측에 문의했더니 황당한 답변이 돌아왔습니다. 돈이 결제되기 직전인 새벽 2시쯤 BC 카드의 간편결제 서비스인 페이북에 가입이 돼버렸고, 자신이 갖고 있던 BC 카드 중 한 카드가 결제 카드로 등록까지 돼 있더라는 겁니다.
페이북은 BC카드가 만든 간편결제서비스입니다. 사건이 일어난 시점엔 페이북에 가입하려면 SMS 인증을 통해 본인이 맞는다는 걸 확인받은 뒤, 가입자가 ID와 6자리 비밀번호를 만들어 입력하면 서비스를 이용할 수 있습니다.
페이북 서비스에서 결제하는 데 쓸 카드는 가입자 소유의 BC카드 가운데 하나를 선택해 카드 비밀번호 앞 2자리만 입력하면 등록해서 계속 쓸 수 있습니다.
최 씨의 아들을 만날 수 있었습니다. 최 씨는 자신의 아버지는 해당 서비스에 등록할 만큼 스마트폰에 익숙지 않은 분이라고 말했습니다. 이러다 보니 자신의 아버지는 본인 잘못으로 이런 일이 일어난 게 아니냐고 생각하셨다고 합니다.
최 씨 아들
단순히 이상하다고만 생각하셨던 거죠. 단순히 나이 많으신 분들은 본인이 잘못했다고 생각하잖아요. 그래서 이 휴대폰이 이상한데 내가 뭐 잘못 눌렀나보다라고 생각하셨다고 해요. 해킹할 생각이나 이런 거는 생각을 하지 못했던 것 같아요, 그 당시만 해도.
최 씨 아들의 말이 맞는다면, 누군가 자신의 아버지 스마트폰을 도용해 본인 인증을 하고, ID와 비밀번호까지 받은 뒤 아버지가 갖고 있던 또 다른 BC 카드를 결제카드로 등록까지 했다는 뜻이 됩니다.
비슷한 결제 시도는 또 있었습니다. 사건 발생한 이후인 3월 8일 오후 농협카드에서 한 통의 전화를 받았습니다. 농협 BC카드 FDS(이상거래탐지시스템)에서 비슷한 방식의 부정 사용이 감지됐다는 내용이었는데, 통화 직후 농협계좌를 지급정지 처리했습니다.
농협 마이너스통장 한도는 4천만 원이었는데, 이 전화 한 통 덕분에 더 큰 피해는 막을 수 있었습니다.
최 씨의 아들은 이런 농협 BC카드의 사례를 들며, 앞서 일어났던 피해도 막을 수 있지 않았을까 생각이 든다고 말합니다.
비씨카드는 주말 새벽 시간 문화상품권 18차례에 걸쳐 1천5백만 원이 결제됐는데도 이상 거래를 전혀 탐지하지 못했기 때문입니다.
이에 대해 BC카드는 "직접 FDS(이상거래탐지시스템)을 운용하는 회원사인 신한카드에 책임이 있다"는 입장이고, "피해 보상은 경찰 수사 결과에서 최 씨 과실이 아닌 해킹이나 정보 유출로 드러나면 검토하겠다"고 밝혔습니다.
신한카드는 "FDS 권한은 자사에 있지만, 페이북은 비밀번호 등으로 고객인증을 거치는 것이기 때문에 사고 당시에 정상결제로 봤다"고 해명했습니다.
간편 결제 앱인 'NH콕뱅크'를 2년째 쓰고 있는 대기업 직원 유성 씨도 유사한 사건을 겪었습니다.
콕뱅크 역시 6자리 핀 번호만 있으면 로그인은 물론, 300만 원 한도 내에서 계좌이체도 할 수 있는 간편 결제 서비스입니다.
그런데 지난달 23일 토요일 아침, 콕뱅크 알림 내역을 보고 매우 놀랐습니다.
새벽 3시쯤 70만 원씩 3번. 10만 원씩 1번. 모두 4차례에 걸쳐 220만 원이 모르는 사람인 김 모 씨의 광주은행 P2P 계좌로 송금된 겁니다. 자신은 전혀 몰랐다는 게 유 씨의 주장입니다.
농협과 광주은행 콜센터에 지급정지를 요청했는데, "안된다"는 답변을 들었습니다.
금융사고나 범죄라고 확정할 근거가 없다며 경찰에 사건 접수부터 하라고 했습니다.
경찰청 사이버수사대도 전화했지만 "처음 경험해보는 사건이라 어떻게 도와줄 방법이 없다. 월요일에 경찰서에 가라"고만 했다는 게 유 씨의 말입니다.
이틀 뒤 당진경찰서에 찾아간 유 씨, 해킹을 당한 거 같다며 수사를 요청했는데 거부당했습니다. "사기라는 증거가 없다"는 이유 때문입니다.
유성/피해자
보이스피싱이나 현행범이 아니고 사기라는 증거가 없어서 이거는 받아줄 수 없다. 접수가 안 된다.
경찰은 그러면서 "실수로 송금했을 수도 있으니, 뒤늦게 착오송금이라고 생각이 든다면, 은행에 자금 반환요청을 할 수 있다"고 안내했습니다.
사건 접수는 안 되고, 시간만 흘러가고...다급해진 유 씨는 돈이라도 먼저 찾고 보자는 생각에 허위 신고를 합니다. 농협 콜센터에 "술 먹고 돈을 잘못 보냈다"며 자금반환요청을 한 겁니다.
하지만 닷새 뒤 돈이 송금된 "광주은행 예금주 김 모 씨가 연락이 닿지 않는다"며 자금 반환 요청은 거부됐습니다.
법률구조공단에 찾아가 상담도 해봤지만 "남은 건 민사 소송밖에 없고, 소송해도 돈을 돌려받을 확률은 매우 낮다"는 답을 들었습니다.
결국, 지푸라기라도 잡는 심정으로 KBS에 제보한 유 씨. 취재가 시작되자 경찰은 사전 발생 19일 만에 사건 접수를 하고 수사에 착수했습니다.
경찰 입장도 이해가 가는 측면이 있습니다. 보통 보이스피싱은 전화나 문자 같은 증거가 있는데, 이번 경우는 그런 게 없었기 때문에 범죄라고 보기도, 죄명을 적용하기도 힘들었다는 겁니다.
문제는 갈수록 지능화된 범인들이 이런 허점을 노리고, 최근 전화도 문자도 없는 이른바 '언택트 보이스피싱'을 시도하는 건 아닐까 의심이 드는 대목입니다.
피해 양상은 통상의 해킹 방식과 매우 유사한데, 농협 측은 자사 시스템엔 문제가 없었고 정보 유출도 없었다며 해킹이나 범죄는 아니라고 주장합니다.
휴대전화 고유식별번호인 맥(MAC)주소 확인 결과, 유 씨의 스마트폰에서 송금된 게 확인됐다는 겁니다. 또 유 씨도 "잘못 송금했다"고 신고한 적 있는 만큼, 유 씨의 말을 전적으로 신뢰할 수 없다는 입장입니다.
취재 과정에서 만난 농협 관계자들 사이에서는 유 씨를 의심하거나, 유 씨 과실을 암시하는듯한 발언을 이어가기도 했습니다. 돈이 송금된 계좌가 '도박 거래에 이용된다'는 주장도 나왔는데, 근거를 물었더니 그럴 가능성이 있다는 얘기를 들었다고 말할 뿐 뚜렷한 근거를 대지는 못했습니다.
유 씨도 자신을 의심하는 농협 관계자와 통화하면서 억울함을 감추지 못했습니다. 순간적으로 오해를 살 만한 대처를 한 것은 인정하지만, 정말 결백하다며 인터뷰에서 자신의 이름과 얼굴을 공개했습니다.
또 본인의 스마트폰까지 취재진에게 보내며, 포렌식이든 어떤 방식이든 검증해 달라고 요청했습니다. 유 씨의 스마트폰은 현재 민간 업체에서 검사가 진행 중입니다.
사이버 보안 전문기업 '스틸리언'의 신동휘 연구소장 "보안의 영역에서 100%라는 건 있을 수 없다며, 핸드폰에 어떤 문제가 발생했고, 이로 인해 원격조작 됐을 가능성도 있다"고 말합니다.
신동휘/스틸리언연구소장
사용자가 인지하든 인지를 못 하든 그런 게 설치가 되어야 하는데 ... 만약에 원격제어를 통해서 뭔가 이루어졌다면 그거는 설치됐을 것 같고....사용자가 일반적으로 사용하는 맥 주소나 이런 주소의 정보들. 사용자의 단말기에서 이 행위를 했다는 그렇게 추론할 수밖에 없는 기반 정보들이 있거든요. 그렇기 때문에 원격제어를 이용해서 이런 행위들이 일어났을 거라고 추론하게 되는 거죠.
물론 부정 결제가 일어난 모든 업체에서 이런 식의 대응이 일어난 건 아닙니다.
최근 부정 결제가 발생한 간편결제 업체 토스, 8명의 고객 명의로 부정 결제된 938만 원을 모두 환급 조치해줬습니다.
경찰 수사가 진행 중이고 과실 여부도 확인되지 않았지만, 피해를 본 고객에게 일단 보상해준 겁니다.
김승주/고려대학교 정보보호대학원 교수
간편결제 시스템을 볼 때는 볼 때는 즉각 소비자 보상 절차가 신속하게 이뤄져 있는가? 그걸 봐야 해요. 카카오뱅크 토스 같은 인터넷 전문은행 기업들은 어떤 사고방식을 갖고 있느냐면 일단 사고가 나면 미국식으로 소비자한테 먼저 보상해줘요. 그리고 기존의 ID와 비번이 뚫렸던 사이트에 구상권을 청구하는 거예요. 소비자에게 보상할 건 보상해주고, 기업 간의 해결할 문제는 거기서 해결하면 되는 거에요.
간편 결제 등 비대면 금융서비스가 나날이 발전하고 있지만, 이에 못지않게 사기 범죄도 진화하고 있는 상황. '간편성'과 '안전성'이란 딜레마를 어떻게 해결하고, 고객 피해를 최소화할 수 있을지...
정부와 금융사, 핀테크 업체 모두에게 주어진 과제입니다.
-
-
김민철 기자 mckim@kbs.co.kr
김민철 기자의 기사 모음
-
이 기사가 좋으셨다면
-
좋아요
0
-
응원해요
0
-
후속 원해요
0
오늘의 핫 클릭
실시간 뜨거운 관심을 받고 있는 뉴스
헤드라인
많이 본 뉴스
-
각 플랫폼에서 최근 1시간 동안 많이 본 KBS 기사를 제공합니다.
-
각 플랫폼에서 최근 1시간 동안 많이 본 KBS 기사를 제공합니다.
-
각 플랫폼에서 최근 1시간 동안 많이 본 KBS 기사를 제공합니다.
이 기사에 대한 의견을 남겨주세요.