전자금융거래가 일상화된 지 오래다. 이제는 은행거래를 위해 점포를 찾을 일이 거의 없어졌고, 휴대폰을 이용한 스마트뱅킹이 일반화되었으며, 인터넷은행의 고객도 크게 늘어났다. 그러나 빛이 밝으면 그림자도 짙듯이, 전자금융거래의 편익이 아무 대가 없이 주어지는 것은 아니다. 전자금융사기로 인한 피해가 대표적인 대가이다.

전자금융사기의 유형

가장 전통적인 사기 수법은 '보이스피싱'(Voice Phishing)이다. 'Phishing'은 개인정보(private date)와 낚시(fishing)를 합성하여 만든 단어이다. 가족이 다쳐서 급히 돈을 보내야 한다거나 좋은 조건으로 대출을 해 주겠다는 미끼로 금융거래정보를 요구하는 전화는 누구나 한 번씩 받아 보았을 것이다.

사기 수법은 계속 진화한다. 한때 유행했던 것이 '파밍(Pharming)'이다. 파밍이란 악성코드에 감염된 PC를 조작하여 이용자가 인터넷 즐겨찾기 또는 포털사이트를 통해 금융회사 홈페이지에 접속할 경우 피싱(가짜)사이트로 유도되도록 한 후, 보안카드 번호 등의 입력을 요구하는 파밍창을 띄워 이용자 스스로 금융거래정보를 누설하도록 하는 사기수법이다. 누가 봐도 거의 매일 접속하는 인터넷뱅킹 사이트와 똑같이 생겼으니, 아차 하는 사이에 정보가 털릴 수밖에 없다. SMS를 이용한 '스미싱(Smishing)', QR코드를 이용한 '큐싱(Qushing)' 등의 수법도 등장했다.

더욱 무서운 것은 내 통장 안에 들어 있는 돈만 사기를 당하는 데 그치지 않는다는 점이다. 카드회사나 보험회사로부터 거액의 대출을 받아 피해자의 은행통장에 입금하게 한 후 곧바로 부정이체를 하는 경우도 있고, 심지어 신용카드를 신규로 발급받아 대출금을 편취하는 사기 수법도 한때 유행하였다. 내가 가지고 있지도 않은 카드가 발급되고 대출이 실행되어, 내 은행계좌를 잠시 거쳐 사기범의 통장으로 돈이 넘어가니, 기가 찰 노릇 아닌가. 스마트뱅킹 이용자가 늘어나는 데 발맞추어 메모리해킹이나 SNS, 각종 '페이'와 결합된 신종 사기 수법이 등장할 것이 틀림없다.

2007년부터 전자금융거래법 시행

전자금융거래에 관한 기본법은 2007년부터 시행된 '전자금융거래법'이다. 전자금융거래법은 접근매체(전자카드, 공인인증서, 보안카드번호 등이 모두 접근매체다)의 위조나 변조로 인한 사고 등 전자금융사고에 관하여 원칙적으로 금융기관이 책임을 지도록 하고 있다. 이와 관련하여 무형적 접근매체인 계좌비밀번호, 공인인증서 비밀번호, 보안카드 번호 등이 누설되어 부정사용되는 경우가 '접근매체의 위조 또는 변조'에 해당하는지 뜨거운 쟁점이 되었다.

필자는 무형적 접근매체의 부정사용도 위 개념에 포섭된다고 보아 이용자의 보호를 도모해야 한다는 입장이었지만, 법원의 판단은 달랐다. 결국 2013년 법 개정으로 ‘전자금융 거래를 위한 전자적 장치 등에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고’에 대해서도 금융기관이 책임을 지도록 함으로써 위 논란은 입법적 해결을 보았다.

하지만 사고 발생에 관하여 이용자에게 고의나 중대한 과실이 있는 경우로서 계약에서 미리 정한 경우에는 이용자가 책임을 져야 한다. 중대한 과실의 대표적인 사례가 접근매체를 누설하거나 방치하는 경우, 접근매체를 제3자에게 대여하거나 양도하는 경우이다.

고의 · 중과실 땐 이용자 책임

파밍 사이트에 잘못 접속하여 팝업창이 지시하는 대로 보안카드 번호 전부를 입력한 경우, 보이스피싱 사기범이 시키는 대로 OTP 번호를 불러준 경우 등은 명백한 중과실이며, 금융기관에 일부라도 책임을 물리기 어렵다. 심지어 어학연수를 떠난 아들에게 체크카드를 건네주었는데, 아들이 해외에서 ATM을 이용하다 카드가 불법복제되어 발생한 사고에 대해, 이용자의 중대한 과실이 인정된 사례도 있다. 카드는 자식한테도 빌려주면 안 된다.

전자금융사기가 이용자의 조력 없이 완결적으로 수행되는 것은 불가능에 가깝다. 가끔 "나는 어떠한 정보도 누설한 적이 없고, 보이스피싱 전화를 받은 적조차 없는데, 어느 날 통장에서 돈이 빠져나가 있었다"고 주장하는 피해자도 있지만, 필자는 피해자의 말을 전부 믿지는 않는다.

인터넷뱅킹을 할 때마다 매번 지갑에서 꺼내기가 귀찮아 PC에 저장해 둔 보안카드 사진 파일이 해킹을 당한 경우, 좋은 이율에 대출을 해 주겠다는 피싱범의 전화에 속아 예금통장과 신분증을 보내 준 경우 등등. 정도의 차이는 있지만, 내 소중한 금융거래정보를 철저히 관리하지 못한 부주의가 사기 피해의 빌미가 되기 마련이다.

최근에는 낮은 이율로 대출을 받으려면, 다른 은행의 대출통장이 마이너스가 되어 있어야 한다는 말에 속아 마이너스 대출금을 사고 예금계좌로 이체하였다가 큰 피해를 입은 케이스도 보았다. 너무 당연한 이야기지만, 전자금융사기를 당하지 않기 위해서는 금융거래정보를 정상적으로, 철저히 관리하는 수밖에 없다.

최근에는 OTP가 접근매체로 널리 이용되고 있다. OTP는 매번 생성되는 비밀번호를 실시간으로 해킹하거나 OTP 기기 자체를 복제하는 것이 사실상 불가능한 기술로 알려져있다. OTP 기기 및 번호만 철저히 관리하고 누설하지 않아도 대부분의 전자금융사기는 예방할 수 있다. 늘 그렇듯이 지름길이나 묘책 같은 건 없나 보다.

그런 불행한 일이 있어서는 안 되지만, 이왕 사기를 당했다면 피해회복을 위한 조치를 신속하게 취하는 것이 필요하다. 가장 급한 것은 내 돈이 들어가 있는 부정이체 계좌를 동결하는 것이며, 이를 위해서는 거래은행 콜센터와 경찰에 신속히 신고를 하는 수밖에 없다.

'전자통신금융사기 피해 방지 및 피해금 환급에 관한 특별법'은 이용자 계좌에 대한 임시조치, 피해구제 신청, 피해금 환급 신청 등에 관하여 자세히 정하고 있다. 하지만 사고가 나면 법전을 들춰볼 시간은 없고 그래서도 안 된다. 바로 콜센터에 전화로 피해신고를 하시라.

OTP 복제 사실상 불가능

모든 금융기관은 전자금융사기에 대비한 보험에 가입해있다. 전자금융사기 사건이 터지면 금융기관은 대체로 보험사에 사고사실을 알리고, 보험사에서 선임한 손해사정 법인에서 사고 조사를 하게 된다. 위 조사 결과를 바탕으로 금융기관이 책임을 질 건지, 아니면 이용자의 과실이 너무 중하여 한 푼도 배상을 받을 수 없는지, 보험금은 얼마나 나갈 수 있는지 등이 결정된다. 따라서 금융기관 고객인 피해자의 입장에서는, 위 조사 단계에서 피해사실을 정확히 알리고 권리를 보호받기 위한 노력을 집중하는 것이 매우 중요하다.

제일 좋기로는, 이런 걱정을 할 필요가 없도록 정직하고 안전한 세상이 오든지, 아니면 사기 사고를 완벽히 예방할 수 있는 기술이 개발되는 것일 터인데 둘 다 가망 없는 일이다. 내 재산은 내가 지킬 수밖에.

배성진 변호사(법무법인 지평, sjbae@jipyong.com)