시중은행이 ‘오픈뱅킹’의 문제를 인지하고, 금융위·금융결제원에 개선건의를 했지만 1년이 넘도록 받아들여지지 않은 것으로 확인됐다. 해당 건의에는 ‘오픈뱅킹으로 인한 전자금융사고 추이’뿐만 아니라 ‘오픈뱅킹 사고를 막을 방법, 신고 절차 수립’ 등의 내용도 담겨 있었다. 개선안이 관계자들 손에서 ‘검토 중’인 동안, 존재 자체도 몰랐던 오픈뱅킹으로 인한 피해자들이 발생했다. 건의를 반영해 개선했다면 피해를 입지 않았을 사례들이었다.
의도했든, 그렇지 않든 은행과 당국의 방치 속에 피해자들은 평생 일군 재산을 잃었다. 그럼에도 모든 책임은 피해자들에게 전가된다. ‘개인정보를 노출한 것이 문제의 시작’이라는 논리다. 금융권과 당국이 책임에서 자유롭다 보니 오픈뱅킹을 이용한 금융사기 피해자 수, 피해 규모 등은 모두 오리무중이다. 확립된 신고 절차도 없어 피해자가 필요한 조치를 알아보는 데만 최소 하루가 걸린다. 이마저도 방문하는 기관마다 설명이 다르다. 결국 피해자들끼리 알음알음 모여 사고신고, 수습, 피해구제 등의 정보를 공유하고 있다.
피해자들을 괴롭히는 것은 금전피해뿐만이 아니다. 이들은 ‘자괴감’과 ‘주변 인식’이 가장 두렵다고 말한다. ‘오픈뱅킹이 무엇인지 몰라 피해 신고조차 제대로 하지 못 하는 모습’은 무력감을 키운다. ‘스미싱, 보이스피싱이나 당하는 어리숙한 사람’이라는 낙인도 두렵다. 이러한 인식과 오픈뱅킹 1일 이체한도가 1000만원 이하라는 상황이 만나 범죄는 더욱 음성화되고 있다. 수백만원 피해로 변호사를 선임하고, 거대 금융기관과 싸우느니 차라리 금전 피해를 떠안아 버리는 것이다.
새로운 기술을 이해하고, 이용하는 사람들에게 오픈뱅킹은 생활에 편리를 가져다주는 ‘도구’다. 동시에 오픈뱅킹은 범죄자들에게 범행의 편리를 가져다주는 ‘도구’가 되고 있다. ‘생활의 편리’와 ‘범행의 편리’ 사이에는 구멍 뚫린 제도가 있다. 오픈뱅킹 사태의 시작은 ‘피해자들의 부주의’가 아닌 문제를 알고도 방치한 ‘관련기관들의 부주의’라는 지적이 나온다.
※오픈뱅킹은 제3자가 개발한 앱이나 은행앱을 통해 본인 명의 모든 계좌에 대한 조회, 이체 등이 가능한 제도다.
■1년 넘게 검토만… 은행·당국 책임은
‘오픈뱅킹 전자금융사고 관련 제도 수립 및 품질 검증 강화’. 국민은행이 2021년 4월 28일 금융위원회·금융결제원에 제출했다는 건의서 제목이다. 해당 문서에는 그동안 확인할 수 없었던 은행이 보는 ‘오픈뱅킹 피해사례 추이’와 ‘문제점’ 등이 담겨 있다. 문서는 “오픈뱅킹으로 인한 전자금융사고 사례가 증가하고 있다”며 “오픈뱅킹을 이용하면 기관 전자금융 가입여부, 비밀번호 검증없이 타 기관 플랫폼에서 거래가 가능하다”고 지적한다. 그러면서 “고객이 개인정보 유출 등의 사고로 은행의 전자금융 이용자 탈퇴, 비밀번호 변경 등록을 완료해도 오픈뱅킹을 이용하면 해당 은행에서 출금이 가능하다”고도 덧붙였다. 이는 경향신문이 지난 9월 4일 지적한 내용과 같다. 은행은 이미 1년도 전에 모든 문제를 파악하고 당국에 보고까지 했지만 개선이 이뤄지지 않은 것이다.
▶관련기사-[단독]금융사기 당해도...“당신은 ‘오픈뱅킹’을 거부할 권리가 없다”
해당 건의서가 특별한 것은 문제점뿐만 아니라 대안도 담고 있기 때문이다. 우선 오픈뱅킹으로 인한 피해가 발생했을 경우 사고신고 절차가 부재하다는 점을 지적한다. 그러면서 금융사기범죄가 발생하면 모든 오픈뱅킹 거래를 정지할 수 있는 참가기관 ‘공동의 사고신고 절차’가 필요하다고 제안했다. 또 현행 오픈뱅킹은 비밀번호를 검증할 수 있는 API(Application Programming Interface)가 없기 때문에 ‘공동규약으로 정해둔 오픈 API에 비밀번호를 검증할 수 있는 항목을 개설해 보안을 강화하자’는 내용도 담겼다. 쉽게 말해, A은행 오픈뱅킹을 이용해 B금융기관 계좌에서 이체를 하는 경우 돈이 인출되는 B금융기관 계좌 비밀번호를 한 번 더 입력하게끔 하자는 내용이다. 이 경우 오픈뱅킹을 이용하더라도 각 계좌의 비밀번호가 모두 노출되지 않는 한 피해를 막을 수 있다. 하지만 두가지 모두 아직까지 개선되지 않았다.
‘긴 검토’ 끝에 관계당국이 오픈뱅킹제도를 보완한다면 환영할 일이다. 하지만 피해자 입장에선 황당하다. 적어도 2021년 4월 이후에는 은행도, 당국도 오픈뱅킹에 심각한 문제가 있다는 점을 인지하고 있었기 때문이다. 정호철 경제정의실천시민연합 간사는 “기술을 도입했는데 문제가 있다면 곧바로 개선을 하든가, 그게 어렵다면 사실을 알리고 잠시 중단을 하는 게 상식 아니냐”며 “결국 피해가 계속 발생할 것을 알면서도 1년 넘게 지켜만 봤다는 얘기”라고 말했다. 임종인 고려대 정보보호대학원 석좌교수는 “처음 오픈뱅킹을 이용해보고 깜짝 놀랐다”며 “클릭 한 번으로 모든 금융계좌에 접근이 가능하고 금융거래까지 할 수 있다는 것은 누구나 잠재적 피해자가 될 수 있음을 의미한다”고 말했다. 그러면서 “사전에 범죄를 완전히 차단하는 것이 어렵다면 사후적으로 출금이나 이체 시 동의를 받게 하는 등의 2차 인증 방식을 도입해야 한다. 기술적으로 그리 어려운 문제도 아니다”고 말했다.
문서의 존재는 은행과 당국이 정말 오픈뱅킹 관련 금융사기범죄에 책임이 없는지 의문을 제기한다. 국민은행뿐만 아니라 농협·신한·하나·우리 은행 관계자들 역시 “제도의 문제점에 대해 관계기관과 수시로 소통하고 있다”고 말했다. 책임이 없다고 주장하는 이들이 자발적으로 제도를 개선하리라 기대하기는 어렵다. 이들의 귀책사유를 더 찾아봤다.
■신분증 원본확인 기술, 왜 빠졌나
오픈뱅킹 사고 책임과 관련해 시중은행과 당국의 입장에는 미묘한 차이가 있다. “고객 신분증이 유출돼 발생한 사고”라는 인식에서는 유사하다. 그런데 당국은 꼭 “비대면 인증 쪽에서 문제가 생기는 것 아니냐”는 전제를 붙인다. 이 말은 어떤 의미일까. 이를 이해하려면 현행 ‘전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법’속 ‘금융회사의 피해 방지 책임’에 주목해야 한다. 즉 금융회사는 전기통신금융사기를 막기 위해 거래 당사자가 ‘본인임을 확인하는 조치’를 해야 한다는 것이다. 이는 ‘금융실명거래 및 비밀보장에 관한 법률’(이하 금융실명법) 제3조 제1항이 명시한 “금융회사 등은 거래자의 실명을 확인해야 한다”는 조항과도 엮인다.
법을 준수하기 위해 과거 본인확인은 대면이 원칙이었다. 은행을 방문해 실물 주민등록증 등을 보여주는 방식이었다. 문제는 비대면 금융거래가 활성화되면서 ‘본인확인’까지 비대면으로 가능해졌다는 점이다. 금융위가 발표한 ‘비대면 계좌개설 시 실명확인 방식 합리화 방안’(이하 ‘가이드라인’)이 적용근거다. 비대면 실명확인을 하는 경우 ‘실명확인증표 사본 제출’, ‘영상통화’, ‘본인만 수취할 수 있는 접근매체(현금카드·OTP 등) 전달 과정에서 본인확인’, ‘기존계좌 활용’, ‘바이오 정보가 포함된 기타 방법’ 중 2가지 이상을 중복 적용해야 한다. 해당 가이드라인에서 말하는 ‘실명확인증표’는 신분증 원본을 말한다. 즉 은행이 비대면으로 고객의 계좌개설을 할 경우 신분증 원본을 촬영한 사본을 제출받아 확인하라는 의미다.
문제는 여기서부터 시작된다. 기자가 제도의 문제점을 파악하기 위해 실제로 시중은행 금융앱을 설치하고, 오픈뱅킹으로 타 은행 계좌의 돈을 이체하는 실험을 해봤다. 먼저 휴대전화 금융앱을 실행시킨다. 거래를 하려면 ‘인증서’를 발급받으라고 한다. 선택지는 모바일 인증서, 금융인증서, 공동인증서 등 다양하다. 이중 모바일 인증서를 선택했다. 첫 번째로 약관동의와 휴대전화 본인인증이 나온다. 이를 완료하면 두 번째로 본인을 확인할 수 있는 방법이 나온다. 이중 신분증 ‘원본’ 촬영을 누르니 주민등록증·운전면허증 중 하나를 선택해 촬영할 수 있다. 금융앱이 휴대전화 카메라를 작동시켰다.
몇가지 실험을 했다. 주민등록증 사진을 가려봤다. 본인인증이 됐다. 별도의 휴대전화를 가져와 주민등록증 사진을 촬영한 뒤 해당 사진을 띄워두고 본래 휴대전화로 인증을 해봤다. 역시 인증이 됐다. 주민등록증을 촬영한 사진이 어딘가로 유출됐다면 그 사진만 가지고도 본인인증이 된다는 의미다. 이번에는 주민등록증 사진을 촬영해 각각 흑백·컬러로 프린트했다. 흑백으로 출력한 주민등록증 사진은 인증에 실패했다. 반면, 컬러로 출력한 것은 인증이 됐다. 금융앱은 원본을 요구할 뿐 고객이 제시하는 신분증이 원본인지, 아닌지를 걸러낼 능력은 없었다.
이 경우 금융위 가이드라인 위반이 된다. 금융위에 ‘실명확인증표’의 명확한 의미를 물었다. 금융위 관계자는 “실명확인증표는 신분증 원본을 의미하는 것”이라며 “가이드라인을 준수해야 할 의무는 1차적으로 금융기관에 있다”고 말했다. 그러면서 “일부 시민단체도 금융회사가 신분증 원본을 제대로 확인하지 않는다고 하는데 문제의 본질이 아니라는 말도 있다”고 덧붙였다. 피해의 시발점이 유출된 신분증 사본임은 수 많은 사례로 확인된다. 이를 따져 묻기 위해 ‘금융위의 공식 입장이냐’고 재차 물었다. 그러자 “그런 주장도 있다는 것”이라고 말했다. 시중은행은 금융위 가이드라인을 제대로 준수하지 않았다. 금융실명법 위반 문제도 따져봐야 한다. 금융위는 ‘사태의 본질’을 따지기 전에 스스로 내놓은 가이드라인이 잘 지켜는지부터 확인해야 한다. 금융위 관계자의 발언은 신분증 원본 확인 문제를 그들도 이미 알고 있었다는 의미다.
그렇다면, 혹시 신분증 원본을 확인할 기술이 없는 것은 아닐까. 보안 관련 업체들을 수소문해봤다. 이미 2000년대 초반부터 신분증이 원본임을 확인할 수 있는 시스템은 개발돼 있었다. 그럼에도 비대면 본인확인 시 해당 기술을 적용하지 않았다. 신분증 진위확인 기술을 보유한 한 업체 관계자는 “은행이 신분증 원본 확인 기술을 도입하려면 아무리 많이 잡아도 초기 비용 10억원 정도면 충분하다”며 “이후 2년차부터 운영비용으로 연간 1억6000만~1억8000만원 정도가 든다”고 말했다. 시중은행들은 도입을 ‘안 한 것’이지, ‘못 한 것’이 아니라는 의미다.
■거래 즉시정지·일괄 신고만 가능했어도
만약 오픈뱅킹을 이용한 피해가 문서 속 건의대로 보완이 이뤄진 상태에서 발생했다면 어땠을까. 문서를 바탕으로 추가 검증을 해봤다. A씨는 지난 8월 21일 오후 12시 44분 “아빠 나 폰이 먹통 됐어. 임시용 번호로 문자하는 건데 확인하면 여기로 답장줘”라는 문자를 받았다. A씨는 딸이 보낸 문자로 착각해 카카오톡으로 대화를 이어갔다. 범인은 “아빠 주민등록사진, 계좌번호, 비밀번호를 달라”고 요청했다. A씨는 해당정보를 전송했다. 범인은 A씨의 주민등록증 등을 이용해 국민은행 인증서를 발급받고 오픈뱅킹을 등록했다. A씨의 모든 계좌가 범인에게 공개됐다.
시중은행은 모두 이상거래감지 시스템을 가동 중이다. 왜 사건이 발생하고 하루가 지난 뒤 통보가 이뤄졌는지 물었다. 농협은행 관계자는 “이상거래감지 시스템은 주말 없이 24시간 가동되는 것이 맞다”면서도 “다만 스미싱 피해를 당한 경우 고객이 계좌번호, 비밀번호 등을 직접 노출한 것이기 때문에 이상거래로 잡아내기가 어려운 점이 있다”고 말했다. 그렇다면, 어떻게 하루 뒤에는 이상거래로 판단하고 통보한 것인지 의문이 남는다. 이에 대해 “통보한 부서가 이상거래를 감지하는 부서와 다른 부서”라며 “이들이 월요일에 출근해 거래패턴을 분석하고 알려준 것”이라고 말했다. 하나의 회사에서 한 부서는 정상거래로 또 다른 부서는 이상거래로 의심했다는 말이다. 이해하기 어려운 은행 시스템과는 별개로 피해사례 중에는 유독 일요일 발생이 많았다. 일요일에 모르는 번호로 신분증 사진을 요구해올 경우 특히 더 조심해야 한다.
A씨는 피해 규모를 확인하고 필요한 조치를 했다. 계좌가 있는 은행마다 일일이 돌아다니며 피해 사실을 알려야 했다. 잊고 지낸 카드나 통장이 있을까 불안해 딸에게도 사실을 알렸다. 뒤늦게 범인이 A씨 명의로 알뜰폰을 개통한 것도 알게됐다. A씨의 딸은 “나 역시 오픈뱅킹 사고가 나면 어떻게 해야 하는지 파악하기가 어려웠다”며 “대응 매뉴얼도 없기 때문에 여기저기 묻고 물어 피해가 발생할 수 있는 곳을 하나씩 찾아 막았다”고 했다. 그러면서 “오픈뱅킹이 뭔지도 모르는 아버지가 홀로 대처하기란 사실상 불가능하다”고 설명했다.
휴대전화 통제권이 범인에게 넘어가도 모든 오픈뱅킹 거래를 즉시 정지시킬 수 있다면 2차, 3차 피해를 막을 수 있다. 또 일괄적으로 신고할 수 있는 절차가 있다면 피해자들이 지금처럼 필요한 조치가 누락됐을까 불안에 떠는 일은 줄일 수 있다. A씨는 “아직도 모르는 번호로 전화가 오거나 문자가 오면 심장이 쪼그라든다”며 “무슨 일이 더 생길지 모르는 두려움에서 오는 것 같다. 피가 마른다”고 하소연했다. 당국이 방관하는 사이 피해자들은 서로를 돕고 있다. 지난 1월, 신분증 사본 유출 등으로 금전 피해를 입은 사람들이 모이는 단체 대화방이 만들어졌다. 9월 현재, 379명이 대화방에 들어와 있다. 이들은 피해 처리 과정에서 알게 된 경험을 서로에게 공유한다. 먼저 겪은 피해자가 나중에 겪은 피해자를 위로하며 돕고 있다.
■은행의 의무와 소비자의 의무 사이
2022년 8월 말 기준, 오픈뱅킹에는 중복가입을 포함해 1억4061만명이 가입돼 있다. 총인구수의 3배에 가깝다. 이를 뒤집어보면, 한국에는 잠재적 범행 기회가 1억4061만번이나 있는 셈이다. 일각에서는 “기술을 따라가지 못하는 사람들의 문제”라고 말한다. 피해를 바라보는 일부 은행의 태도와 유사하다. 심지어 법원 판단도 그렇다. ‘대법원 판례 2017다257395’의 요지는 “설령 의사에 반해 공인인증서 등으로 본인임이 확인됐다고 하더라도 ‘특별한 사정이 없는 한’, 수신자가 ‘정당한 이유’가 있는 자가 보냈다고 믿을 수 있는 경우 전화통화나 면담 등의 추가 본인확인 절차 없이 금융거래를 할 수 있다”는 것이다.
해당 판례 속 공인인증서는 현행 방식(모바일·공동·금융 공인인증서)으로 바뀌기 전의 구(舊) 공인인증서다. 새로운 체제의 공인인증서를 이용한 범죄에도 판례를 적용할 수 있느냐는 논란의 여지가 있다. 다만 적용 법리는 동일하다. 인증기관이 발급한 인증서로 이뤄지는 거래에서 은행은 책임이 없다는 것이다. 정지웅 법률사무소 정 변호사는 “핵심은 인증서가 아닌 은행이 금융위가 요구하는 수준의 본인확인 절차 의무를 정말 다했느냐에 있다”며 “비대면 금융거래로 인한 범죄행위가 늘어가는 상황에서 신분증 등의 원본 확인이 제대로 이뤄지지 않았다면 이는 의무를 다한 것으로 보기 어렵다”고 말했다.
사고 발생 시 은행이 공동책임을 져야 한다면 자발적인 보안강화를 기대할 수 있다. 다행히 국회가 문제를 인지하고 관심을 보이고 있다. 강병원 의원은 “오픈뱅킹 사고신고 제도 수립과 피해가 발생했을 경우 모든 계좌거래를 일괄 제한할 수 있는 시스템 구축 등 실효성 있는 대책 마련이 시급하다”며 “범죄 수법이 날로 고도화되는 상황에서 새로운 금융시스템을 도입할 때는 항상 금융소비자의 안전성을 고려한 세밀한 대책이 동반돼야 한다”고 밝혔다.
.png?type=nf190_130)
