세계일보

“제가 당할 줄은 꿈에도 몰랐습니다. 빚을 갚느라 하루하루가 지옥 같아요. 사람들이 이래서 죽는구나 싶습니다.”

“경찰에서 수사 종결했다고 연락 왔네요. 소송 걸어도 이기기 어렵다고 하고 은행도 책임 없다며 다들 수수방관이니 피해자가 계속 생기는 겁니다.”

“수만명의 피해자가 있는데 개인 잘못으로 돌리는 건 너무하지 않나요. 범인도 나쁘지만 피해자가 생길 수밖에 없는 금융시스템에 더 화가 납니다.”

온라인 커뮤니티인 ‘보이스피싱(전자금융사기)으로 인한 피해자 모임’에는 하루에도 몇 개씩 피해를 호소하는 글들이 올라온다. 5일 현재 이 커뮤니티의 회원 수는 3200여명. 올해 올라온 문의나 피해사례 상담 글만 150여개에 이른다.

우리나라에 보이스피싱이 등장한 건 2006년. 누구나 한 번쯤 보이스피싱을 유도하는 전화나 문자메시지를 받아 봤을 정도로 ‘보이스피싱’이란 단어는 더 이상 낯선 것이 아니지만 피해자들은 여전히 발생하고 있다. 

◆뛰는 수법, 기는 대책

초기 보이스피싱 수법은 대부분 전화를 이용한 친인척의 납치 또는 세금이나 보험금 환급 사칭이었다. 그러나 관련 수법이 알려지면서 검찰과 경찰 사칭, 온라인메신저를 이용한 ‘메신저피싱’, 피싱사이트(가짜 홈페이지), 문자를 이용한 ‘스미싱(Smishing)’ 등으로 변신을 거듭했다. 최근에는 사용자 컴퓨터에 악성코드를 유포, 진짜 사이트 주소를 입력해도 가짜 사이트로 접속되게 유도하는 ‘파밍(Pharming)’이 기승을 부리고 있다. 무통장입금으로 인터넷 쇼핑몰에서 물건을 사려다 피싱 사기에 걸려드는 사례도 발생했다.

경찰청에 따르면 지난해 12월부터 올해 2월까지 석달 간 적발된 스미싱은 3100여건, 피해액은 7억원에 달한다. 파밍의 경우 스미싱보다 건수는 적지만 피해 규모는 훨씬 크다. 지난해 11월부터 올해 2월까지 넉달 간 발생한 파밍은 323건으로, 피해액은 무려 20억6000만원이나 된다. 최근에는 카드사를 사칭해 악성코드로 의심되는 링크가 첨부된 이메일 명세서를 보내는 ‘이메일피싱’ 사례도 적발됐다.

금융당국은 각종 대책을 내놓고 있지만 더욱 교묘한 수법이 계속 출몰하면서 보이스피싱은 끊이지 않고 있다. 중국 등 해외에서 전화가 걸려온다는 점을 이용해 ‘국제전화 식별번호 표시제’를 도입하면 인터넷전화를 이용한 범죄가 등장하고, 카드론 대출사기가 급증해 본인확인 절차를 강화하고 ‘지연입금제도’(대출신청 금액이 300만원 이상이면 신청 후 2시간 뒤에 입금되는 제도)를 내놓으면 파밍 등 또 다른 범죄가 튀어나오는 식이다.

상황이 이렇다 보니 사실상 개인의 주의를 당부하는 방법 외에 뾰족한 대책이 없는 실정이다. 금융당국은 ‘보이스피싱 합동경보제’ 등을 통해 범죄수법 홍보를 강화하고 있지만, 이는 이미 범죄가 발생한 뒤 확산을 막는 ‘한 박자 느린’ 대책일 뿐이지 신종수법을 막지는 못한다.

핵심 피의자 검거가 어려운 것도 문제다. 경찰 관계자는 “인터넷주소(IP) 등을 추적하려면 중국 경찰과 공조 등이 필요한데 잘 안 되고 있다. IP주소를 알아내도 현지검거 등은 어렵다 보니 인출책 등 ‘꼬리’만 잡히는 상황”이라고 말했다. 특히 스미싱의 경우 개인정보를 입력하지 않고 링크만 클릭해도 개인정보가 해외서버로 빠져나가 소액결제가 이뤄지는데, 결제도 해외에서 진행되기 때문에 추적조차 어렵다.

◆금융사 책임 늘리고 금융시스템 보안 개선해야

보이스피싱 피해자들은 보이스피싱이 끊이지 않는 것은 은행 등 금융사의 ‘면책권’ 때문이라고 주장한다. 보상책임이 적다 보니 금융사 스스로 보이스피싱을 줄이기 위한 노력에 소홀하다는 것이다.

‘전자금융거래 기본약관’에 따르면 ‘제3자가 권한 없이 이용자의 접근매체를 이용해 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 자신의 접근매체를 누설 또는 노출하거나 방치한 경우’ 은행 등 금융사는 금융사고 책임을 지지 않아도 된다.

이러한 금융사의 면책권은 피해자들에게 ‘2중의 고통’으로도 돌아온다. 대부분의 피해자가 범인에게 스스로 개인정보를 알려준 셈이어서 보상이 어렵기 때문이다. 보상을 받기 위해서는 민사소송을 준비해야 하지만 개별적으로 준비하기에는 절차도 복잡할 뿐더러 비용도 많이 들어 엄두를 내지 못하는 게 현실이다.

소송까지 가더라도 은행은 일부 보상에만 그치는 경우가 많다. 대출사기 등으로 졸지에 빚을 지게 된 피해자들은 수년간 빚을 갚아 나가야만 한다. 지난해 5월 보이스피싱 피해를 본 강모(39)씨는 “나도 모르는 새 내 이름으로 대출된 돈을 갚아야 한다는 게 너무 억울해서 법률구조공단과 금융감독원 등에 도움을 요청했지만, 다들 ‘이미 실행된 대출은 방법이 없다. 소송까지 가도 결과가 좋지 않을 가능성이 크니 그냥 포기하라’고 한다”고 말했다. 그는 “은행들도 본인확인을 소홀히 하는 등 보안관리를 잘못한 책임도 있는데 나 몰라라 하면서 대출금을 갚으라고만 하는 게 화가 난다”고 덧붙였다.

금감원은 은행권의 보이스피싱 피해 보상기준을 검토하고 보안상태를 점검하겠다고 나섰지만, 금융사들은 “보이스피싱은 금융사의 보안만으로 해결할 수 있는 문제가 아니다”라는 입장이다. 한 시중은행 관계자는 “피해자마다 조금씩 수법도 다르고 상황도 다른데 일률적으로 보상기준을 정할 수 있는 방법이 없다. 피해자들도 잘못을 한 건데 다 물어줄 수도 없는 노릇”이라며 “고객의 주의를 당부할 수밖에 없다”고 말했다.

정준현 단국대 교수(법학)는 “전자금융거래법에서 ‘고객이 안전하게 서비스를 이용할 수 있도록 금융기관이 선량한 관리자로서 주의를 다해야 한다’고 규정하고 있는데, 현재는 은행 면책사항이 너무 많은 것이 문제”라며 “금융당국도 금융사에 맡길 것이 아니라 관리자로서 전체 금융시스템 보안강화 노력을 해야 한다”고 지적했다.

김유나·오현태 기자 yoo@segye.com

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]