사진은 기사와 관련 없음 /게티이미지뱅크
사진은 기사와 관련 없음 /게티이미지뱅크
지난달 재산 수십억 원을 잃은 A(73)씨. 여느 때와 다름없이 도착한 문자 한 통이 그의 평온했던 일상을 산산조각 냈다. 건강 문제로 오랜 기간 약물 치료를 받아온 그는 자녀의 도움으로 부동산 거래를 진행할 만큼 취약한 상태였다.

이를 간파한 보이스피싱범은 부드러운 말투로 접근해 신뢰를 쌓은 뒤, 자신을 대검찰청 검사라고 사칭하며 A씨를 협박했다. "범죄에 연루돼 자녀들의 미래까지 위태로워질 수 있다"는 말을 듣고 두려움에 사로잡힌 그는 범죄가 아님을 증명해야 한다는 말에 따라 일명 ‘좀비폰’ 상태를 만드는 URL을 클릭했다.

그 순간부터 A씨는 외부와 단절됐고 일당은 그의 사생활을 파악해 협박을 이어갔다. 결국 A씨는 5일 동안 무려 23회에 걸쳐 총 21억원을 송금했다.

A씨의 가족들은 비대면 거래에 대한 본인 확인 시스템의 허점을 비판했다. A씨의 자녀 오모씨는 "노인이 이렇게 큰 금액을 이체하는 데도 은행의 추가 확인 절차가 미흡했다"며 은행의 부주의한 대처를 지적했다.

"범죄에 연루된거 같다"…악성 URL 설치 유도 '좀비폰' 만들어

피해자 A씨에게 온 은행 문자/사진=유지희 기자
피해자 A씨에게 온 은행 문자/사진=유지희 기자
피해자 B(85)씨와 C(65)씨도 각각 같은 방식으로 지난해 여름 각각 14억여원, 16억여원의 보이스피싱 손해를 입었다.

80대 노인인 B씨는 당시 'OO카드 해외 결제 알림'이라는 문자를 수신했고 좀비폰이 됐다. 보이스피싱범들에게 범죄에 연루됐다는 협박을 당한 것. 보이스피싱 일당은 이들을 통해 아파트를 담보로 대부업체에서 14억여원을 대출받았다.

해당 대출금액은 은행 계좌로 송금됐으며 지점에서 14억원을 수표로 바꿨다. 보이스피싱 조직원들은 수표 발행 이튿날 10개 지점을 통해 전액 현금화했다.
C씨가 일당으로부터 받은 악성 URL 문자,(오) 일당으로 인해 중도해지 처리된 16억 원 규모 정기예금 5개/사진=유지희 기자
C씨가 일당으로부터 받은 악성 URL 문자,(오) 일당으로 인해 중도해지 처리된 16억 원 규모 정기예금 5개/사진=유지희 기자
C씨는 은행 VIP 팀장 안내로 아파트 전세금을 예치했는데 이로부터 한 달 후 보이스피싱 일당으로부터 본인 명의로 카드가 발급됐다는 연락을 여러 차례 받았다.

이들은 C씨에게 범죄 사건에 연루된 것처럼 고령의 C씨를 겁줬다. 이들은 URL을 통해 A씨 휴대폰을 미러링해 10분 만에 5개 계좌 적금을 해지했다. 이후 C씨는 현금 15억6700만원을 보이스피싱범 지시에 따라 수천만 원씩 나눠 4영업일 간 총 30회에 걸쳐 송금했다.

한경닷컴 취재를 종합하면 지난해 보이스피싱으로 인해 도합 약 51억원 규모의 피싱 사기를 당한 A씨와 B씨, C씨는 모두 △통신사기피해환급법 △금융소비자법 △특정금융정보법' 등을 근거로 피해액 일부에 대해 해당 은행 상대로 민사 소송을 준비 중이다.

지난해 '은행권 자율배상 제도'로 구제안 마련…"배상 신청 제약 많아"

은행권 자율배상 제도 제외 대상에 대한 자료/사진=유지희 기자
은행권 자율배상 제도 제외 대상에 대한 자료/사진=유지희 기자
금융당국은 지난해 1월부터 보이스피싱 사고에 대해 은행이 책임을 분담하는 제도인 '은행권 자율배상 제도'를 시행하고 있다.

그러나 일각에서는 많은 경우 배상 신청에 제약을 받는다는 지적이 나온다.

은행권 자율배상 제도는 전체 피해 금액 중 통신사기피해환급법에 따른 피해 환급금을 제외한 금액을 대상으로 한다. 은행의 사고 예방 노력과 소비자의 과실 정도를 종합적으로 고려해 배상 금액이 결정된다.

은행권 자율배상 제도에 따르면 가족사칭, 협박, 대출사기, 제3자의 지시에 의한 금융거래를 포함한 이용자 본인의 직접 지급지시의 경우 신청 대상에서 제외된다. 앞선 사례들의 경우 가입자가 스스로 정보를 제공하거나 본인 동의 하에 거래를 진행한 것으로 취급돼 구제가 어려운 상황이다..

해당 제도는 접근매체 위변조 사고나 제3자로 인한 비대면 피해에만 초점이 맞춰져 있다. 대면 거래로 진행된 B씨의 사례의 경우 자율배상 제도 신청 자격이 없다.

이뿐만 아니라 은행의 보이스피싱 의심 거래 감지 등에 따른 예방 안내를 할 때 피해자가 정상 거래를 주장한 경우에도 신청 대상에서 제외된다. 이미 '좀비폰'의 상태로 사생활이 피싱범들에게 노출돼 정상적인 판단이 어려운 고령자에게 은행 측이 피싱과 관련해 단 한 통의 경고 문자만이라도 보냈다면 배상 책임이 없다.

또 보이스피싱범이 금융권과 공공기관을 사칭한 경우에만 배상받을 수 있는데 지난해 한국인터넷진흥원(KISA)이 발표한 조사에 따르면 스팸 문자 유형 중 금융권 사칭은 전체의 10분의 1 수준에 불과했다.

은행, 피해자 '직접이체'로 거래 이뤄져"자금용도 재차 확인"

(위) 피해자 C씨에 대한 은행 의견/(아래) 피해자 B씨에 대한 은행 의견/사진=유지희 기자
(위) 피해자 C씨에 대한 은행 의견/(아래) 피해자 B씨에 대한 은행 의견/사진=유지희 기자
은행 측은 앞선 사례에 대해 대부분의 경우 '직접이체'를 통해 피해가 발생했다고 설명했다.

B씨의 경우 "직원이 피해자에게 자금 용도를 물어봤으며 원고가 '사용처가 있다'고 언급했고 통장과 인감을 지참은 물론 비밀번호도 일치했다"며 "아울러 당행 직원이 예금 인출 당시 현금인출 요청이 아니었고, 사용처가 분명한 것으로 판단했으며 고객의 지급의사가 확인 될 시 본인확인 생략 후 출금이 가능하기 때문에 업무상 주의의무 위반이 없다"고 해명했다.

C씨에 관해선 "사건 당시 C씨 계좌가 수상하다고 판단해 보이스피싱 피해가 의심된다며 계좌 이체를 만류했으나 민원인은 조카에게 계좌이체 하는 것이라 언급했고 이체에 관여하지 말라고 했다"며 "특히 예금 중도해지에 대한 통신사기피해환급법에서 정한 의무를 이행했는지 검토한 결과 이미 등록된 C씨의 휴대전화 SMS 인증번호 확인을 거쳐 법령상 본인확인 절차를 준수했다"고 덧붙였다.

은행에 따르면 연결계좌에서 인출하는 근거 계좌(입출금계좌)로 대체 입금하거나 본인 명의 타 계좌로 이체하는 경우 별도 실명 확인은 생략한다.

은행 관계자는 "가입자 본인이 직접 출금을 하거나 전화와 문자를 통한 출금 사유 문의에 본인이 확실하게 설명했다면 은행이 그 책임을 모두 다 질 수는 없는 일"이라며 "비대면 금융 사고의 경우 책임분담 신청을 운영하고 있고 은행에 과실이 있다고 판단되면 정도에 따라 일부 보상을 하는 제도를 운영하며 피싱사기 의심정황 파악과 고객 피해 사전 예방을 위해 최선을 다하고 있다"고 말했다.

피해자 "고령 노인에게 형식적 확인만 …문진도 안해" 주장

은행의 해명에도 피해자 가족들은 피해자들이 고령인데도 은행 측의 본인확인 조치는 형식적이었다고 주장하고 있다.

B씨 측에 따르면 당시 은행 직원은 B씨가 통장·거래인감을 지참하고 있고 비밀번호가 일치하자 신분 확인은 물론 금융사기 예방진단표에 따른 문진을 실시하지 않았다.

현행법상 대면편취형도 보이스피싱 유형으로 통신사기피해환급법에 규정되어 있다. 또한 금융감독원이 2022년 발표에 따르면 은행 본점에서는 고액 현금(500만원 이상)을 찾을 경우 문진표 등을 작성해야 하지만 지켜지지 않은 것이다.

B씨 변호인 측은 은행 측에 금융소비자법과 예금거래기본약관 위반 등을 들어 보이스피싱 피해액의 절반인 7억원에 대한 손해배상을 청구했다.

임동한 법무법인 동인 변호사는 "예금거래기본약관 제16조 제3항은 ‘은행의 고의 또는 과실로 인한 귀책사유가 있는 경우 은행을 그 책임의 일부 또는 전부를 부담한다’고 정하고 있다"며 " 위 조치에는 금융위원회 등 감독기관이 명한 것도 포함되는데 이러한 조치를 취하지 않은 경우에는 업무상 주의의무 위반이 있다"고 주장했다.
피해자 B씨가 K은행 지점에서 14억을 수표로 바꾸고 있는 모습 (CCTV)/사진=유지희 기자
피해자 B씨가 K은행 지점에서 14억을 수표로 바꾸고 있는 모습 (CCTV)/사진=유지희 기자
C씨 측은 10분 내 약 16억원 상당의 예금 상품 5개를 해지하는 동안 은행에서 적절한 본인확인 조처를 하지 않았고 이는 실효성 없는 문자로만 진행됐다고 주장했다. 해당 은행은 C씨 명의 계좌이체 등을 일시 정지하는 조치를 두 차례 취했으나 간단한 본인확인 절차만을 거처 바로 임시 조치를 해제했다.

C씨의 자녀 홍 모씨는 "해당 은행은 어머니가 송금한 계좌는 다른 피해자의 신고로 지급정지 됐으며 같은 은행이었음에도 불구하고 이 상황을 몰랐다고 주장했고 금감원을 통해 민원을 제기하니 은행은 수사기관이 아니라 파악하기 어렵다고 하며 책임을 피했다"고 말했다.

C씨 변호인 측은 통신사기피해환급법 등을 들어 피싱 사기금 전체인 15억6700만원에 대해 손해배상을 청구했다. C씨 변호인은 "위 법령에 따라 은행이 이용자를 전자금융 사기로부터 보호할 수 있는 최선의 조치를 취해야만 함에도 '비대면 실명확인방안'의 필수적인 검증 방법 중 2가지 이상을 거치지 않았고 이는 본인확인 조치를 다할 의무를 제대로 이행했다고 보기 어렵다"고 설명했다.

이기동 한국금융범죄예방연구센터 소장은 "보이스피싱이 대면편취형으로 많이 발생하고 있는데 이러한 경우에도 배상이 제한되며, 또한 금융권 혹은 공공기관 사칭의 경우에만 받을 수 있기 때문에 리딩방 투자 사기, 중고나라 사기, 로맨스 스캠 같은 경우 사각지대가 존재한다"며 "정부도 보이스 피싱에 활용되는 대포폰 근절에 나서야 하며 비밀번호 일회용 생성기인 OTP 제도를 활성화할 필요가 있다"고 말했다.

유지희 한경닷컴 기자 keephee@hankyung.com