“윤석열 대통령 계좌도 신분증 사본 하나면 털린다”

정호철 경제정의실천시민연합 간사가 지난 9월 20일 서울 종로구 경실련 사무실에서 경향신문과 인터뷰를 하고 있다./강윤중 기자

보고도 믿기 힘든 일들이 있다. 실제로 문제가 생기기 전까진 자신과 관계없는 일처럼 보인다. 각종 피싱범죄(전화·문자 등으로 개인정보나 금융정보를 얻는 사기행위) 피해가 그렇다. 어눌하게 한국말을 구사하는 보이스피싱 범인의 목소리, 10대 남학생에게 전송된 ‘엄마 나 폰이 고장 나서 임시번호로 연락해’라는 스미싱 문자는 인터넷에 떠도는 웃음거리가 됐다. “진짜 이런 사기를 당하는 사람들이 있다고? 대체 어떤 사람들이 속는 거야”라는 말도 따라붙었다.

그렇다면 실제 피해현황도 웃어넘길 수 있는 정도일까. 금융감독원이 최근 강병원 국회의원실에 제출한 ‘전기통신금융사기 유형별 피해금액 및 건수’ 통계가 있다. 해당 자료에 따르면 2022년 상반기 6개월 동안, 1만5253건의 피해가 발생했다. 이 수치는 피해자가 금융회사에 피해구제를 신청한 계좌 수를 기준으로 작성했다. 즉 피해구제 신청을 하지 않은 경우까지 합치면 피해발생 건수는 더욱 늘어난다는 의미다. 6개월 동안 발생한 피해액만 655억원이다. 최근 3년을 기준으로 살펴봐도 피해 건수는 증가하는 추세다. 2020년 2만5859건, 2021년 2만9909건이었다. 산술적으로 계산하면 2022년은 3만건을 넘길 가능성이 크다. 단일 사건 중 가장 피해액이 큰 경우는 2020년 12월 발생한 보이스피싱 사기로 피해금액이 약 10억3000만원이었다. 누군가에겐 평생 모은 재산이었다.

‘그런 피해는 전부 노인들이나 당하는 것 아니냐’고 생각할 수도 있다. 경찰청이 국회 신정훈 의원실에 공개한 자료가 있다. 비록 보이스피싱 피해자에 한정됐지만 유의미한 수치가 확인된다. 최근 5년간 2030세대 피해자가 6070세대 피해자보다 많다(20대 이하 2만7769명, 30대 2만6155명, 60대 2만869명, 70대 이상 4620명). 진짜 이런 사기를 당하는 사람들이 있는지, 누구인지를 통계가 말해주고 있다.

피싱 사기는 어제오늘 갑자기 생겨나지 않았다. 정부와 금융기관 역시 문제를 알고 있다. 그럼에도 피해자는 줄지 않는다. “각자 피싱에 속지 않게 조심해야 한다”가 이들이 내놓는 사실상 유일한 대안이다. 이 경고 한 번에 문제가 생기면 전부 피해자 책임이 된다. 정부와 금융기관은 정말 할 수 있는 모든 조치를 다한 것일까.

정호철 경제정의실천시민연합 간사는 지난해부터 피싱 범죄에 대한 금융회사, 당국의 책임을 따지고 있다. 지난 8월에는 ‘금융실명거래 및 비밀보장에 관한 법률’ 개정을 위한 입법 청원서까지 냈다. 실명거래 원칙을 강화하자는 취지다. 정 간사가 말하는 피싱범죄의 대안은 단순하다. “은행은 법이 정한 대로 금융거래를 하는 고객의 신원확인을 똑바로 하고, 당국은 은행이 해당 의무를 준수하는지 제대로 감시하라”는 것이다. 범죄를 막기 위한 구체적 방안도 너무나 단순해 귀를 의심하게 한다. 은행이 신분증(주민등록증·운전면허증 등) 검사만 똑바로 해도 피싱범죄가 줄어든다고 했다. 지난 9월 13일, 20일 2차례 서울시 종로구에 있는 경실련 사무실에서 정 간사를 만났다. 정 간사가 설명한 내용 중에는 믿기지 않을 정도로 허술한 금융회사의 보안 규정 및 실태가 많았다. 범행에 악용될 수 있는 부분은 최대한 걷어내고 정 간사의 지적을 옮겨싣는다.

-신분증 확인이 범죄의 대책이라는 점이 잘 이해가 되지 않는다. 금융기관들이 이조차도 제대로 하지 않고 있다는 의미인가.

“현행 비대면 실명인증 시스템은 누구든 신분증 사본 하나만으로 타인 계좌에 접근할 수 있게 설계돼 있다. 우선 신분증 사본을 이용해 모바일뱅킹 등 비대면 금융거래에 필요한 대포폰을 알뜰폰이나 이통3사를 통해 비대면으로 개통할 수 있다. 이렇게 개통한 휴대전화에 모바일뱅킹 앱을 다운받고 신분증 사본을 인증하면 모바일인증서나 전자식 가상카드번호, 전자서명인증서, 모바일 OTP(일회용 비밀번호) 등의 발급이 가능하고, 피해자가 기존에 사용하던 접근 매체의 비밀번호를 재설정하는 것까지도 가능하다. 이렇게 획득한 모바일인증서와 비밀번호, 각종 접근 매체로 무단인출까지 할 수 있다. 신분증 사본만 제출해도 계좌해지를 통해 손쉽게 현금을 인출할 수 있는 구조다.”

-듣고도 믿기지 않는데.

“더 극단적인 경우도 있다. 시중은행 외 캐피털사 등의 신규 신용대출 거래는 신분증 사본과 대포폰만으로도 본인확인이 가능하다. 비대면 실명확인 절차가 더 간편하고 쉽다는 의미다. 꼭 대포폰이 필요한 것도 아니다. 시중은행에 본인확인 업무 처리를 위탁하는 금융사들(5대 시중은행·카카오·토스를 제외한 나머지 금융권)의 비대면 신규거래는 고객 신원정보를 금융결제원을 비롯한 타 금융기관과의 공동인증 방식으로 교차검증하는 절차를 생략한다. 이 경우 신원정보를 허위로 식별처리할 수도 있기 때문에 휴대전화 명의자와 비대면 신규거래자의 실제 명의가 꼭 일치하지 않아도 제3자 명의의 휴대전화를 동원해 본인인증이 가능하다.”

-윤석열 대통령, 이복현 금감원장도 주민등록증이 유출되면 예금인출 피해를 당할 수 있다는 말인가. 실험까지 해본 것인가.

“그렇다. 누구든지 신분증 사본 하나가 유출되면 무단인출 사고를 당할 수 있다. 이미 금융결제원의 공동인증 방식으로 타인명의, 사자명의, 가명 등 엉터리 금융인증서비스를 통해 가입 테스트를 해보았다. 물론 가명으로는 신분증이 존재하지 않기 때문에 이런 엉터리 인증서 발급은 불가능하다. 하지만 사자명의, 타인명의로 발급된 신분증 사본으로는 인증서 발급이 가능하다. 이 방식 그대로 윤 대통령과 이 금감원장의 신분증 사본을 금융사에 제출하면 인증서 위·변조 발급이 가능하다.”

-주민등록증은 일상생활에서도 요구하는 곳이 많은 정보 아닌가. 신용카드를 수령하려 해도 주민등록증부터 건네는데.

“현행 시스템에서는 신분증 하나가 모든 금융거래의 만능열쇠인 상황이다. 신분증 사본이 유출 안 된 것을 정말 행운으로 생각해야 하는 시대다. 신분증을 촬영해 저장해두거나, 촬영한 사본을 가족뿐만 아니라 타인에게 보내줘서는 절대로 안 된다. 신종피싱 수법의 시작이 바로 여기다. 신분증 사본인증의 허점을 노리고 진행된다.”

-이런 방식으로 피해를 입는 경우가 얼마나 자주 발생한다고 보나.

“아직도 정확한 공식통계가 없다. 신분증 사본인증 수법으로 발생한 사건은 지난해 3만5000~5만건으로 추정한다. 피해자 중 한분이 네이버 개인 블로그에 신분증 관련 피해사건 하나를 올렸는데 두세 달 만에 피해상담 댓글이 300여개가 넘게 달렸다. 이를 통계적 방식으로 분석하면 모두 28만건, 1년 기준으로는 7만~10만건이 발생한다는 계산이 나온다. 보이스피싱 등을 제외한 신분증 사본인증 사고를 50%로 가정하면 최소 3만5000~5만건이 된다. 물론 금감원이나 경찰청에서 보이스피싱을 포함한 전기통신금융사기로 인정한 사건들은 지난 1년간 3만건 내외다. 2021년쯤부터 신분증 사본인증 수법이 여기저기로 퍼지면서 더 증가했으리라고 본다. 현재 10만건을 넘기지 않았다면 다행이다.”

-이렇게 위험한데 왜 아직도 보안강화를 하지 않나.

“신분증 사본만으로 인증서가 발급됨에도 금융결제원은 실명확인조차 하지 않는다. 시중은행을 비롯한 그 밖의 금융회사들 역시 신분증의 진위확인을 하지 않기 때문에 손쉽게 뚫리고 만다. 실제로 판사가 이런 피해를 직접 당하고 나서야 의정부지방법원, 서울중앙지방법원 등의 1심 판례가 바뀌기 시작했다. 신분증 사본 하나 유출됐을 뿐인데, 타인 명의로 전자금융거래가 가능하다는 게 문제의 본질이다. 전자금융거래 정보처리시스템이 전기통신금융사기를 허용하고 있는 셈이다. 아무리 공개적으로 말을 해도 금융권 누구도 개선하지도, 심지어 이에 반박하지도 않는다. 그사이 피해자들만 방치되고 있다.”

-결국 비대면 본인확인 방식에 구멍이 뚫려 있다는 얘기인가.

“가장 큰 문제는 국가기관과의 교차검증을 생략하고 있다는 점이다. 비대면 금융거래를 활성화하겠다며, 본인확인기관으로 지정된 민간 금융기관들의 사설인증과 공동인증 방식, 추가 인증수단을 채택하고 있다. 예를 들어 5대 시중은행과 카카오, 토스가 자체적으로 발급하는 모바일·간편인증서, 금융결제원이 제공하는 금융인증서(공동인증서), 각종 접근 매체로 본인인증을 해줘버린다. 본인확인 업무나 전자서명인증업무를 처리하기 어려운 영세 금융회사들은 금융결제원이나 시중은행에 업무를 위탁해 처리한다. 이 방식이 바로 타행 계좌인증이나 타행 접근 매체를 등록해 금융거래하는 방식이다. 이는 국가 행정기관에서 직접 신분증 진위확인을 통해 원본인증을 하던 구 공인인증 방식과는 완전히 다르다. 가장 큰 차이는 민간 서명인증사업자는 신분증상의 ‘이름’과 ‘주민등록번호’ 두 가지 개인정보만 고유식별정보로 처리해 신원인증을 한다는 점이다. 반면 국가 행정기관은 신원을 확인할 때 신분증의 사진, 주소, 발급일자, 지문뿐만 아니라 위·변조 방지장치(재질·돋음문자·색 변환 문양·홀로그램·다중 레이저 이미지)까지도 검증한다. 구 공인인증서 폐지 이후 오히려 보안이 취약해졌다는 피해 호소가 늘고 있는 건 어찌 보면 당연한 일이다.”

-시중 5대 은행 중에 신분증의 원본 대조가 가능한 진위확인 시스템을 갖춘 곳이 없나.

“없다. 기술을 도입하는 데 돈을 쓰느니 피해구제를 요구하는 피해자와 소송을 붙는 편이 더 싸게 먹힌다고 생각하는 것 같다.”

-어떻게 해야 하나. 금융실명법 개정을 요구했다고 하는데 법을 바꾸면 되는 건가.

“적어도 시중은행이 신분증 원본 대조가 가능한 시스템을 도입하도록 의무화해야 한다. 물론 법으로 강제하는 것만이 최선은 아니라고 생각한다. 하지만 이렇게라도 하지 않으면 금융업계는 바뀌질 않는다. 강제하지 않으면 방법이 없다는 의미다. 적어도 5대 시중은행만이라도 이를 도입하도록 강제하면 나머지 기관들도 따라올 것이다. 신분증만 제대로 확인해도 그 피해를 절반 이상 막을 수 있다고 생각한다.”

오픈뱅킹 윤석열 이복현 금감원 신분증 원본