#1 올해 3월 인터넷을 하려고 컴퓨터를 켠 배우 이해인씨는 ‘금융감독원 개인정보유출 2차 피해 예방등록’이라는 창이 뜨자 홈페이지에 접속했다. 해당 사이트에서는 보안을 강화해야 한다며 개인정보를 입력하도록 했고, 금감원이라는 말에 이씨는 의심 없이 지시에 따랐다. 보안카드 번호까지 입력하자 갑자기 휴대전화 문자메시지가 도착했다. 1500만원, 1000만원, 2500만원 등 총 5000만원이 출금됐다는 메시지였다. 당황한 이씨는 뭔가 잘못됐음을 알아차렸지만 힘들게 모은 아파트 월세 계약금이 한 순간에 날아가 버린 뒤였다.

#2 얼마 전 보이스피싱 사기단의 전화를 받고 입금 직전까지 갔다는 김명순씨는 아직도 그날만 생각하면 가슴이 철렁 내려앉는다. 금감원 직원이라며 걸려온 전화를 받았더니 상대방은 ‘계좌가 해킹당했으니 재설정을 해야 한다’고 말했다. 새 계좌번호를 불러주면서 전액을 이체하라기에 약간 의심했지만 희한하게도 그는 계좌번호와 계좌 잔액을 정확히 알고 있었다. 믿지 않을 수가 없었다. 다급하게 은행 ATM 기기에 가서 이체를 하려던 김씨는 예금주를 보곤 정신이 번쩍 들었다. 아무리 그래도 금감원인데 예금주가 개인 이름일 순 없다는 생각이 들어서였다. 송금을 중단하고 통화했던 번호로 다시 전화를 걸었더니 불통이었다. 눈 깜짝할 새에 1200만원을 날릴 뻔했다.

신종 금융범죄가 속출하면서, 속수무책으로 피해를 당하는 이들이 늘고 있다. 경찰청에 따르면 올해 1~3월 사이 전화금융사기(보이스피싱) 발생건수는 2451건으로 지난해 같은 기간 1316건에 비해 86%나 증가했다. 검거인원도 지난해 958명에서2239명으로 급증했다. 2006년 우리은행 고객이 국세청을 사칭한 전화를 받고 800만원을 송금한 사건이 발생한 후부터 공식집계된 전화금융사기는 현재까지 총 5만2451건이 발생했다. 피해액은 5731억원에 달한다. 2008년과 2011년 각각 8000건 넘게 발생해 절정에 달했다가 2012년 5709건, 2013년 4765건 등으로 감소하는 듯했지만 지난해 7635건으로 다시 늘었다. 올해는 증가세가 더욱 가파르다. 역대 최대치였던 2008년(8454건)보다 훨씬 빠른 추세다.

남의 일로 간단히 넘기기엔 피해 대상이 너무 전방위적이다. 나이·학력 등과 무관하게 ‘넋 놓고 당한다’는 표현이 정확할 정도다. ‘당신도 언젠가 피해자가 될 수 있다’는 의미다. 보이스피싱은 주로 노년층을 노리는 것으로 알려져 있지만 피해자를 분석해보면 꼭 그렇지도 않다. 지난해 보이스피싱 피해 7635건을 세대별로 살펴보면 의외로 30대(19.5%) 비중이 가장 높았고, 그 다음은 20대(18.8%)였다. 갈수록 범행 기법이 교묘해지고, 패턴 역시 다양해지는 추세여서 ‘수사기관이 하나를 막으면 두 개의 새로운 방법이 탄생한다’는 자조적인 목소리가 나올 정도다.

경찰이 분류하는 신종 금융범죄는 크게 피싱(Phishing)·스미싱(Smishing)·파밍(Pharming)·메모리해킹 4가지로 나뉜다. 피싱은 전화로 유인해 돈을 갈취하거나 이메일로 가짜 인터넷 사이트에 접속하도록 한 후 보안카드 번호를 입력하게 한 뒤 금융정보와 예금 잔액 등을 인출해가는 수법이다. 이 중 가장 흔하고 익숙한 게 보이스피싱이다. 너무도 뻔한 거짓말부터 알고도 당할 수 밖에 없는 기발한 사기까지 수법이 나날이 진화하고 있다.

남편과 사별하고 혼자 사는 박순영(77) 할머니에게 어느 날 한 젊은이가 찾아 왔다. 금감원 신분증을 내민 그는 김 할머니에게 “계좌정보가 노출됐다”며 “안전한 곳으로 돈을 옮겨야 한다”고 말했다. 전 재산 2300만원을 은행 예금에 넣어둔 김 할머니는 덜컥 겁이 났고, 돈을 인출해 두라는 젊은이의 말을 따랐다. 다음날 오전 젊은이는 다시 찾아와 새 현금카드를 건네주면서 “이 통장으로 돈을 옮겨두겠다”며 “오후쯤 은행에 가서 확인해 보시라”고 말했다. 인출한 돈은 젊은이가 들고 떠났다. 오후에 은행을 방문한 김 할머니는 “사용할 수 없는 카드”라는 얘기를 듣고 망연자실했지만 때는 이미 늦었다.

자녀의 납치나 사고를 빙자해 ‘급히 돈을 보내라’고 요구하는 경우는 고전에 속한다. ‘대학에 추가 합격했으니 등록금을 입금하라는 전화를 받고, 사기범이 불러주는 계좌에 500만원을 보낸 19살 여학생도 있다. 최근엔 금융기관이나 공공기관을 사칭해 돈을 뜯어내는 사례가 부쩍 늘었다. 얼마 전 안심전환대출 대란 때는 기존 주택담보대출을 안심대출로 전환하려면 신용등급을 올려야 한다면서 거액을 빼간 사기단도 있었다.

너도 나도 당하니 유명인도 예외가 아니다. 얼마 전 영화배우 탕웨이가 포털사이트 검색어 순위 1위에 장시간 머문 일이 있었다. 새로운 영화가 개봉한 것도, 남편인 김태용 감독과의 사이에 문제가 생긴 것도 아니었다. 한 TV프로그램을 통해 지난해 그가 보이스피싱에 당한 사실이 재차 언급됐기 때문이다. 당시 영화 촬영 중이던 탕웨이는 중국 공안을 사칭한 사기 전화를 받고 21만 위안(약 3800만원)을 송금한 것으로 알려졌다. 야구해설가 하일성씨, 배우 오현경씨 등도 비슷한 피해를 입었고, 3월엔 김무성 새누리당 대표의 목소리를 흉내 낸 보이스피싱 사기단이 활개를 치기도 했다. 경찰 관계자는 “택배·건강검진·연말정산 등 시선을 끌만한 내용을 문자로 보내 사용자가 해당 링크를 클릭하면 악성코드를 설치한 뒤 소액결제에 필요한 인증번호나 개인정보를 빼가는 스미싱도 더 지능적으로 바뀌고 있다”고 지적했다.

파밍이나 메모리해킹과 같이 컴퓨터를 이용한 금융범죄 역시 갈수록 치밀해지고 있다. 앞서 언급한 배우 이해인씨 사례가 대표적인 파밍이다. 파밍은 이용자의 PC를 악성코드에 감염시켜 호스트 파일을 변조하는 방법 등으로 피싱사이트를 진짜 사이트로 오인하게 만들어 접속하게 한 뒤 금융거래 정보를 빼가는 수법이다.

지난해 한 인터넷쇼핑몰에서 옷을 구매한 강모씨는 결제수단 중 실시간 계좌이체를 선택했다. 클릭했더니 결제창이 열리면서 그가 주로 거래하는 은행 사이트가 함께 열렸다. 강씨는 보안카드 번호 전체와 계좌 비밀번호, 인터넷 뱅킹 아이디 등을 새로 작성하라는 지시에 따랐지만 알고 보니 이 사이트는 피싱사이트였다. 강씨는 “계속 정상적인 결제가 안됐고, 그때서야 범죄를 의심했지만 사기범이 알아낸 금융거래 정보로 공인인증서를 재발급 받고 계좌 잔액(80만원)을 모두 인출해 간 뒤였다” 고 말했다. 강씨의 경우는 비교적 소액이었지만 이해인씨처럼 은행을 가장한 피싱사이트에 속아 수천 만원을 날린 피해자도 수두룩하다.

파밍에서 더 진화한 게 메모리해킹이다. 정상적인 계좌이체 과정에서 금융 거래 내용을 실시간으로 위·변조하는 기법이다. 이 역시 출발은 악성코드다. 보안카드 번호 전체를 유출한 적이 없고, 정상적으로 인터넷 뱅킹을 마쳤는데도 돈이 다른 데로 샜다면 메모리해킹일 가능성이 크다. 흔히 인터넷 뱅킹을 할 때 설치하는 보안프로그램은 비밀번호 등 중요 정보를 암호화하지만 계좌번호, 이체 금액 등은 암호화하지 않는다. 사기범이 비밀번호는 알 수 없으니 악성코드를 심어두고 이용자가 인터넷뱅킹을 할 때까지 기다렸다가 실시간으로 이체 대상이나 금액 등을 바꾸는 것이다.

심상찮은 신종 금융범죄 증가세에 금감원은 4월 10일 금융사기 척결 특별대책을 내놨다. 우선 금감원은 장기(1년 이상) 미사용 계좌의 비대면거래(은행 창구를 방문하지 않고 인터넷이나 전화 등을 이용한 거래) 제한을 강화하기로 했다. 기존에 정상적으로 발급된 예금계좌가 대포통장(제3자 명의를 도용해 만든 통장으로 사용자와 명의자가 다르기 때문에 금융실명거래법상 차명계좌)으로 불법 유통·활용되는 사례가 증가하고 있다는 점을 반영한 조치다. 조성목 금융감독원 서민금융지원국장은 “현재 4대 은행(국민·신한·우리·하나은행)이 1년 이상 장기 미사용 계좌의 1일 인출 또는 이체 한도를 70만원으로 제한하고 있는데 이를 전 금융권으로 확대할 계획”이라고 밝혔다. 잔고가 일정금액 이하인 미사용계좌는 아예 비대면 거래를 금지하는 방안도 추진한다. 대포통장 관련자에 대한 처벌도 강화하기로 했다. 연 2회 이상 대포통장 명의자로 은행연합회에 등록되거나 대포통장임을 알고도 중개·알선하는 등 대포통장 발급·유통에 협조한 경우 금융질서 문란자로 등록할 방침이다. 금융질서 문란자가 되면 7년간 금융거래가 제한되고, 5년간 기록을 보존하게 돼 있다. 최장 12년간 정상적인 금융거래가 어려워진다는 의미다.

금융범죄 피해 자금의 지급 정지 제도도 손본다. 이제까지 전화를 이용했던 금융회사 간 지급 정지 요청을 전산 통보 방식으로 바꾸고, 현재 300만원 이상을 이체할 때 10분인 지연인출시간을 30분 정도로 늘릴 계획이다. 올해 10월 시작하려던 ‘지연이체 신청제도’는 시행을 앞당기기로 했다. 지연이체 신청제도는 고객이 원할 경우 이체의 효력을 일정시간 지연할 수 있는 제도다. ‘신(新)안심통장’에 가입한 고객이 이체 지연을 신청한 경우 금융범죄 피해가 발생(고객에게 고의성이 없는 경우)해도 금융회사가 일정 한도(1000만~3000만원) 내에서 전액 보상해주는 방식이다.

거창하게 ‘척결’이란 이름을 붙이긴 했는데 금융범죄를 근절할 근본적인 대책은 사실상 안 보인다. 범죄를 막을 대책이라기 보단 피해를 최소화하는 보완책에 가깝다. ‘그동안 제기된 민원을 수집한 수준’이란 비판이 나오는 이유다. 자신 있게 내세운 지연이체 신청제도도 속을 들여다보면 의문점이 많다. 금융범죄 피해금 환급비율은 2013년 19.5%, 2014년 24.7%로 점차 개선되는 추세지만 여전히 전체의 3분의 1에도 못 미친다. 피해금의 3분의 2는 피해자가 고스란히 떠안아야 한다는 얘기다.

이런 상황에서 명확한 보상 규정도 없이 ‘신(新)안심통장’으로 금융회사에 책임을 넘긴 모양새다. 금융회사도 자신들의 책임이 커지는 것이니 달가울 리 없다. 앞장서 홍보하길 꺼릴 가능성이 크다는 뜻이다. 금융소비자연맹 관계자는 “안심통장이 아니면 보상을 못 받는다는 것인지, 고객의 고의성을 어떻게 따질것인지 애매하다”며 “소비자의 모든 금융자산을 안전하게 지켜야 할 금융회사가 특정 통장만 안심할 수 있다고 말하는 것도 우습지 않느냐”고 반문했다.

어차피 최선의 예방은 금융범죄로부터 스스로를 지키는 것이다. 개인이 할 수 있는 안전 조치가 제법 많다. 가장 중요한 건인식과 자세다. ‘대체 왜 속는지 이해할 수 없다’고 방심하면 도리어 금융범죄에 당할 가능성이 매우 크다. 피해자 중에 금융범죄인 줄 알고 속은 사람은 아무도 없다. 전문가들은 “‘나는 안 속아’라는 과한 자신감이 최대의 적”이라고 입을 모은다. 업무시간 이후에 금융기관이라며 걸려온 전화는 일단 의심부터 해야 한다. 그리고 어떠한 경우에도 금융기관은 보안카드 번호 전체를 요구하지 않는다. 특히 유선상으로 보안카드 번호를 불러달라는 경우는 아예 없다.

금융거래 습관도 바꿔야 한다. 보안카드를 스마트폰으로 찍어 사진 파일로 보관하는 것은 매우 위험하다. 보안카드 대신 OTP(일회용 비밀번호 생성기)로 바꾸는 것도 현명한 방법이다. 최근엔 휴대하기 편하게 카드 형태로 만든 OTP도 등장했다. 또한 출처가 불분명한 이메일은 아예 열지 말고 삭제해야 한다. 문자메시지의 사이트 링크도 마찬가지다. 컴퓨터나 스마트폰은 실시간 백신프로그램을 활용하고, 공인인증서는 하드 디스크보단 이동식 디스크에 보관하는 게 좋다.

지난해 9월 도입한 ‘신입금계좌지정제’도 활용할 만하다. 보통은행과 거래할 때 1일 이체한도를 500만원에서 많게는 수천만원까지 설정해두는 경우가 많은데 신입금계좌지정제는 사전에 등록한 입금계좌가 아니면 1일 최대 100만원 이하로만 송금할 수 있도록 한 제도다. 금융범죄에 속더라도 피해규모를 최소화 하자는 취지다. 자주 돈을 주고 받은 가족이나 지인의 계좌는 미리 등록해두면 되고 이 계좌로는 현재와 같이 이체한도 내에서 자유롭게 송금할 수 있다. 갑자기 미지정(사전에 등록하지 않은) 계좌로 돈을 보내야 할 일이 생겼을 땐 지정계좌로 한번 이체를 했다가 미지정 계좌로 송금하면 된다. 이체 과정이 한번 더 늘어난 것이니 약간의 불편함이 있겠지만 혹시 모를 사태에 대비한 안전장치라 생각하고 가입하는 것이 좋다. 새로 통장을 개설할 필요도 없고, 은행을 방문할 일이 생겼을 때 신청만 하면 된다. 좋은 취지에도 홍보 부족으로 지난해 이용자가 3000명에도 못 미쳤다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지