정보기술이 발달하고 핀테크 기업들이 기성 금융산업에 진출함에 따라 금융사기의 유형도 다양화되고 있다.
특히 카드 등의 지급수단 사기 유형은 핀테크 기업들이 지급결제 분야 진출이 확대됨에 따라 전세계적으로 리스크가 커지고 있다.
실물 카드를 사용하던 과거에는 복제 등의 금융사기가 빈번했지만, 비대면 거래가 늘어나는 현실은 또 다른 범죄 양상을 만들어내고 있다.
한국은행(총재 이주열)이 발표한 '주요국의 지급수단 사기 동향 및 시사점' 자료에 의하면, 2018년 한 해 전 세계 카드 사기 금액은 278억5000만달러에 달한다.
특히 다크웹을 통해 얻을 수 있는 개인정보를 활용한 범죄가 늘고 있다.
앞서 언급한 비대면 카드거래의 경우 아직까지 전체 거래금액의 15% 수준이다.
하지만 사기손실의 비중은 54%에 달한다.
향후 비대면 거래의 확대에 따라 사례는 더욱 다양화되고 증가할 것으로 전망된다.
다소 구식(?) 사기 수법인 카드위조는 감소 추세지만, EMV칩이 도입되지 않은 지역에서는 여전히 카드 사기의 상당 부분을 차지한다.
EMV칩은 유로페이, 마스터카드, 비자 등 글로벌 신용카드 3사가 카드결제의 안전성 및 호환성 확보를 위해 공동으로 제정한 IC카드 및 단말기의 국제표준규격을 말한다.
그밖에도 분실·도난 카드를 사용하는 유형, 발급된 카드를 주인이 수령하기 전에 우편함 등에서 탈취해 사용하는 등의 유형이 기존까지 횡행했던 카드 범죄다.
전자상거래 등에서 실물카드를 쓰지 않는 비대면 채널의 확대로 사기 유형은 다양화됐다.
계좌 탈취나 피싱(phishing), 파밍(pharming) 등은 이제 잘 알려진 유형이 됐고, 우호사기나 페이지 재킹, 가맹점 신원 사기, 삼각 사기 등도 늘어나고 있다.
비대면 카드 사기 유형
계좌 탈취 : 범죄자가 카드 소유자의 계좌에 접근해 개인정보 등을 변경한 다음 권한 없는 거래에 사용
피싱 : 신뢰할 수 있는 사람이나 기업, 공공기관 등이 보낸 메시지인 것처럼 가장해 사용자가 개인정보를 보내도록 유도하는 것
우호 사기(Friendly fraud) : 범죄자가 본인의 신용카드로 온라인에서 구매한 상품을 수령 후 카드사에 지급 거절을 요청해 기지급한 금액을 환불받는 방식. 최근 중국인 여행객들이 여행사 상품을 구매하면서 사용해 세간의 화제가 됐음
파밍 : 피싱과 조작(farming)의 합성어로, 악성앱 등을 통해 PC나 스마트폰을 조작해 가짜 웹사이트 등으로 유도 후 개인정보를 탈취
페이지 재킹 : 가짜 웹사이트에 합법적인 웹사이트 화면을 복제해, 이용자들이 결제하도록 유도
가맹점 신원 사기 : 합법적으로 보이는 사업자 명의로 은행계좌를 개설하고 위조카드 등을 통해 결제 자금을 수취 후, 카드 소유자가 사기를 인지하기 전에 가맹점을 정리
삼각 사기 : 저렴하게 상품이나 서비스를 제공한다는 조건으로 고객을 모집한 후, 이들이 입력한 개인정보를 도용해 다른 사기에 활용
이와 같은 현실은 기술 발전의 미래가 장미빛만은 아니라는 씁쓸함을 안겨준다.
특히 기술 발달이 기존 은행 인프라 접근이 어려운 고객들에게 금융편의성을 제고할 것이라는 긍정적 측면과 동시에, 실물카드, ATM, POS 등의 상대적 구식 영역의 사기를 넘어서 다양한 채널에서 범죄의 타깃이 된다는 부정적 측면을 그림자처럼 보여준다.
최근 주요 선진국을 중심으로 빠르게 도입되고 있는 신속자금이체시스템의 경우, 입금이나 결제된 자금의 즉시 인출이 가능한 특징 때문에 기존의 지급결제방식에 비해 사기 등 범죄의 대상이 되기 쉽다.
영국의 통계를 살펴봐도, 지난 2008년 신속자금이체시스템(FPS)이 도입된 이후, 1년 사이 지급수단 사기는 132% 증가했고, 사기 범죄 93%가 신속자금이체를 통해 발생했다.
금융기관은 물론, 온라인 거래, 그밖에 다양한 분야의 기업들이 수시로(?) 유출하고 있는 대규모 고객 데이터는 범죄행위에 사용될 수 있는 좋은 소스다.
챗봇이나 IoT, 오픈뱅킹 등의 새로운 시스템 도입 초기에 이처럼 개인정보 유출이나 결제방식의 신속화로 인해 지금까지 보지 못한 유형의 범죄가 기승을 부릴 우려도 크다.
해외 선진국들의 경우 중앙은행이나 지급결제시스템 운영기관 등을 중심으로 이와 같은 금융사기에 대한 연구 및 통계 자료를 정기적으로 발표하고 있다.
미국은 연방준비은행이 3년 주기로, 프랑스는 프랑스중앙은행이 매년, EU는 ECB가 비정기적으로 통계 보고서를 낸다.
영국의 경우 금융산업사용자협회격인 UK Finance가, 호주는 소액결제시스템 운영기관인 APN이 연 2회 발표한다.
창이 날카로우면 방패가 두터워지듯, 범죄자들의 사기 기술이 발달할수록, 이를 규제하고 방지하는 기술 또한 발달한다.
하지만 여기서 중요한 것은 이를 위한 컨트롤타워다.
앞서 살펴본 선진국들이 중앙은행을 비롯한 책임과 권한을 갖는 기관을 설정하는 이유다.
무엇보다 다양한 사례와 유형에 대한 수집과 연구가 첫 번째이고, 여기에 역량을 투입해 실질적인 보안 수단을 마련해내는 추진력이 뒷받침돼야 한다.
아울러 금융 소비자들을 대상으로 지속적인 홍보와 교육 역시 피해를 막는 가장 우선적인 방법이다.
국내의 경우 금융감독원이 일부 사기 유형이나 관련 사고 통계를 공표하고 있다.
한국금융투자자보호재단도 자체 서베이를 통해 피해 유형이나 금액 등을 조사한다.
그러나 중점에 맞춰져 있는 것은 '금융사고 통계' 부문인데, 이는 금융기관의 취약한 내부통제 절차 등으로 발생하는 배임, 횡령, 자금유용 등에 관한 사례가 다수라 앞서 언급한 지급수단 사기와는 결이 다르다.
무엇보다 중앙은행, 감독당국, 금융기관, 다양한 핀테크 사업주까지 포괄하는 통계 구축 및 분석 시스템을 갖추는 게 필요해 보인다.
또한 이들에게 힘을 실어주기 위한 법적 정당성을 만들어주는 작업도 시급하다.
박종훈 기자 financial@greened.kr
