은행 비대면서비스 휴대폰 간편인증, 스미싱 악용 시 속수무책
상태바
은행 비대면서비스 휴대폰 간편인증, 스미싱 악용 시 속수무책
  • 김지우 기자
  • 승인 2020.11.25 08:40
  • 댓글 0
이 기사를 공유합니다

-스미싱·보이스피싱 등 금융범죄에 휴대폰 본인 간편인증 등 비대면 거래 악용 사례 발생
-은행의 다중 본인 인증체계에도 휴대폰 인증과정에서 도용되면 예금 등 탈취 피해 막을 길 없어
-금융당국, "소비자들에게 지인 사칭 메시지 주의"

은행들이 모바일을 통한 비대면 서비스를 강화하고 있지만 스미싱 등 금융사기범죄에 악용되는 사례도 지속해서 발생하고 있는 것으로 나타났다. 은행들이 비대면서비스를 시행하며 휴대폰 인증, 입금자명 코드 입력 등 다중 인증시스템을 시행하고 있지만, 스미싱 등의 금융범죄에 악용될 경우 막을 길이 없어 금융소비자들의 주의가 더욱 필요하다.

실제 카톡이나 문자메시지로 지인을 사칭해 접근한 후 자금 이체 또는 개인정보를 요구하는 '스미싱'이 지속적으로 증가하는 추세다. 스미싱은 SMS와 피싱(Phishing)의 합성어로 문자메시지를 이용한 새로운 휴대폰 해킹 기법을 말한다. 24일 금융감독원에 따르면 올해 1월부터 9월까지 총 피해건수와 피해금액은 각각 6799건, 297억원으로 나타났다. 전년 동기 대비 각각 14.6%, 25.3% 증가한 수치다. 

과거의 보이스피싱은 단순히 피해자를 속여 특정 금액을 송금하도록 유도했다. 그러나 최근 한층 진화해 가족 등을 사칭해 개인정보를 캐낼 뿐만 아니라, 알뜰폰 등을 개통해 비대면 서비스를 이용하는 수법이 나타나고 있다. 휴대폰 간편인증으로 계좌를 개설하거나 은행 OTP(일회용비밀번호)를 발급받고 돈을 빼돌리는 등의 방식이다.

보이스피싱이 가족 등을 사칭해 개인정보를 캐내 알뜰폰 등을 개통, 은행 비대면서비스를 통해 돈을 편취하는 수법으로 진화하고 있다. [사진=금융감독원]

최근 A 씨는 딸을 사칭한 스미싱 문자를 받았다. 사기범은 휴대폰 원격제어 프로그램 앱을 설치하도록 유도해 개인정보를 빼돌렸다. 이후 A 씨의 명의로 알뜰폰을 개통해 휴대폰으로 신분확인을 거쳐 비대면으로 OTP를 발급받아 예금 전액을 편취했다. 오픈뱅킹으로 피해자의 금융상황을 전반적으로 파악하는데 용이했다. 사기범은 이에 그치지 않고 신용카드사에서 카드론과 현금서비스를 신청해 추가 인출, 증권계좌에도 접속해 주식 인출을 시도했다. A 씨는 하루 만에 그간 모은 재산을 도둑맞았다.

현재 은행들이 전반적으로 비대면 서비스를 강화하면서 신규 계좌 개설, OTP 디지털 발급 및 등록이 가능해졌다. 신분증 사진 확인, 본인 명의 휴대폰 등을 통한 간편인증 금융서비스를 도입한 이후 편리한 이용이 가능해졌지만, 해당 서비스가 금융 범죄에 악용된 것이다.

모바일 OTP는 1인 1기기로 제한되고 있지만 새로 발급받을 시 기존에 사용하던 보안카드는 폐기되고 OTP는 이용 해지된다. 발급 시 신분증 사진을 찍어서 비대면 인증이 가능하다.

문제는 비대면으로 계좌 개설을 할 때 본인 명의의 휴대폰으로 인증을 거치는데, 이 과정에서 명의를 도용해 휴대폰이 개통되면 다중 인증시스템이 있어도 금융 범죄를 막을 방도가 없다는 점이다.

한 은행권 관계자는 “현재 비대면 서비스는 본인 명의의 휴대폰으로 1차 인증을 거치고 본인의 지문이나 비밀번호 등 생체인식으로 인증하게 돼 있다”며 “신분증이나 본인 명의의 휴대폰 인증을 거친다는 대전제가 깨지면 사기 피해를 막을 방도가 없다”고 설명했다.

이어 “현재 모바일 OTP를 발급받으려면 은행이 고객 본인이 기존에 보유한 계좌로 입금자명에 코드번호를 나타내 1원을 입금하면 고객이 해당 번호를 인증하는 방식 등 다중으로 본인 인증 시스템을 시행하고 있다”고 덧붙였다. 한편으론 영상통화를 통해 신원확인을 하는 방법도 있는데 고객이 단지 보이스피싱 위험군이라는 가정으로 이를 진행하기에는 무리가 있다는 입장이다.

지난 2015년 12월 이후 금융당국은 은행권부터 비대면 실명확인을 개시했다. 스마트폰을 이용해 신분증을 촬영하고, 신분증 정보확인을 한 후에 계좌를 발급이 가능해진 것이다.

최근 은행들은 모바일 비대면 채널 거래량 증가에 따라 자체 인증서비스를 도입했다. 신한은행은 자사 뱅킹 앱 쏠(SOL)에 마이아이디 기반 분산신원확인(DID) 기술로 신분증 촬영 또는 통신사를 통한 본인인증 등의 비대면 2차 신원확인 절차를 대체했다. 로그인 수단·비밀번호 변경, 모바일 OTP발급, 고객확인 등 신원정보 확인이 추가로 필요한 금융거래도 가능하다.

KB국민은행도 공인인증서를 대신하는 'KB모바일인증서'로 비대면 계좌 개설부터 상품 가입, 인증서 발급까지 스마트폰으로 거래가 가능하다. 이 외에도 하나, 우리, NH농협은행, 새마을금고, 토스 등도 보안카드나 OTP 없이 계좌비밀번호만으로 일정 금액을 이체할 수 있고, 간편비밀번호 6자리를 추가 입력 시 송금 가능하다.

이와 같은 비대면·간편 인증서비스는 금융소비자들에게 편리한 금융 생활을 제공한다는 데 의의가 있다. 비대면, 간편 금융서비스는 일반 금융소비자들에게 편리함을 부여할 뿐만 아니라, 거동이 불편해 지점 방문이 어렵거나 복잡한 절차로 인해 금융서비스 이용에 어려움을 겪던 소비자들에게 긍정적인 측면이 있기 때문이다. 

그러나 간단한 절차로 인해 오히려 금융 범죄에 악용될 가능성에 대한 우려도 나온다. 이에 스미싱, 보이스피싱 피해를 방지하기 위해 금융소비자들의 각별한 주의가 필요하다.

이에 금감원은 문자나 카카오톡 등 메신저를 통해 가족, 친구 등을 사칭해 개인(신용)정보를 요구하는 보이스피싱에 유의할 것을 당부했다.

가족 등이 메신저로 금전이나 개인정보를 요구하는 경우 반드시 유선으로 한 번 더 지인 본인임을 확인해야 한다. 핸드폰 고장, 분실 등의 사유로 연락이 어렵다고 하면 보이스피싱을 의심하고 메시지 대화를 중단할 것을 제안했다.

또한 지인을 사칭해 원격조종 앱 등을 설치를 유도할 경우 거절해야 한다. 혹여 앱을 설치한 경우, 스마트폰 보안 상태 검사를 통해 악성 앱 설치 여부를 확인한 후 삭제하거나 핸드폰 초기화를 진행할 것을 권했다.

보이스피싱 의심 문자나 전화를 받으면 신속히 경찰서나 해당 금융회사에 신고해 지급정지를 신청해야 피해구제를 받을 수 있다. 계좌정보통합관리서비스를 통해 본인 모르게 개설된 계좌나 대출을 확인하는 방안도 있다.

본인이 알지 못한 휴대폰 개통 여부는 한국정보통신진흥협회에서 운영하는 명의도용방지서비스에서 가입 사실 현황을 조회할 수 있다.

김지우 기자  lycaon@greened.kr

▶ 기사제보 : pol@greened.kr(기사화될 경우 소정의 원고료를 드립니다)
▶ 녹색경제신문 '홈페이지' / '페이스북 친구추가'

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.