'생체인증' 1분 만에 540만원 털려…간편송금=간편범죄?

간편송금 서비스 '생체인증'으로 1분 만에 사라진 540만 원
'사용의 편의성' vs '보안의 취약성'…양날의 검 '간편송금'
사건사고 발생해도 피해구제 어려워…사용자 스스로 보안 지켜야

스마트이미지 제공

서울에 사는 여성 이모(35)씨는 평소 간편송금 앱 '토스'를 이용해왔다. A씨는 토스에 간편 인증 수단으로 '얼굴(Face ID)'을 등록해뒀다. 얼굴만 인식시키면 로그인도, 송금도 순식간에 가능했기에 편리하게 사용해왔다.
 
우연히 만난 B씨와 교제하게 된 지 이틀만이었던 지난 17일, A씨는 B씨와 대화를 하던 중 '빚이 있다'고 털어놨다. B씨는 '간편송금 앱을 보여주면, 빚을 갚을 방법을 찾아주겠다'고 했다. A씨는 별다른 의심 없이 토스 앱을 켜 자신의 스마트폰을 B씨에게 건넸다.
 

잠시 스마트폰을 보며 살피던 B씨는 갑자기 A씨의 얼굴에 스마트폰 화면을 들이밀었다. A씨가 상황을 파악하기도 전에, 1분도 채 지나지 않아 540만 원이 A씨의 계좌에서 빠져나갔다. B씨가 해당 앱에 자신의 계좌번호와 송금액을 모두 입력한 뒤, A씨의 얼굴을 인식시켜 송금해버린 것이다.
 
한순간에 수백만 원을 잃은 A씨는 조만간 경찰에 B씨를 고소할 예정이다. A씨는 과연 피해를 구제받을 수 있을까, 누구의 책임일까.
 

편한 만큼 취약한 '간편송금'…피해 구제도 어려워

A씨의 출금기록. A씨는 불과 1분만에 540만 원을 '얼굴 인증' 하나로 강탈당했다. 제보자 제공

간편송금 서비스로는 지문, 얼굴 등 생체정보를 이용한 간편 인증을 통해 모바일 등으로 손쉽게 송금할 수 있다. 토스나 카카오페이가 간편송금 서비스를 제공하는 대표주자다. 인증서 등을 통한 복잡한 인증절차를 생략할 수 있다는 '편리함'이 강점이다.
 

간편송금 서비스를 사용하는 이들은 날로 늘어나고 있다. 한국은행 '2023년 상반기 중 전자지급서비스 이용 현황'에 따르면 2023년 상반기 중 간편송금 서비스 이용건수(일평균)는 약 610만 건, 이용금액은 약 7461억 원으로 지난해 같은 기간 대비 각각 24.2%, 23.9%가 늘어났다.
 
간편송금 시장이 활성화되면서 사고도 늘어났다. 생체정보만 입력하면 순식간에 진행되다보니, A씨와 같은 일을 겪거나, 계좌번호를 잘못 입력했을 경우 이를 바로 잡을 새도 없이 송금이 되어버리는 일도 증가한 것이다.
 
실제로 더불어민주당 강병원 의원실이 시중은행들로부터 제공받은 '금융회사별 착오송금 발생 현황'에 따르면, 토스뱅크에서는 2021년 하반기 478건(의 착오송금이, 2022년 1월부터 3월까지 1021건의 '착오송금'이 발생했다.
 
문제는 이런 일을 겪어도 피해를 구제받기는 어렵다는 것이다. '기업'의 책임이 아닌 '개인'의 책임으로 여겨지기 때문이다. '기업'이 생체인증 기능의 위험성을 미리 고지했고, 비밀번호나 패턴 등 생체인증을 대체할 수 있는 다른 인증 수단을 선택지로 제공했다면 그중 생체인증 기능을 선택했다가 발생한 사건사고의 책임은 결국 '개인' 스스로 져야 한다는 논리다.
 

스마트이미지 제공

고려대 김승주 정보보호대학원 교수는 "A씨의 경우 생체인식 기능을 사용하면서 그걸 방치한 것이고, (사고나 범죄) 우려가 된다면 생체인식 기능을 쓰지 않고 비밀번호를 걸어놨어야 한다"면서 "애플이 처음에 생체인식을 도입했을 때도 똑같은 논란이 있었는데, 애플은 '회사의 잘못이 아니고 개인의 잘못'이라는 공식 입장을 밝혔다"고 말했다.
 
실제로 2019년 한 초등학생이 잠든 아버지 C씨의 아이폰으로 얼굴 인식을 해 잠금을 푼 뒤 약 1천만 원 어치의 게임 아이템을 구매하는 사고가 벌어졌다. C씨는 애플에 환불을 요청했지만 애플은 '이미 생체인증의 위험성을 사전에 공지했다'는 이유로 거절했다.
 
A씨의 사례와 관련해서 토스 관계자 또한 "본인의 생체 인증 혹은 비밀번호 인증을 통해 송금이 진행될 경우, 회사 측에서는 누가 어떤 의도로 했는지까지 알 수는 없다"며 별다른 구제책을 제공할 수는 없다는 입장을 밝혔다.
 
수사기관의 도움을 받기도 쉽지는 않다. B씨가 A씨의 '의사에 반해 강제로' 돈을 송금했다는 사실을 입증하기 어렵기 때문이다. 지난 7월에는 취객들의 손을 붙잡고 지문을 인식해 5500만 원을 갈취한 30대 남성이 컴퓨터 등 사용사기 등의 혐의로 구속되기도 했지만, 해당 사건의 경우 CCTV 영상 등 명백한 증거를 구한 운이 좋은 사례였다.
 
서울여대 이병걸 정보보호학과 교수는 "(B씨가) 강제로 스마트폰을 건네도록 하는 환경을 만들었다면 그런 부분에 대해 법적으로 문제를 제기할 수 있다"면서도 "지금 현재 우리나라 법에서는 구제가 될 가능성이 낮다"고 말했다.
 
결국 전문가들은 사용자 스스로 보안에 철저히 나서는 수밖에 없다고 지적한다. 순천향대 염흥열 정보보호학과 교수는 "간편송금 서비스로 인해 사용자의 편의성은 증대됐지만, 보안의 취약성이 늘어났다"면서 "보안의 취약성에 대한 사용자 교육이 필요하고 사용자 스스로 주의해야 한다"고 말했다.
 
이병걸 교수는 "개인정보를 관리하는 총체적인 책임은 개인에게 있기 때문에 경각심을 가져야 한다"면서 "'제3자 인증기관(third party)을 통해 인증하는 방법 또한 문제를 예방할 수 있는 하나의 방법이 될 수 있다"고 밝혔다.