지난달 김지영(63·가명)씨는 자녀로부터 이 같은 내용의 문자를 받고 깜짝 놀랐다. 곤란에 처했다고 생각한 김 씨는 서둘러 신분증 사진과 국민은행 계좌번호, 비밀번호를 알려줬다. 공교롭게도 딸이 2주 전 바다에서 휴대전화에 물이 들어가 고장 났다고 말한 적이 있었기 때문에 의심조차 할 수 없었다. 하지만 이는 '보이스 피싱'이었다.
김 씨가 도둑맞은 돈은 약 1억 원에 달했다. 수법은 교묘했다. 국민은행 앱에 접속해 오픈뱅킹(하나의 앱에서 여러 금융사 계좌를 한 번에 조회·거래할 수 있는 서비스)을 통해 모든 계좌를 확인한 뒤, 가장 잔액이 많은 신협은행을 노렸다. 범인은 김 씨를 속여 처음 확보한 국민은행의 계좌번호와 비밀번호만으로도 신협의 간편계좌 비밀번호를 만들 수 있었다. 가르쳐 준 계좌가 무사한 것을 확인하고 안심했던 김 씨는, 하루가 지난 뒤 수차례에 걸쳐 신협에 남아있던 잔액은 물론 예금까지 해지돼 돈이 빠져나간 것을 확인하고 망연자실했다.
하나의 계좌로 모든 금융사 거래를 할 수 있는 오픈뱅킹을 범죄에 악용하는 사례가 늘고 있다.
오픈뱅킹을 통하면 한 금융사 앱에서만 인증을 해도 타 금융사의 계좌 잔액을 확인할 수 있고 한도 내에서 자유롭게 이체도 할 수 있다. 등록할 다른 금융사의 계좌번호를 몰라도 일괄 조회, 등록이 가능하다. 빅테크·핀테크 앱에서도 오픈뱅킹을 통해 금융사 계좌를 조회 및 이체할 수 있다. 타행 간 거래 한도는 하루 통합 1천만 원이다. 금융 소비자의 편익을 위해 만들어진 서비스지만 동시에 범죄에 이용될 우려도 높아졌다는 지적이다.
간편비밀번호 등 로그인 간소화 절차 역시 비슷한 지적을 받고 있다. 김 씨의 경우도 탈취당한 한 금융사 계좌와 비밀번호를 통해, 타사 앱에서 간편비밀번호를 재등록한 뒤 인출하는 수법으로 당했다.
보이스피싱 범죄자들은 피해자를 속여 신분증 등 개인정보를 확보한 뒤 오픈뱅킹을 통해 잔액 정보를 파악하고 갈취한다. 오픈뱅킹 가입 시 최초 인증을 하고 간편 비밀번호를 설정하면 별다른 인증이 필요 없기 때문에, 한 계좌로 돈을 모아 인출하기도 한다. 확보한 신분증과 신용정보로 대포폰을 만들어 오픈뱅킹에 가입하기도 한다. 수년간 납입한 보험이 해지돼 큰 피해를 입는 사례도 생긴다.
한 시중은행 관계자는 "실제로 오픈뱅킹 등 서비스를 시작하고 나서 보이스피싱 규모가 커졌다"고 설명했다. 이 관계자는 "한 계좌에 돈을 보내라는 식이 전통적인 보이스피싱이었다면, 현재는 몇 가지 개인정보를 탈취하면 모든 계좌에 있는 돈을 다 털어가는 것은 물론 보험 해지나 대출까지 받을 수 있는 상황"이라고 덧붙였다.
금융당국은 이같은 취약점을 인지하고 있지만 금융 서비스 간소화에 따른 일종의 부작용으로 보는 입장이다. 신분증이나 계좌번호 등 개인정보를 유출하지 않아야 궁극적으로 사고를 막을 수 있다고 당부한다.
한 금융감독원 관계자는 "금융소비자의 편익을 위해서 서비스를 간소화하는 과정에 따른 일로 볼 수 있는데 이는 '양날의 검'"이라면서 "취약한 제2금융권 위주로 주의를 주고는 있지만 범죄 피해가 발생하고 있다"고 설명했다.
금융소비자원 조남희 원장은 CBS노컷뉴스와의 통화에서 "금융 서비스 간소화로 드러나는 여러가지 한계가 소비자 보호의 취약성을 보여주고 있다. 간편성과 보안, 두 가지를 어떻게 동시에 추구할 것인지를 금융회사들이 고민해야 하며 아울러 관련한 사고가 났을 때 책임범위를 명확히 규정하는 것도 중요하다"고 설명했다.