▲중국 조직이 농협 텔레뱅킹으로 예금주 몰래 예금액을 전액 인출했다. 인터넷 해킹이 아닌 텔레뱅킹 인출은 신종수법이라 전 금융권이 긴장하고 있다. (사진=CNB포토뱅크)

농협 예금통장에서 예금주 몰래 1억2000만원이 감쪽같이 사라진 사건의 파장이 일파만파 번지고 있다. 금융감독원이 농협중앙회에 대한 검사에 착수한데 이어 국회 농림축산식품해양수산위원회가 상황파악에 나섰다.

지역 경찰서 차원의 수사는 종결됐지만 사태의 심각성을 인지한 경찰청 사이버수사대가 보강수사에 착수했다. 통상적인 해킹범행이 아닌 것으로 확인되면서 고객 불안이 커지고 있다. 어떤 방식으로 범행이 이뤄졌으며, 보상은 가능할까? CNB가 사건의 전말을 추적했다. (CNB=도기천 기자)

텔레뱅킹 인출 신종수법…금융권 긴장
계좌 비번 등 획득한뒤 보안카드 노려
버튼소리 감청해 숫자 취득 가능성
피해자 과실 못밝혀…배상 미뤄 눈총
 
경찰과 농협중앙회 등에 따르면 전남 광양에 거주하는 주부 이모씨(50)의 단위 농협 계좌에서 지난 6월말부터 사흘간 41차례에 걸쳐 총 1억2300만원의 돈이 인출됐다.

이씨의 돈은 11개 은행의 15개 계좌를 거쳐 즉시 사라졌다. 경찰은 이 계좌가 제3자 이름으로 된 이른바 '대포통장'이며 송금된 전액이 텔레뱅킹을 통해 인출된 사실을 확인했다.

범인들은 이씨의 계좌가 마이너스통장 기능이 있다는 점까지 파악, 예금액 전액을 훔쳐간 것도 모자라 500만원을 마이너스 대출(텔레뱅킹)로 인출했다. 총 피해액은 1억2800만원에 이른다.

이 돈은 이씨 부부가 주택 매매대금(잔금)을 치를 자금이었다. 이씨는 언론에 “결혼생활 25년 동안 살았던 집을 팔고 통장에 넣어둔 돈인데, 다시 집을 장만하면서 잔금을 치를 돈이었다”고 밝혔다. 피해자의 전 재산이었다.

신고를 받은 광양경찰서는 두 달 넘게 수사를 벌였지만 아무런 단서를 찾지 못했다. 범행 수법이 기존의 보이스피싱, 해킹 등과 달라, 범인은 윤곽은 물론 계좌 접근 방식조차 밝혀내지 못했다.

이씨는 경찰이나 검찰 수사관 등을 사칭해 개인정보를 요구하는 전화를 받은 적이 없으며, 정체불명의 문자메시지를 수신해 모르는 인터넷 주소를 클릭한 적도 없다고 밝혔다. 

▲서울 서대문 농협중앙회. (사진=연합뉴스)

특히 이씨는 인터넷뱅킹에 가입한 적이 없다. 자금 입출금은 ATM기나 텔레뱅킹으로만 이용했다. 자신의 휴대전화로 한 달에 보통 13~14건을 이용해 왔다.

경찰은 인출 사건이 일어나기 직전에 이씨의 아이디로 누군가 농협 홈페이지에 접속한 흔적을 발견, IP 추적결과 접속지가 중국이라는 사실을 확인했다. 하지만 텔레뱅킹 인출과의 연관성을 찾지 못했다.

결국 경찰은 대포통장에 이름을 빌려준 4명을 전자금융거래법 위반으로 입건하는 선에서 지난 9월 10일 수사를 종결했다.

하지만 이 사건이 언론에 알려지자 경찰청 사이버수사대는 보강 수사에 착수했다. 워낙 이례적인 사건이라 범행이 어떤 방식으로 이뤄졌는지 확인하기 위해서다.

경찰청 관계자는 “광양경찰서가 사건을 수사한 뒤 송치했지만 해킹 범죄에 대한 전문 노하우가 있는 사이버수사대가 범죄에 대한 보강 수사를 벌이기로 했다”고 밝혔다.

금융당국도 사태파악에 나섰다. 금감원은 26일부터 IT 검사역 3명, 외부 보안전문인력 2명, 상호금융 인력 2명 등 총 7명을 농협중앙회에 파견해 농협의 전산시스템에 문제가 없는지 살피고 있다.

국회 농림축산식품해양수산위원회도 이 사건과 관련, 27일 긴급현안보고를 받고 대책마련에 착수할 예정이다. 김우남 농해수위원장은 “농협으로부터 현안보고를 받고 문제를 짚어보겠다”고 말했다. 

허술한 보안…이상거래 탐지 못해

이번 사건은 피해자가 인터넷뱅킹에 가입한 적이 없고, 텔레뱅킹만 사용해 왔다는 점에서   기존 보이스피싱, 해킹 등과 전혀 다른 사건이다. 농협카드를 만든 적도 없어 올해 초 발생한 카드사 정보유출 대란 때 신상 정보가 유출됐을 가능성도 낮은 상태다.

수사가 미궁에 빠지면서 범행수법을 둘러싼 여러 가능성이 제기되고 있다.

우선 전문가들은 텔레뱅킹의 주요수단인 보안카드가 유출됐을 가능성에 주목하고 있다.

텔레뱅킹 이체는 고객 계좌번호, 통장 비밀번호, 자금이체비밀번호, 보안카드번호, 주민등록번호, 고객전화 번호 등 여섯가지 정보가 있어야 가능하다.

이중 보안카드번호를 제외한 나머지 정보는 손쉽게 해킹될 수 있다는 게 전문가들의 견해다. 고객 주민번호를 알아내 농협 홈페이지에 회원가입 한 뒤, 계좌 비밀번호나 이체 비밀번호를 알아내는 것은 이미 알려진 해킹기술로 충분히 가능하다는 것.

실제로 경찰은 인출 사건이 일어나기 직전에 누군가 중국에서 이씨의 아이디로 농협 홈페이지에 접속한 흔적을 발견했다.

따라서 남은 건 보안카드다. 전산 해킹과 달리 텔레뱅킹은 반드시 보안카드번호를 알아내야 가능하다. 

전자금융사기 피해소송 전문가로 알려진 이준길 미국 변호사는 텔레뱅킹이 휴대전화를 통해 이뤄졌다는 점에 주목, 이씨의 전화가 도·감청 됐을 가능성을 제기하고 있다. 다이얼 번호를 누를 때 각각 다른 특성을 가진 ‘번호 누르는 소리’를 범인들이 분석했다는 추정이다.
 
이 변호사는 모 라디오 프로에서 “전화를 걸 때 다이얼 1번을 누르는 것과 5번을 누를 때 흐르는 전류의 암페어와 주파수가 각기 다르다”며 “그걸 모니터링하면 무슨 번호를 입력하는지 알 수 있고 장기간 모니터링을 하면 보안카드 35개 숫자를 다 습득할 수 있다”고 밝혔다. 피해자가 한 달에 최소 10여차례 이상 텔레뱅킹을 이용해온 만큼 지속적인 도·감청이 이뤄졌다면 가능한 시나리오라는 것.  

반면 농협 측은 이 주장을 반박하고 있다. 

농협 관계자는 26일 CNB에 “농협 자체조사 결과 해킹당한 사실이 없으며, 암페어와 주파수 도·감청을 차단하는 시스템을 2007년부터 도입했으므로 있을 수 없는 일”이라며 “보안카드를 들고 다니기가 번거로워 사진을 찍어 자신의 핸드폰에 저장했다가 유출되는 사례가 빈번한 만큼 (피해자는 부인하고 있지만) 그럴 가능성이 없는지 주목하고 있다”고 밝혔다.

▲예금주 몰래 1억2천만원이 감쪽같이 사라진 사건의 파장이 일파만파 번지면서 농협의 허술한 보안 시스템이 도마에 올랐다. NH농협 내 자동화기기(ATM) 앞 모습. (사진=연합뉴스)

이번 사건을 계기로 농협의 허술한 보안시스템도 도마에 올랐다. 현재 금융사들은 해킹 등에 대비해 모니터링시스템과 이상거래탐지시스템(FDS)을 운영하고 있다.

모니터링시스템은 기존에 발생한 해킹 기법들을 본부 전산망에 데이터베이스화 해놓고 해킹이 감지되면 차단하는 시스템이다. 이 경우 기존 해킹기법이 아니라 다른 형태의 해킹이 시도되면 막을 방법이 없다.

그래서 추가로 도입된 게 이상거래탐지시스템(FDS)이다. 고객의 평상시 거래 패턴을 데이터베이스화 해놓고 평시와 다른 거래형태가 나타나면 고객에게 전화로 확인하는 방식이다. 카드사들과 일부 은행들은 이 시스템을 운용하고 있다. 

하지만 농협은 모니터링시스템만 갖춰 둔 상태다. 이씨 사건의 경우 3일간 300만원씩 41차례 인출이 일어났다.  FDS가 도입됐다면 당연히 이씨에게 연락이 갔을 것이고 무단 인출을 중간에 막을 수 있었을 것이다. 

농협 관계자는 “모니터링시스템이 모든 상황들을 커버할 수 있는 데는 한계가 있는 부분이 있다”며 “다음달부터 FDS시스템을 운영해 보안단계를 높일 계획“이라고 밝혔다.

또 경찰이 알아낸 수상한 IP주소 대역이 이미 과거 해킹사건 때 적발된 중국 길림성 인근이었음에도 농협이 적극적인 대응을 하지 않았다는 지적도 있다.

인출 사건이 일어나기 직전에 이씨의 아이디로 누군가 접속한 곳은 금융결제원이 금융사에 ‘문제 대역’으로 통보한 지역이었다. 하지만 농협은 별다른 조치를 취하지 않았다. 

농협 측은 “의심이 가는 IP 대역 전체에 대해 전자금융거래를 차단할 경우, 약 6만5000개에 이르는 불특정 다수의 IP가 차단돼 선의의 고객이 이유 없이 피해를 입을 수 있다”며 “금융결제원에서도 사기 사건과 관련된 특정 IP를 지정해 은행에 정보를 제공하고 있으며, 모든 은행은 제공 받은 해당 IP만 접속 차단 등록을 하고 있다”고 밝혔다.

하지만 수상한 대역에서 접속이 감지됐음에도 농협이 이씨에게 연락조차 취하지 않았던 점은 아쉬운 대목이다. 

▲서울 충정로 농협 전경. (사진=CNB포토뱅크)

이런 가운데 피해자와 은행 어느 쪽의 과실도 밝혀지지 않은 상황이라 보상문제를 둘러싼 치열한 법정공방이 예상된다.

전자금융거래법 제9조에 따르면 ▲접근매체의 위·변조로 발생한 사고 ▲계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고 ▲전자금융거래를 위해 전자적 장치 또는 정보통신망에 침입해 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고 등에 있어서 해당 금융사가 손해 배상 책임을 지도록 하고 있다.

단, ‘이용자의 고의나 중대한 과실이 있는 경우 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다’고 규정하고 있다.

전자금융거래법은 인터넷뱅킹 등 전자금융거래가 급격히 확산됨에 따라 기존 법률로는 해석하기 힘든 금융사고의 책임을 분명히 하기 위해 지난 2007년 도입됐다.

하지만 이번 사건은 금융사와 고객 중 누구의 과실이 있었는지가 전혀 가려지지 않은 상황이다.

대부분 법률전문가들은 이용자 과실이 발견되지 않은 만큼 즉시 배상에 나설 것을 주문하고 있지만 농협 측은 법률적 검토가 필요하다는 입장이다.

이준길 변호사는 “이씨 경우처럼 원인이 없고 본인 과실이 없는 케이스는 법률상으로 일단 은행이 전적으로 책임지게 돼 있다”고 밝혔다.

농협 관계자는 CNB에 “법률적으로 보상이 가능한지 검토하고 있으며 조만간 입장을 정리해 발표 하겠다”며 “(농협이 금융사고에 대비해) NH손해보험에 가입해 있는데 약관상으로는 보험금 지급사유에 해당되지 않는다”고 밝혔다.

하지만 이는 보험사와 농협 간 계약사항이므로 소비자 피해보상을 규정한 전자금융거래법 취지와는 별개 사항이다.

법조계 한 관계자는 “피해자 과실이 밝혀지지 않은데다 농협이 보안의무를 제대로 지켰는가에 대한 문제가 제기되고 있는 상황에서 (농협이) 법률검토 운운하는 것은 사태를 너무 안일하게 보고 있는 것 같다”며 “이번 참에 외국처럼 징벌적손해배상제도를 도입해 소송까지 가지 않고 원활하게 피해보상이 이뤄지도록 강제하는 것도 고려해야 한다”고 지적했다.

(CNB=도기천 기자)