[일요시사 경제팀] 한종해 기자 = 사람들이 은행에 돈을 맡기는 이유는 뭘까? 이자를 받기 위해서? 아니다. 하루가 다르게 떨어져만 가는 금리에 이자 수익은 기대하기 어렵게 된지 오래다. 사람들은 분실과 도난 위험을 원천적으로 막기 위해 은행에 예금한다. 은행의 본질적인 기능이다. 그런데 이 본질이 깨졌다. 통장에 있던 거액의 돈이 증발했다. 예금주는 1억1800만원이 사라질 때까지 낌새조차 알아채지 못했다. 해당 사건이 발생한 농협과 금융당국은 원인조차 파악하지 못하고 있다.
이씨는 단순 오류라고 생각했다. 자신이 알고 있던 통장 잔액은 1억1800만원이었기 때문. 결혼생활 25년 만에 장만한 집을 팔고 통장에 넣어놓은 돈이었다. 그러면서 다시 단독주택을 장만하면서 잔금을 치를 예정이었다. 하지만 이어 등장한 통장 잔액을 알리는 메시지를 본 이씨는 충격에 휩싸였다.
남은 건 -500만원
잔액은 마이너스 498만원. 이씨 통장은 마이너스 500만원까지 인출이 가능한 통장이었다. 이씨는 농협 창구를 찾았다. 경위를 듣게 된 이씨는 절망에 빠졌다. 6월26일 밤 10시51분부터 사흘 동안 11개 은행 15개 계좌로 한번에 299만원, 298만원씩 총 41차례에 걸쳐 돈이 빠져나갔다는 것. 기록에는 정상적인 텔레뱅킹으로 남아있었다.
수사에 착수한 경찰은 금액 인출 이전에 누군가가 이씨의 아이디로 농협 홈페이지에 접속한 흔적을 발견했다. 인터넷 뱅킹 접속 지점은 중국이었다. 문제는 이씨가 평소 인터넷 뱅킹을 이용하지 않았다는 점이다. 인터넷 뱅킹은 가입한 적도 없고, 은행 업무는 거의 출퇴근 시간에 은행ATM기 또는 텔레뱅킹으로 이용했다.
보이스 피싱이나, 스미싱, 파밍 등 금융사기를 당한 적도 없다. 또한 돈이 빠져나간 시간 이씨의 휴대폰에는 통화기록도 없었다. 각종 비밀번호와 보안카드를 유출하거나 분실한 적도 없었다.
경찰 조사 결과 1억1800만원이 송금된 계좌는 제3자 이름으로 된 이른바 ‘대포통장’으로 밝혀졌다. 하지만 이게 전부였다. 경찰은 범인의 윤곽은 물론 계좌 접근 방식조차 밝혀내지 못했다. 결국 대포통장 이름을 빌려준 4명을 ‘전자금융거래법 위반’으로 입건하는 선에서 지난 9월10일 수사를 공식적으로 종결했다.
사고가 여론의 관심을 받자 경찰청 사이버수사대가 보강 수사를 시작했다. 금융감독원도 지난 27일 IT금융정보보호단과 상호금융검사국 등을 농협중앙회에 투입해 조사에 착수했다. 금감원과 경찰은 해당 지역조합의 IT정보보안 실태와 내부 통제 상황을 점검하고 사고 원인을 밝히는 데 조사력을 모을 방침이다. 국회 농림축산식품해양수산위원회도 상황파악에 나섰다.
사고 원인만큼이나 관심이 집중되는 것은 보상 여부다. 전자금융거래법 제9조에 따르면 ▲접근매체의 위·변조로 발생한 사고 ▲계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고 ▲전자금융거래를 위해 전자적 장치 또는 정보통신망에 침입해 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고 등에 대해 해당 금융사가 손배 배상 책임을 지도록 하고 있다.
다만 이용자의 고의나 중대한 과실이 있는 경우 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다고 예외 규정을 두고 있다.
예금 1억1800만원 감쪽같이 인출
범행수법 오리무중…보상은 누가?
하루 아침에 1억1800만원을 날린 이씨는 월세살이를 전전하고 있다. 농협은 사건이 전해진 초기 ‘내부정보 유출 등 책임이 없어 보상하기 힘들다’며 ‘버티기’에 돌입했다가 파장이 커지자 그제서야 보험사를 통해 보상심사를 진행하고 있다고 말을 바꿨다.
현재 농협은 농협손해보험의 ‘전자금융업자배상책임보험’에 가입돼 있다. 보험금 지급을 심사 중인 농협손보가 이번 사고를 보험금 지급 사유라고 판단할 경우, 전액이 해당 농협에 보험금으로 지급된다.
보험금 지급 사유에 해당하는 사안은 신종 해킹이나 피싱 등 전자금융사기다. 농협 측의 관리부실이나 보안시스템 허점, 예금자의 과실로 이번 사고가 발생한 것으로 밝혀지면 농협손보는 보험금을 지급하지 않는다. 농협 측의 보안상 문제라면 배상 책임은 농협이 져야한다.
농협 측은 “텔레뱅킹 이체는 고객 계좌번호, 통장 비밀번호, 자금이체 비밀번호, 보안카드번호, 주민등록번호, 고객전화번호가 있어야 가능하다”며 “이들 정보가 유출되는 경우는 고객의 고의·과실이나 금융기관 내부 유출에 의한 것인데 자체 확인한 결과 내부에서 정보가 유출된 사실은 없다”고 밝혔다.
이씨가 농협카드도 만든 적이 없어 올해 초 발생한 카드사 정보유출 대란 때 신상 정보가 유출됐을 가능성도 낮다.
일부 전문가들은 보안카드번호가 유출됐을 가능성을 높게 보고 있다. 보안카드번호를 제외한 계좌번호, 통장·자금이체 비밀번호, 주민등록번호, 전화번호는 이미 알려진 해킹기술로 충분히 가능하다는 게 전문가들의 견해다.
전자금융사기 피해소송을 전문적으로 담당하는 이준길 변호사는 이씨의 전화가 도·감청이 됐을 가능성을 제기했다. 휴대폰으로 보안카드번호를 누를 때 각기 다른 특성을 가진 번호 소리를 범인들이 분석했을 것이라는 얘기다.
하지만 농협은 주파수 도·감청을 차단하는 시스템을 2007년부터 도입했다며 있을 수 없는 일이라고 반박했다.
은행은 모르쇠
농협의 허술한 보안시스템도 구설수에 올랐다. 현재 국내 금융사들은 해킹 등에 대비해 기존에 발생한 해킹 기업을 본부 전상망에 데이터베이스화 해놓고 해킹이 감지되면 차단하는 시스템인 모니터링시스템을 운용하고 있다.
이와 함께 일부 금융사에서는 고객의 평상시 거래 패턴을 데이터베이스화 해 이상한 거래형태가 나타나면 고객에게 통지하고 확인하는 이상거래탐지시스템(FDS)도 운영하고 있다. 하지만 농협은 모니터링시스템만 갖춰 놓았다. 농협이 FDS를 도입했다면 나흘 간 41차례 인출이 일어나는 중간에 이씨에게 확인 전화가 갔고 사고를 중간에 막을 수 있었다는 얘기다. 농협은 현재 FDS에 대한 테스트 중에 있다. 빠르면 12월 초, 늦어도 1월 중순안으로 구축을 완료할 예정이다.
사건이 점점 미궁 속으로 빠져드는 가운데 농협 고객들 사이에서 불안감이 확산되면서 농협 통장을 옮기겠다는 사람들까지 나오고 있다.
<han1028@ilyosisa.co.kr>
<기사 속 기사> 현대카드 ‘15억 증발’ 미스터리
현대카드에서 전산 오류로 인해 1300명이 넘는 고객의 카드대금이 이중 결제되는 사고가 일어났다.
지난 26일 금융권에 따르면 현대카드 내부 전산시스템에 문제가 발생해 고객 1364명의 계좌에서 약 15억원의 카드대금이 이중으로 결제됐다.
피해를 본 고객들을 은행이 아닌 증권사 종합자산관리계좌(CMA)를 카드 결제계좌로 해놓고 매달 24일을 카드 결제일로 지정한 고객들이었다. 현대카드 관계자는 “CMA 계좌는 금융결제원을 통해 카드대금이 인출되는데 결제일인 24일 정상 인출된 것을 내부 전산시스템이 읽어내지 못해 26일 다시 인출됐다”며 “이중 출금된 금액을 바로 환불 처리해 입금을 완료했다”고 말했다.
금융감독원은 이번 사고의 원인과 과실 여부를 확인하기 위해 현대카드에 대한 조사에 착수했다. <해>
