어느날 갑자기 내 은행계좌에 출처불명의 거액의 돈이 입금되어져 있다면? 영화나 혹은 드라마에서 한번 쯤은 다루어졌을 법한 소재다. 그러나 낭만적 상상속에서나 가능할 일이 현실에서 이루어진다 해도 이 돈이 내 것이 될 확률은 없다. 만약 이 돈에 손을 대었다가는 점유물이탈횡령죄에 의해 민·형사상 처벌을 피할 수 없게 된다. 아주 잠시였지만 내 통장에 거액의 잔고가 있었다는 그럴듯한 추억 하나만 남겨두고 돈은 주인에게 돌려주어야만 한다.
그렇다면 반대의 경우는 어떨까. 어느날 갑자기 내 은행계좌에 있던 돈이 나도 모르게 어디론가 인출되었다면? 이같은 상황은 영화나 드라마에서 다룰 필요가 없을만큼 일상이 되어 버렸다. 악몽 속에서나 일어날 끔찍한 상황이 실제로 자주 발생하고 있는 것이다. 특히 금융기관의 전산망까지 손쉽게 넘보는, 지능적으로 이루어 지고 있는 사이버 공격에 피해는 점점 늘어만 가고 있다. 이럴 경우 잃어버린 돈은 어떻게 되는 걸까? 계좌에 본인 모르게 입금된 돈을 돌려주어야 하는 것이라면 마찬가지로 누군가 빼내간 돈 역시 다시 돌려받아야 하는 것이 마땅하지 않을까? 그러나 현실을 우리가 생각하는 것보다 훨씬 복잡하고 냉정하다.
지난 7월1일 농협계좌에서 주인도 모르는 사이에 현금이 인출됐다. 회당 300만원씩 모두 41차례에 걸쳐 6월26일부터 3일 동안 제3자 명의의 대포통장으로 모두 1억2000여만원이 빠져 나갔다. 사건을 수사한 경찰은 IP 추적 결과 접속지가 중국이라는 사실과 대포통장 명의자 4명을 입건하는 것으로 9월 수사를 종결했다. 경찰은 범인의 윤곽은 물론 범인이 어떻게 계좌에 접근했는지 그 방식조차 밝혀내지 못했다. 범행 수법이 기존의 보이스피싱이나 텔레뱅킹 범죄와 달라 수사에 어려움이 있었다고 경찰은 밝혔다.
관련 사실이 언론을 통해 공개되자 여기저기서 자신도 같은 피해를 입었다고 주장하는 사람들이 나타나기 시작했다. 수천만원에서 억대에 이르기까지 무단인출 피해를 입은 피해자만 모두 50여명에 이르렀다. 그러나 피해자가 속출하고 있지만 범인은 물론이고 어떻게 돈이 빠져나갔는지 정확한 원인조차 파악을 못하고 있는 실정이다. 사건이 미궁속으로 빠져버린 것이다. 이런 상황에서 농협은 아무런 책임이 없다는 식으로 대응하고 있어 여론의 공분을 사고 있다.
농협은 이번 사건을 파밍에 의한 것으로 보고 있다. 파밍은 일반 PC에 미리 악성코드를 심어놓고 사용자가 즐겨찾기나 포털사이트 검색 등으로 은행에 접속하게 되면 사용자 모르게 자동적으로 피싱사이트로 넘어가도록 하면서 금융거래정보를 빼내는 범죄수법을 말한다.
파밍의 수법은 크게 세가지로 알려져 있다. 접속한 사이트에서 보안카드 일련번호와 보안카드 코드번호 전체를 입력하도록 요구하거나 전화나 문자메시지 등을 통해 알려 달라고 요구하는 경우, 전화나 문자메시지 등으로 보안카드 코드번호 일부를 요구하는 경우, 인터넷 즐겨찾기나 포털 검색을 통해 금융회사에 접속하였더라도 보안승급 등을 이유로 금융거래 입력을 요구하는 경우가 그에 해당한다. (금융감독원에서 부분 인용)
농협은 파밍에 의한 피해는 전적으로 고객의 잘못이며 은행이 책임질 일이 아니라고 말하고 있다. 고객이 직접 개인정보를 인터넷 뱅킹을 통해 입력했기 때문에 자신들은 책임이 없다는 식이다. 고객이 맡긴 돈이 본인도 모르게 비정상적으로 인출되어 피해가 속출하고 있는데도 '내 알 바 아니다'는 농협의 태도는 공신력있는 금융기관의 모습과는 거리가 멀게만 느껴진다.
어제(2일) 국회에서는 농림축산식품해양수산위원회 전체회의가 열렸다. 회의에 참석한 농협중앙회 관계자들은 농협 예금인출 피해 사건에 대한 여야 의원들의 질타에도 피해자의 책임이라는 기존의 입장만 되풀이했다. 최원병 농협중앙회장은 "저는 그런 사례가 없지만 카드를 쓰면 가족에게 바로 연락이 간다. 텔레뱅킹으로 돈이 빠져나가면 가족이나 친척에게 메시지가 가는 시스템을 본인이 원하지 않은 것이다"라며 이번 사건을 피해자의 과실 때문으로 몰아갔다.
또한 현안 보고자로 참석한 김정식 농협상호금융 대표 역시 "신종기법은 아니라고 본다. 텔레뱅킹은 보안카드 없이는 이뤄질 수 없다. 자의든 고의든 부주의든 보안카드가 유출됐을 것으로 추정한다"며 "고객 과실이 없는 신종 사기기법이면 보상하겠으나, 피해 원인이 밝혀지지 않는 경우 기존 유사사례를 적용해 처리할 계획"이라고 밝혀 피해보상을 할 마음이 없음을 분명히 했다. 그렇다면 정말 농협의 주장대로 그들은 아무런 잘못이 없는 것일까.
금융위원회는 지난해 7월11일 전자금융거래의 위협과 범죄에 대응하기 위한 '전자금융 안전성 제고를 위한 금융전산 보안 강화 종합대책'을 발표했다. 최근 동시다발적으로 이뤄지고 있는 금융기관과 인터넷 뱅킹 사용자에 대한 사이버 공격에 대응하는 차원에서 마련된 정부 대책이었다. 이 대책을 통해 금융위원회는 금융 이용자 보호 강화를 위해 카드사 위주로 운영되던 이상금융거래 탐지시스템(FDS)를 전자금융거래를 취급하는 은행, 증권 등의 금융기관으로 확대할 계획이라고 밝히며 금융기관들에게 FDS를 구축할 것을 권고했다.
실시간으로 전자금융거래 정보를 취합해 분석한 뒤 이상거래의 징후가 발견되면 거래를 바로 차단하는 방법이 FDS다. FDS는 전자금융거래에 활용되는 단말접속정보(시스템 정보, 네트워크 정보, IP정보, 거래내역)에 대한 로그분석을 통해 정상적인 거래가 맞는지의 여부를 판단한다. 따라서 농협이 지난해 금융위원회의 권고에 따라 FDS 시스템을 구축했더라면 50여명에 달하는 고객의 돈이 유출되는 사고를 방지할 수 있었다.
농협의 업무태만과 직무유기도 문제가 된다. 지난 7월1일 1억2000여만원의 돈이 인출된 피해자의 경우, 피해자 계좌의 로그기록에는 사고 하루 전날 중국 IP의 접속 흔적이 발견됐다. 중국 IP가 피해자의 계좌에 접속했는데도 농협이 발견하지 못했던 것이다. 이는 사건이 발생하기 하루 전에 이미 농협의 보안망이 뚫려 있었다는 것을 의미한다.
50여명의 피해자가 속출한 이번 사건은 농협이 금융위원회의 권고에 따라 FDS 시스템을 구축했었더라면 막을 수 있는 사고였다. 이는 지난 2011년과 2013년 해킹에 의한 전산망 마비로 국민을 불안하게 만들었던 농협이 금융위원회의 권고를 무시해 발생한 사고였다는 뜻이다. 농협은 고객의 돈을 안전하게 관리해야 하는 가장 기본적인 업무를 방기한 것이다.
언론에 따르면 이번에 문제가 된 중국의 IP 주소 대역은 지난 2010년 10월 신한은행 해킹 사고 때와 같은 서버에서 나온 것으로 밝혀졌다. 이 대역은 국내 보안업계와 금융권의 블랙리스트에 올라있는 문제의 곳이다. 이에 금융결재원은 농협을 포함해 국내 금융사에 모두 89차례에 걸쳐 해당 IP대역을 주의하라는 통보까지 했던 것으로 드러났다. 그럼에도 불구하고 농협은 문제의 대역 자체를 차단하는 대신 선별적인 IP만 차단하는 부적절한 대응으로 피해를 속출시킨 것이었다.
법적으로도 전자금융거래법 제9조 3항에 의하면 '전자금융거래를 위한 전자적 장치 또는 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고'에 대해서는 금융회사 또는 전자금융업자가 책임을 져야 한다. 특히 1억2000여만원이 인출된 피해자의 경우 경찰 수사결과 피해자 과실이 없는 것으로 밝혀진 상태이기 때문에 '이용자의 고의나 중대한 과실에 대해서는 그 책임의 전부 또는 일부를 이용자가 부담할 수 있다'는 예외 조항에 저촉되지도 않는다.
살펴본 바와 같이 농협은 정부가 권고한 FDS 시스템을 구축하지도 않았고, 블랙리스트에 올라있는 IP대역에 대한 금융결재원의 주의 통보도 한 귀로 흘려 들었으며, 출처가 의심스러운 IP에 의해 전산망이 뚫려 있었는데도 이를 감지해 내지 못했다. 이렇듯 자신들의 잘못이 명백하고, 이용자의 과실이 아닌 금융사고에 대한 책임을 져야 하는 당사자가 아무 책임이 없다고 주장하고 있는 것은 한마디로 어불성설에 불과하다.
농협의 무책임한 태도에 과연 어느 고객이 이 곳에 자신의 소중한 돈을 맡길 수 있을지 의문이다. 필자부터라도 당장 농협 계좌를 해지하고 다른 은행으로 갈아타고 싶은 심정이다. 한번 무너진 공신력은 걷잡을 수 없는 속도로 추락하게 마련이다. 지난 2011년의 저축은행 사태가 이를 명징하게 보여준다. 농협은 이번 예금인출 사건에 책임있는 자세를 보여야 한다. 성난 '호갱님'들이 못할 일은 세상에 없다.
이미지 출처 : 구글 이미지 검색