[취재후] ‘금융혁신’에 올라탄 ‘피싱’의 진화…소 잃고 외양간 고치기

대체 어떻게 안 거야? 누가 가르쳐 준거야?

취재진이 끝없이 던진 질문입니다. 고백하건대 저희는 잘 몰랐습니다. '핀테크'라는 말만 들어봤고, 'P2P금융'은 몰랐습니다. 카카오페이니 네이버페이니 그런 것만 겨우 써봤습니다. 여전히 미세먼지 자욱한 마포대교를 건너는 것처럼 시야는 흐릿합니다만, 취재를 하면서 이 '핀테크업계의 총아' P2P 금융을 아주 조금 알게 됐습니다.

그런데 그 핀테크의 흐름을 이미 지난해 깨닫고 수억 원을 챙겨 달아난 사람(들?)이 있었습니다. 물론 그들에게 이 흐름은 '첨단 금융의 미래' 같은 게 아닙니다. '빈틈'입니다. 피싱으로 받은 돈을 빠르고 확실하게 빼돌릴 '방법'을 핀테크에서 보았습니다. 그리고 지난해 10월 말에서 11월 초까지 전광석화와 같이 범행을 벌이고 홀연히 사라졌습니다. 경찰도 모릅니다. 장탄식이 나올 수밖에 없습니다.

"정말 대단한 애들인 것 같아요."

피해당한 은행의 한 보안 담당자 말입니다. 보이스피싱, 사실 어제오늘의 문제가 아닙니다. 2015년이 정점인 줄 알았는데, 피해금액과 건수가 지난해에는 더 크게 늘었습니다.

진화하는 '돈 가로채기' 수법들...대포통장에서 가상계좌까지

지능화·고도화하는 범행 수법이 한몫을 차지하는 건 분명해 보입니다. 초기엔 '대포통장'이면 충분했습니다. 다른 사람의 통장을 사서 범죄 계좌로 이용하거나, 취업을 미끼로 통장을 모읍니다. 이후엔 통장을 판 사람에 대한 처벌도 강화됐고, 아예 통장 자체를 만들기 어렵게 규제를 강화했습니다.

P2P금융 가상계좌의 구조

이번에 이용된 것은 '가상계좌'였습니다. 가장 가깝게 볼 수 있는 게 각종 공과금 낼 때 입금하는 계좌입니다. 내가 만든 계좌가 아니고, 해당 기관이 만든 계좌인데 입금할 때 내 이름이 자동으로 입력되는 겁니다. 실제 계좌가 아니라 하나의 계좌 아래 여러 사람의 명의로 된 가상계좌 번호가 따로 있는 겁니다.

가상계좌는 여왕벌과 일벌의 관계, 벌집 구조를 생각하면 이해하기 쉽습니다. 하나의 실제 계좌(여왕벌)에 수많은 가상계좌(일벌)가 연결되는 것이 일반적인 구조입니다.

첫 번째 빈틈은 여기에 있습니다. 문제가 생겼을 때 은행이 지급정지할 수 있는 계좌는 하나의 실제 계좌뿐입니다. 따라서 한 건의 사기 피해 막으려면 연결된 계좌 전체를 정지, 마비시켜야 합니다. 가상계좌를 통한 피해 신고를 받아도 선의의 다른 피해자들이 발생할까 우려돼 섣불리 계좌 정지를 할 수 없는 겁니다.

이렇게 새로운 수법이 계속 나옵니다. 이 빈틈을 어떻게 알았을까요? 사기꾼들은 이렇게 성실합니다. 남의 돈 빼먹는 게 쉬운 일은 아닌 게 확실합니다.

지연인출제도라는 방패...'P2P금융'에서 뚫렸다

하지만 금융당국이 도입한 방어장치도 있습니다. 그중에 '지연인출제도'가 있습니다. 100만 원 이상의 돈이 송금되면 30분 동안 인출이 지연되는 제도입니다. 사기를 당한 대부분의 피해자들이 돈을 보낸 직후에 '이상하다'는 생각을 하게 되기에, 신고까지 그리 많은 시간이 걸리지는 않습니다. 이 지연인출제도 아래서는 30분 안에 알아채 신고만 하면 됩니다.

피해자의 카카오톡 대화내용

피해자인 택시기사인 62살 김 모 씨는 지난해 11월 '피싱'을 당했습니다. 돈 빌려달라는 조카의 카카오톡 메시지를 받고 의심 없이 500만 원을 보낸 게 화근이었습니다. 택시 운전 중에 승객의 양해를 구하고 농협 ATM에서 500만 원을 송금했습니다. ATM에 찍힌 '가상계좌'라는 네 글자를 보고 의심을 하던 김 씨... 다시 운전을 하다가 '사기'라고 직감하게 되고 바로 가까운 은행으로 달려갔습니다. 송금 20분 만이었습니다.

여기까지는 여느 피싱 사기와 다르지 않습니다. 그리고 정말 다르지 않았다면 김 씨는 돈을 모두 돌려받을 수 있었을 겁니다. 지연인출제도가 실행됐다면 30분간은 돈을 인출할 수 없었을 테고, 그랬다면 20분 만에 신고한 김 씨의 돈은 안전하게 은행에 보관되어 있었을 테니까요.

여기에 두 번째 빈틈이 있습니다. 돈은 입금 5분 만에 인출됐습니다. 지연인출제도가 적용되지 않았습니다. 왜 그랬을까요? 우리는 알지 못했지만, 사기꾼은 이미 알고 있었습니다. P2P금융 가상계좌의 실체를요.

'P2P 가상계좌'는 지연인출제도 규제 적용대상 아냐

지연인출제 예외인 P2P금융

지연인출제도 적용 대상은 명확히 정해져 있습니다. '은행과 저축은행, 우체국, 농협이나 신협 같은 협동조합, 일부 증권사'입니다. P2P 금융은 이에 속하지 않았던 겁니다. 어디에 속했을까요? 뜻밖에도 '통신판매업'이었습니다. 우선 '통신판매업'으로 등록한 뒤 '대부업' 자회사를 설립해 대출을 실행하는 구조입니다. 실질적으론 '대부업체' 취급을 받는 것이죠.

그런데 법률상 대부업체는 '예금기능'이 없습니다. 상식적으로도 그렇죠. 대부업체는 돈을 빌려줄 뿐입니다. '이자 줄 테니 돈 맡기라'는 대부업체 본 적 없습니다. 자연히 '지연인출제도'가 있을 필요가 없습니다. 원천적으로 보이스피싱을 할 수가 없고요.

P2P 업체는 다릅니다. '가상계좌'에 돈을 넣어둘 수 있습니다. 이 '가상계좌'가 실제로는 시중의 은행에 연결되는 구조이긴 하지만, 사실상 '입금'을 할 수 있는 겁니다. 돈을 모아 빌려주는 게 P2P 업체이기 때문입니다. 다시 말하면 '보이스피싱'의 잠재적 대상이 될 수 있습니다. 그래서 '지연인출제도'도 필요합니다.

하지만 법률이나 당국의 규제는 없습니다. 법률적으로 '대부업'이기 때문이죠. 현실을 법률이 따라가지 못하는 겁니다.

P2P 금융 계좌는 지급정지가 어려운 가상계좌

앞서 가상계좌는 '벌집' 구조여서 지급정지가 어렵다고 말씀드렸습니다. 그런데 P2P 금융에 사용되는 계좌는 상당수가 가상계좌입니다. (기술적으로 절대 정지가 안 되는 건 아닙니다. 하지만 그 정도 기술을 사용하는 업체는 손에 꼽습니다.)

여기에 세 번째 빈틈이 나옵니다. 가상계좌에 더해 농협의 황당한 계좌 관리 실태입니다. 이번에 가장 많은 피해가 발생한 농협 경우는 16개 거래 P2P금융회사의 가상계좌 전체를 단 하나의 실제 계좌에 모았습니다. 만약 실제 계좌에 지급정지를 걸면 16개 P2P금융회사 전체의 모든 가상계좌가 일시에 거래중단 사태를 맞이하게 됩니다.

참 황당한 설계지만, 금융 당국의 규제망이 아예 없기 때문에 법률이나 가이드라인에 저촉되는 것은 아닙니다.

그리고 마지막 빈틈입니다. P2P 업체는 아직 보이스피싱 피해 방지에 대한 인식이 높지 않습니다. 기자가 취재해 보니 "모르는 사람의 계좌로 돈을 넣은 게 잘못 아니냐" 투의 반응을 보였습니다. P2P금융 업체는 가상계좌를 개별적으로 정지할 수 있기는 하지만 적극적으로 대응하지 않을 가능성이 높은 겁니다. 또 P2P가 뭔지도 모르는 일반 시민이 전화 걸고 신고해 정지를 요청하기란 쉽지 않습니다. P2P업체의 의무도 아니고요.

농협의 P2P금융 가상계좌 구조

피싱에 취약한 '핀테크 금융혁신'... 문제는 기술이 아닙니다

P2P 가상계좌는 지연인출제도의 사각지대였습니다. 지급정지 역시 까다로웠고, 당국의 규제망은 없었습니다. P2P 금융은 이런 이중, 삼중의 사각지대에서 '금융사기'의 먹잇감이 됐습니다. 법률과 규제망을 활용한 당국의 대응이 기술의 혁신을 따라가지 못한 겁니다. 당국은 P2P 분야에서 발생한 '피싱 금융사기'를 아직 인지하지 못하고 있었습니다. 취재로 확인한 범죄규모만 4억 원이 넘습니다. 실제로는 얼마나 많을지 알 수 없습니다.

금융은 규제산업입니다. 하지만 '혁신 성장'을 앞세운 정부는 일단 규제를 풀어 마음대로 활동하게 한 뒤 후에 문제가 생기는 부분에 규제를 도입하자는 취지의 정책을 펼치고 있습니다. 성장을 위한 규제 혁신 좋습니다. 그럼 그 과정에 단순한 '부작용'이 아닌 '개개인의 피해'는 어찌해야 할까요?

대체 범인들이 이 빈틈을 어떻게 알았고, 또 여기에 빈틈이 있다고 누가 가르쳐준 건지, 앞으로 규제 혁신은 어떻게 해나갈지 금융당국이 분명히 밝힐 날을 기다립니다.