정부, ‘통신사기피해환급법’ 개정 추진
간편송금업체, 금융사기 예방·환급 의무 부여
투자업계, “카카오페이, 토스 등 송금 사기 많아”
“기술적 보완 외에 피해자 배상 정책에 신경써야”최근 보이스피싱과 부당결제 사고가 잇따르는데도 법망에서 빠져 있다는 비판이 제기된 토스와 카카오페이 등에 정부가 은행 수준의 법적 책임을 지우기로 했다. 앞으로 간편송금앱이 ‘대포통장’(범죄에 악용하기 위해 타인 명의로 개설한 통장) 역할로 쓰이면 지급 정지한 뒤 돈을 환급해 줘야 하고, 범죄 예방을 위해 기존 금융업체들과 정보도 공유해야 한다.

22일 금융당국에 따르면 금융위원회는 이러한 내용을 담은 ‘통신사기피해환급법’을 개정하기로 하고 최근 각계 의견을 듣고 있다. 금융위 관계자는 “하반기에 입법예고하는 게 목표”라고 말했다.

개정안의 핵심은 간편송금서비스 업체들을 법상 ‘금융기관’으로 규정해 이들이 보이스피싱을 비롯한 전자 금융사기를 막기 위해 기존 금융사 수준의 예방·환급 의무를 다하도록 하는 것이다. 예컨대 은행들은 자체 점검을 통해 특정 계좌가 보이스피싱 등에 악용된 의심거래계좌로 보이면 돈이 빠져나가지 못하게 지급 정지를 한다. 보이스피싱 피해자나 수사기관의 요청이 있을 때도 해당 계좌의 돈이 묶인다. 또 은행은 피해자가 소송을 제기하기 전에 대포통장 등에 입금된 돈을 돌려주도록 돼 있다. 카카오페이와 토스를 비롯한 간편송금 업체들은 지금껏 이를 따르지 않아도 됐지만 법이 바뀌면 똑같은 의무를 지게 된다.

이와 함께 간편송금 업체들은 금융범죄 예방에도 적극적으로 나서야 한다. 부정 결제나 사기 등을 미리 예측하는 이상거래 탐지시스템(FDS)을 자체적으로 강화하고 사기 이용 의심계좌나 전화번호 등을 수집해 다른 금융기관과 공유해야 한다.

간편송금은 공인인증서 의무 사용이 폐지된 2015년 3월 이후 도입됐는데, 4~6자리 비밀번호 입력이나 안면 인식 등으로 본인 인증 후 송금할 수 있는 서비스다.

●간편송금업체에도 예방·환급 의무…왜?

“간편송금 서비스가 보이스피싱범들의 돈세탁 창구가 됐습니다.”

한 금융보안 전문가는 22일 서울신문과의 인터뷰에서 “은행 계좌의 돈이 토스머니, 카카오머니 등 간편송금 충전금으로 세탁되면 현재 시스템상 거래 추적이 쉽지 않아 범인 검거 등에 어려움을 겪는다”며 이렇게 말했다. 보이스피싱 일당은 은행이나 수사기관의 추적을 피하기 위해 보통 피해자의 돈을 대포통장으로 입금받아 ‘A통장→B통장→C통장’ 등으로 옮긴 뒤 출금한다. 이 과정에서 간편송금 충전금으로 한 번 ‘세탁’했다가 다른 통장으로 옮기면 추적이 어려워진다는 것이다. 은행과 간편송금업체 간 정보 공유가 의무화되지 않은 데다 간편서비스는 가상계좌 기반으로 운영되기 때문이다.

편리함을 무기 삼아 최근 송금시장의 ‘공룡’이 된 간편송금 서비스의 어두운 단면이다. 토스와 카카오페이 등 간편송금 서비스업체가 핀테크(정보기술을 바탕으로 한 금융) 산업을 키우려는 정부의 지원 속에 몸집을 급속히 불리고 있지만 정작 보안은 허술하다는 지적이 나온다.

간편송금 서비스의 경우 최근 20~30대 젊은층을 중심으로 이용 실적이 급증하고 있다. 한국은행에 따르면 국내 간편송금 서비스 이용 실적은 지난해 일평균 2346억원(249만건)으로 2년 새 5.7배나 증가했다. 그 사이 업체들도 우후죽순 늘었다. 한국은행이 파악한 업체만 15곳인데, 이 가운데 토스와 카카오페이 점유율이 90% 이상이다.●핀테크 지원에 날개 단 간편송금…“보안엔 취약” 지적

정부도 핀테크 육성을 명분 삼아 간편송금 서비스에 날개를 달아 주고 있다. 최근 금융위원회는 규제입증위원회를 열고 현재 200만원인 간편송금 충전 한도(토스·카카오머니 등으로 충전할 수 있는 한도)를 300만~500만원으로 늘려 주기로 했다.

문제는 보안이다. 간편결제를 악용한 보이스피싱과 부정 결제 사건은 최근 알려진 것만 해도 한두 건이 아니다. ▲토스 고객 8명의 토스머니가 본인 모르게 온라인 가맹점 3곳에서 900여만원 결제된 사건 ▲토스 생체인증 방식을 악용해 200만원을 부정 결제한 보이스피싱 사건 등이 대표적이다.

하지만 이는 빙산의 일각일 가능성이 크다. 서울신문이 미래통합당 성일종 의원실을 통해 입수한 금융위의 ‘보이스피싱 등 금융사기 방지를 위한 데이터 활용 체계 구축방안 연구’(금융보안원 작성) 보고서에 따르면 연구진과 인터뷰한 금융투자회사 관계자는 “카카오페이, 토스 등을 통한 송금 사기가 많다. 이 업체들을 통한 송금 횟수가 너무 많은 계좌는 아예 거래를 차단하고 있다”고 말했다. 금융위가 통신사기피해환급법을 개정해 간편송금업체에 사기 피해 예방 의무를 지우려는 것도 금융계 의견이 반영된 조치로 알려졌다.

간편송금을 통한 보이스피싱 사건 등이 잇따르고 있지만 피해자 수나 피해액이 얼마인지는 정확히 알 수조차 없다. 간편송금업은 통신사기피해환급법의 적용 대상이 아니어서 수사 당국이 범죄 정보를 얻는 데 한계가 있기 때문이다. 금융감독원에 따르면 2018년 1월부터 10월까지 토스 등 주요 간편송금업체 4곳을 통한 보이스피싱 피해액은 약 3600만원으로 접수됐는데, 이는 간편송금앱과 연결된 은행 계좌에서 빠져나가 은행이 신고한 액수일 뿐 간편앱 충전금이 얼마나 빠져나갔는지는 확인할 수 없다.

간편송금업체뿐 아니라 보이스피싱 등에 대응하는 전체 시스템 자체가 개선돼야 한다는 의견도 나온다. 금융보안원은 금융위의 의뢰로 작성한 보고서에서 ▲금융사기에 쓰인 전화번호를 이용 중지시키는 데 너무 오랜 시간(14.4일)이 걸리고 ▲피싱사이트를 차단하는 데도 평균 4시간이 걸려 이를 보완해야 한다고 지적했다. 중장기적으로는 국가 차원의 사기방지센터(CFC)를 만들어 전자금융사기 대응을 위한 정책 수립과 집행을 맡겨야 한다고 제안했다.

김승주 고려대 정보보호대학원 교수는 “기술적 수단 보완에만 주목해서는 금융사기를 막는 데 한계가 있다. 이에 더해 보안 사고는 어느 정도 일어날 수밖에 없으니 업체들이 피해자에 대한 배상 정책에도 신경을 써야 한다”며 “(세계 최대의 간편결제 플랫폼인) 페이팔도 지난해 피해자들에게 배상한 금액이 11억 달러(약 1조 3000억원)나 됐다”고 말했다.

유대근 기자 dynamic@seoul.co.kr
홍인기 기자 ikik@seoul.co.kr