정부가 은행의 팔을 비틀어 내놓은 대책인 만큼 처음부터 한계가 있을 수밖에 없다는 지적이 나온다. 정보보호업계는 사후 조치인 피해보상보다 첨단 보안기술 도입 등 선제적 예방에 집중해야 한다고 강조한다.
5대 시중은행 등 금융권이 지난 1일부터 시행한 ‘비대면 금융사고 책임분담기준’를 살펴보면, ‘이용자 본인이 직접 지급지시한 금융거래’는 신청 제외대상이다. 여기엔 가족사칭·협박·대출사기 등 제3자의 지시에 의한 금융거래도 포함된다. 대다수 피해자가 보이스피싱범에게 속아 직접 이체하므로 사실상 제도 취지가 무색하다는 지적이다.
간편송금(OO페이)을 통한 금융거래와 휴대폰을 탈취해 상품권 등 물품 구매하는 이른바 ‘카드깡’도 대상에서 제외되는 등 곳곳에 예외를 뒀다. 또 스마트폰에 불법 애플리케이션이나 악성코드가 설치돼 있으면 피해자에게 과실이 부과된다.
이 때문에 제외대상, 유의사항, 과실여부 등 고려 시 책임분담금을 받지 못하거나 최소한(20%)만 받게 되도록 설계돼 있어 효과가 미미하다는 지적이 나온다.
은행권은 제도 도입으로 보이스피싱 범죄 구제에 용이해졌고 제도 악용을 예방하기 위한 조치라고 설명한다.
한 은행 관계자는 “기존에 배상하지 않는 부분까지 배상해야 하므로 실효성이 없다는 지적은 받아들이기 어렵다”며 “소비자도 예전보다 배상받기가 수월해졌다”고 말했다. 그러면서 그는 “사고예방을 위한 관리와 책임이 커진 점도 감안해야 한다”고 덧붙였다.
또 다른 은행 관계자는 “제도 악용 소지가 있어 대상자를 엄정히 선정할 수밖에 없다”면서 “관련 예산도 상당한 수준으로 편성한 만큼 유명무실하거나 실질적 효과가 없다고 할 수 없다”고 말했다.
앞서 지난해 10월 5일 금융감독원과 19개 은행은 비대면 금융사고 예방 노력 이행을 약속하는 상호협약을 체결했다. 은행은 비대면 금융사고가 발생해 소비자에게 금전적 피해가 발생하는 경우 은행의 예방 노력 수준과 이용자의 과실 정도를 종합 고려해 합리적 범위 내에서 분담금액을 결정하기로 했다.
정보보호업계에선 정부 압박에 은행권이 내놓은 사후 보상 대책은 한계가 있고 번지수를 잘못 짚은 정책이라고 꼬집는다. 소비자와 은행 간 다툼만 커지는 처사라는 것이다. 근본적 대책은 고도화하는 피싱 수법을 막는 보안 솔루션이라고 강조한다.
피싱 사기범과 해커는 모든 업권을 통합·응용한 공격을 일삼는데 기관은 사기형태를 구분해 개별 대응하는 데 머물러 있다. 더욱이 편하고 쉬운 사이버 금융 환경일수록 사기범과 해커가 날뛰기 좋은 조건이라는 평가다.
정보보호업계는 비대면 금융사기 추세에 대한 정확한 분석도 필요하다고 강조했다. 보이스피싱에 의한 본인 직접 송금·결제 비중은 줄어드는 반면 스미싱·메신저피싱·신용카드피싱 등 소비자가 인지하지 못하는 상황에서 발생하는 피해는 늘고 있다. 실제 2022년 메신저피싱 비중은 63.9%로 2년새 48%포인트(P)가량 증가했다.
정보보호업계 관계자는 “금융권이 고객 확보와 이탈방지를 위해 경쟁적으로 면피 정책을 준비한 것”이라”고 지적했다.
그러면서 그는 “스마트폰과 분리된 매체를 함께 활용해 스마트폰 탈취만으론 금융거래를 할 수 없는 보안 솔루션 등 피싱 피해를 사전에 차단하기 위한 다양한 솔루션 도입이 필요하다”고 말했다.
조재학 기자 2jh@etnews.com, 김시소 기자 siso@etnews.com