범죄 모니터링 부실한 ‘상호금융’, 피싱범이 즐겨찾는 ‘낚시터’였다[알낚모털②]

시중은행 대비 열악한 인력
KB국민은행 12명이 700곳 관리
상호금융, 단기간 비정규직 채용
새마을금고는 타 업체 위탁운영

시스템 부실…뒤처지는 대응
범죄 시나리오도 51개 ‘최소한도’
우리·신한은행 250~300여개 운영
대포통장 개설 시 페널티도 없어

전체 피해 건수 줄어드는데
단위농협 피해 건수 2년째 증가
정부도 마땅한 제재 수단 없어
결국 예산·인력 늘려 해결해야

#모니터링 화면을 보던 최모 팀장이 주저 없이 마우스로 ‘지급정지’ 버튼을 눌렀다. 74세 고객이 만기가 한참 남은 5000만원짜리 정기예금을 해지하자마자 고객의 다른 계좌에 본인 인증을 위한 ‘1원’이 입금됐다. 전형적인 보이스피싱 수법이다.

“당신 은행원 맞아? 경찰 아니야?” 출근길 아내의 면박은 최 팀장이 상품개발팀을 떠나 보이스피싱 모니터링팀에 합류한 5년 전부터 늘 따라붙는다.

그의 업무는 실제로 경찰과도 닮았고, 한편으론 ‘어부’를 연상케 했다. 때마다 유행하는 보이스피싱 범죄 패턴을 분석하고 이를 토대로 100여개 가상 시나리오를 구성한다. 은행에서 실시간 발생하는 수만건의 정상거래들 가운데 범죄 시나리오에 들어맞는 ‘이상거래’를 걸러내기 위해 범죄자를 잡는 그물(시나리오)을 던지는 게 최 팀장의 일이다.

‘고령 고객-예금 해지-1원 인증’ 조합도 그물에 걸린 보이스피싱 수법이다. 범인은 훔친 개인정보로 고객의 예금을 해지했을 것이다. 휴대폰도 ‘좀비’ 상태로 만들어 통화를 차단했을 것이다. 그리고 ‘1원 인증’으로 개설한 고객 명의의 타행 신규 계좌로 돈을 옮길 생각이었을 테다. 다행히 최 팀장이 계좌를 동결하면서 고객의 소중한돈을 지켰다.

최 팀장은 스스로 ‘범죄자에 빙의한 삶’을 산다고 말한다. 새로운 정부 정책, 금융상품이 나올 때 등장할 만한 범죄 시나리오를 만들어 피해를 예방하고 있다. 은행원과 피싱범의 두뇌게임은 계속된다.

금융기관은 보이스피싱 피해를 막기 위해 자체적으로 ‘모니터링팀’을 두고 있다. 각 영업점이 창구에서 대포통장 개설을 막는 전통적 방식의 예방 활동을 한다면, 본사 모니터링팀은 머신러닝(기계학습) 기반의 이상금융거래감지시스템(FDS)을 돌려 범죄를 예방한다. FDS는 보이스피싱 범죄자들이 이용할 법한 범죄 수법 시나리오값을 기기에 투입, 이와 동일한 거래가 나왔을 때 계좌를 지급 정지하는 범죄 예방 기법이다.

단위농협, 모니터링 인원 ‘10명’이 ‘4700개’ 지점 떠맡아

지난해에는 타인 명의의 계좌로 충전할 수 있다는 맹점을 악용해 스타벅스 카드를 이용하는 피싱법이 생겼다. 신한은행이 이 범죄 시나리오를 모니터링 시스템에 탑재해 범죄를 막아냈다. 다른 시중은행도 이 시나리오를 통해 막으면서 최근에는 스타벅스를 이용한 보이스피싱 시도가 종적을 감췄다.

모니터링 관리직원 A씨의 말이다. “요새 조직폭력배 대신 생긴 게 보이스피싱 조직이에요. 저희 인력의 많게는 10배, 20배 되는 사람들이 범죄 패턴만 연구해요. 저희도 범죄자에 빙의해 실시간으로 범죄 시나리오를 개발하고, 그 값을 시스템에 투입해 방어하죠.” 결국 이 팀에 얼마나 숙련된 인력이 배치되고 많은 시나리오값이 시스템에 탑재됐는지가 보이스피싱 예방 실적과 직결된다.

경향신문은 5대 시중은행과 상호금융기관 3곳에 대한 보이스피싱 모니터링팀 인력 및 전산 시스템 현황을 29일 전수조사했다. 그 결과, 시중은행의 인력 운영은 비교적 상향 평준화했지만 지역단위농협, 신협, 새마을금고 같은 상호금융권은 한참 뒤처졌다.

5대 은행 모니터링 인원은 신한(17명), NH농협(16명), KB국민(12명), 하나·우리(각 11명) 순으로 많았다. 반면 상호금융권의 인력 운영은 상대적으로 열악했다. 제2금융인 단위농협은 10명인데 지점 수가 4700여개에 달했다. 전국 700여개 지점을 12명이 관리하는 KB국민은행과 크게 대조된다. 새마을금고와 우정사업본부(우체국예금)도 별반 다르지 않다. 모니터링팀 인원은 새마을금고(3200개 지점) 8명, 우정사업본부(2400개 지점) 10명으로 각각 지점 수에 비해 턱없이 적은 인력이 편성됐다.

숙련도에서도 차이가 컸다. 시중은행은 모두 정규직 직원이었고 모니터링팀 근속기간도 평균 3~5년에 달했다. 반면 단위농협은 10명이 모두 2년 미만 비정규직이었다. 정규직 전환을 피하기 위해 2년 미만으로 인력을 교체하는 것이다. 우정사업본부는 평균 업무경력이 13개월 이하였다. 새마을금고는 팀 자체를 타 업체에 위탁운영 중으로 본사의 직접 관리에서 빠져 있었다. 업계에선 피싱범의 숙련도를 모니터링 전담반이 따라가지 못하면 감시 역할에 큰 구멍이 생긴다고 말한다.

“보이스피싱 범죄도 유행이 있거든요. 오래 일한 사람들은 과거 패턴을 알고 있으니까 재작년에 유행했던 패턴이 다시 등장했을 때 손쉽게 예방 시나리오를 수정해 범죄에 대응할 수 있어요. 하지만 경력이 짧은 사람은 그런 대응 자체가 어렵죠.”

인력은 시스템의 부실과도 직결된다. FDS는 투입된 시나리오값이 많을수록 더 치밀해지고 더 많은 이상거래를 잡을 수 있다. 하지만 운영인원이 적으면 많은 시나리오값을 감당할 수 없는 상태가 된다. 일일이 지급정지를 누르고 고객에게 이상거래 전화 확인 절차를 밟는 게 현실적으로 어렵기 때문이다. 이에 금융기관은 당국이 정한 최소한의 기준(51개)에 준하는 시나리오 수만 가지고 모니터링팀을 운영한다.

시중은행 중에서는 우리은행과 신한은행이 250~300여개 시나리오를 운용하고 있었다. 반면 우정사업본부·새마을금고는 모두 금융당국 기준선(51개) 정도의 최소치만 유지하고 있다. 이는 큰돈을 낚기 위해 수시로 범죄 수법을 고도화하는 범죄자들과 싸우기 역부족이다. 현직 모니터링 직원 B씨의 말이다. “범죄조직들은 몇가지 시나리오를 갖고 이 은행에서 먹히나, 안 먹히나 시도를 해요. 만약 한 군데가 뚫리면 그곳을 집중적으로 목표로 삼는 것이죠. 시나리오 수가 중요한 건, 걷잡을 수 없이 피해자가 폭증할 수 있기 때문이에요. 2019년 4명에서 이듬해 12명으로 모니터링 요원을 늘리자마자 보이스피싱 건수가 1년 만에 90% 줄어든 은행도 있었어요.”

상호금융권은 대포통장을 개설하거나 의심스러운 고액 인출을 막는 영업점 시스템에도 허점이 있었다. 새마을금고와 우정사업본부는 이런 일이 발생했을 때 영업점에 일종의 페널티를 주는 성과금 감점 체계(KPI)가 없다. 시중은행과 단위농협이 모두 KPI로 엄격하게 관리하는 것과 대조된다.

한 은행 직원은 “KPI에 반영되면 남북 통일도 이룰 수 있다는 은행원 간 농담이 있을 정도로 직원들의 업무 관리에 절대적 영향을 끼친다”며 “KPI에 반영이 안 되면 손님이 의심스러운 통장을 만들려고 해도 거부할 유인이 없다”고 말했다.

경향신문이 강훈식 더불어민주당 의원실을 통해 받은 금융감독원 자료를 보면, 올 들어 6월까지 전체 보이스피싱 피해 건수는 8352건이었다. 피해자가 송금·이체한 피해금이 직접 입금된 사기이용계좌 수를 기준으로 집계한 규모다. 하반기 6개월치를 더 봐야겠지만 2021년 2만9909건, 2022년 2만8644건, 2023년 2만1401건 등 추이를 감안할 때 올해는 피해 건수가 2만건을 밑돌 가능성이 있다. 보이스피싱 피해자 수 자체는 줄고 있는 셈이다.

하지만 이는 주로 시중은행에 해당하는 이야기다. 모니터링 운영이나 KPI가 부실한 상호금융권은 보이스피싱 피해 건수가 늘고 있다. 시중은행이 지난해 연간 1만7332건, 올해 6월 기준 6177건으로 집계된 반면 상호금융권은 지난해 3601건, 올 6월 1985건으로 나타나 이 추세가 지속될 경우 상호금융권의 올해 전체 피해 건수는 지난해 수치를 웃돌 가능성이 크다.

특히 단위농협은 2021년 2639건, 2022년 2683건, 지난해 2704건(윤준병 민주당 의원실)으로 2년 연속 늘었다. 통상 단위농협은 고령 이용자가 많기 때문에 보이스피싱 피해도 많다고 생각할 수 있지만 실상은 달랐다. 오히려 지난해 30대 이하 농협 이용객의 보이스피싱 피해 건수가 총 991건으로, 전년도(356건)에 비해 3배 가까이로 뛰었다.

단위농협 관계자는 “전체 피해 건수가 많이 늘어난 건 아니며, 30대 이하 피해는 대출빙자 사기가 늘면서 커졌다”고 말했다. 새마을금고는 경향신문 질의에 통계는 공개하지 않은 채 “증가·감소 어느 쪽도 맞다고 말할 수 없다”고만 답했다.

업계에선 상호금융권의 FDS가 제대로 운영되지 않았을 가능성이 거론된다. 시중은행들은 범죄 시나리오를 발견하면 타행에 공유하기도 한다. 금감원이 지난해 도입한 민관 합동대응 체계에 따른 것이다. 하지만 인력이 모자란 기관은 타행의 시나리오를 공유받더라도 그 시나리오를 탑재, 운영하기 어렵다. ‘30대+스타벅스+카드충전’과 같은 시나리오가 단위농협 시스템상에 이식되지 않을 수 있는 것이다.

상호금융권은 억울하다는 입장이다. 상호금융은 조합별로 규모가 천차만별이고, 영세조합은 내부통제에 신경 쓸 여력이 부족하다. 중앙회 차원의 보이스피싱 예방을 위한 예산 편성이 잘 안되다 보니, 자산 규모가 1조원이 넘는 대형 조합들도 덩달아 내부통제가 느슨하게 이뤄지고 있다. 한 상호금융 모니터링팀 직원은 “저희 팀이 올해 받은 상만 6개다. 그런데도 피해 건수가 증가하는 건 결국 인력과 예산의 문제”라고 했다.

정부는 마땅한 제재 수단이 없다는 입장이다. 통신사기피해환급법에 따르면 금융기관에 피해가 일정 수준 이상으로 늘면 금감원에 개선계획을 제출해야 한다. 하지만 이것만으론 시의적절하고 효과적인 대안이 마련되지 않는다. 금감원 관계자는 “법 자체가 사후구제, 환급 절차 위주라 예방을 위해선 법 개정이 필요하다”고 말했다.

현재로선 상호금융권이 스스로 예산을 증액해 모니터링팀에 숙련직 인원을 채우도록 기대할 수밖에 없다. 피해자 수는 줄고 있지만 1인당 피해액은 커지고 있다는 점도 숙제다. 시중은행 관계자는 “은행들의 역량은 한계치에 다다랐다. 법을 고치든, 새로운 조직을 만들든 완전히 새로운 보이스피싱 대응 체계가 필요하다”고 말했다.

윤지원·김지혜 기자 yjw@kyunghyang.com

▶ 매일 라이브 경향티비, 재밌고 효과빠른 시사 소화제!
▶ 해병대원 순직 사건, 누가 뒤집었나? 결정적 순간들!

©경향신문(www.khan.co.kr), 무단전재 및 재배포 금지