[취재파일] 나흘 만에 16억…보이스피싱, '아직도 속냐'는 냉소에 대하여

최근 보도한 보이스피싱 피해 사례 리포트에 달린 댓글들입니다. 보이스피싱 보도엔 어김없이 "당하는 사람이 문제"라는 냉소나 조롱이 따라붙곤 합니다. 하지만 단순한 개인의 부주의 탓으로 치부하기엔 상황은 훨씬 심각합니다. 올 들어 7월까지 발생한 보이스피싱 피해액은 7766억 원. 역대 최고 액수로, 작년 같은 기간 대비 피해액이 배로 늘었습니다. '아직도 당하는 사람'이 있다는 건 그만한 이유가 있는 게 아닐지, 저도 이번 취재를 통해 자세히 들여다보게 됐습니다. 지난주 만난 홍의준 씨 어머니는 최근 보이스피싱 범죄로 나흘 만에 16억 원을 잃었습니다. 카드 배송 기사의 전화 한 통이 발단이었습니다. 카드를 시킨 적 없다고 하자 '명의가 도용당한 것 같다'며 고객센터 번호를 안내 받았고 시키는 대로 앱을 설치했는데 그게 바로 원격 제어 앱이었습니다. 이후 검사와 금융감독원 직원이라는 사람들이 차례로 전화를 걸어와 자산 검수가 필요하다며 혼을 빼놓았고 30회에 걸쳐 16억 원을 송금했습니다. 최근 부쩍 증가한 카드 오배송 빙자 수법입니다.

이미 많이 알려진 수법이라고는 하지만 전문가들은 최근 보이스피싱 범죄를 들여다보면 단순한 사기 수법이 아니라 감정과 판단까지 정밀하게 조종하는 심리 조작 범죄로 진화했다고 분석합니다. 카드 배송이나 결제 오류 같이 현실에서 흔히 있을 법한 상황 설정으로 경계심을 누그러뜨리는 게 첫 번째 스텝. 곧이어 금감원과 검찰 등 선역과 악역 역할을 나눠 심리적 혼란을 유도합니다. 도움을 주는 사람과 위협하는 사람이 동시에 여러 명 등장해 판단을 흐리게 하고, 조바심 속에서 즉흥적으로 행동하게 만드는 겁니다. 상황별 시나리오를 만드는 속칭 '개발팀'이 있는 보이스피싱 조직들도 있다고 합니다. 이렇듯 보이스피싱 범죄는 날로 교묘해지고 조직화하고 있습니다. 교묘한 수법도 수법이지만, 홍 씨 가족은 최근 주거래 은행을 상대로 소송을 제기했습니다. 은행이 보이스피싱 피해를 충분히 막을 수 있었는데 제대로 된 조치를 하지 않았다며 은행의 시스템을 문제 삼고 나선 겁니다. 당시 보이스피싱범들은 은행 앱을 통해 비대면으로 홍 씨 어머니 예금 5개를 10분 만에 해지했습니다. 이 과정에서 인증서까지 새로 발급했는데요. 16억 상당 예금 상품 5개를 해지하는 동안 적절한 본인 확인 조치를 하지 않았다는 게 홍 씨 측 주장입니다. 또 은행이 초반에 의심 거래를 탐지했음에도 적극적으로 예방 조치를 취하지 않았다는 점도 문제 삼았습니다. 수십 차례에 걸쳐 거액이 송금되는 동안 사기가 의심된다는 전화와 문자를 발송하는 데 그쳤다는 겁니다. 이미 보이스피싱 일당의 현란한 기관 사칭 '롤 플레이'에 혼란을 겪고 있는 피해자들에게 "은행인데 조심하세요"라는 단순 고지가 실효성 있는 조치가 될 수 있냐는 문제 제기입니다. 최근 홍 씨 사례처럼 보이스피싱, 스미싱 범죄 피해자들이 은행이나 금융사를 상대로 소송을 거는 사례가 늘고 있습니다. 은행이나 금융사가 본인 확인 조치나 피해 방지를 위한 노력을 충분히 안 했다는 취지입니다. 실제로 지난해 스미싱 범죄로 금융사기가 발생한 경우 본인 확인을 철저히 하지 않은 금융기관 책임이 크단 법원 판단이 나오기도 했는데요. 최근 급증하는 스미싱 등 범행의 특수성을 고려했을 때 은행과 보험사가 본인 확인을 더 엄격하고 철저히 했어야 했다며 피해자 손을 들어준 겁니다. 비슷한 문제 의식에서 정부는 지난주 보이스피싱 근절 대책을 발표했습니다. 보이스피싱 범죄와 관련해 금융사와 이동통신사의 관리 책임을 대폭 강화하기로 한 게 골자인데요. AI와 해킹, 심리학자까지 동원해 고도화되고 거대화한 보이스피싱 범죄가 이제 개인이 막을 수 있는 수준을 넘어섰다는 게 정부 판단입니다. 정부는 우선 '통신사기 피해 환급법'을 제정해 금융회사가 보이스피싱 피해액을 배상하도록 하겠다고 밝혔습니다. 돈을 보내고 받는 과정에서 이상거래를 탐지할 수 있는 전문성과 인프라를 갖춘 금융사들에게 법적 책임을 지우겠다는 겁니다. 이미 미국과 영국, 싱가포르에서는 보이스피싱에 대해 금융회사의 고의나 과실을 가리지 않고 책임을 물리는 '무과실 책임'을 인정하고 있는데요. 미국과 영국에서는 송금한 은행과 수취한 은행이 50 대 50으로 배상 책임을 지고 있고, 영국에서는 은행이 의심스러운 송금을 정지하고 관련 데이터를 공유받을 수 있는 제도도 있습니다. 싱가포르는 금융회사와 함께 통신사도 함께 책임을 지는 게 특징입니다. 금융회사가 1순위로 책임을 지고, 금융회사가 책임을 다했다면 2순위로 통신사가 책임을 지게 됩니다. 만약 통신사도 의무를 다했다면, 그때 피해자가 책임지는 방식입니다.

정부는 이런 국외 사례를 참고해 금융회사 등 보이스피싱 예방에 책임 있는 주체들이 피해 금액의 일부나 전부를 배상할 수 있도록 법률 근거를 마련한다는 방침입니다. 또 대포폰 유통을 막기 위해, 휴대전화 불법 개통에 대한 이통사의 관리책임도 대폭 강화하기로 했는데요. 만약 관리 소홀로 불법 개통이 다수 발생할 경우 해당 이통사는 등록취소나 영업정지와 같은 강력히 제재하겠다고 밝혔습니다. 결국 보이스피싱 범죄 피해를 더 이상 개인 혼자서 감당하지 않게 하겠다는 건데, 금융권 반발도 만만치 않습니다. 정부조차 해결하지 못한 문제를 금융사에 전가하는 것은 납득하기 어렵단 반응입니다. 금융사의 과도한 배상 책임, 소비자의 도덕적 해이 같은 문제들이 발생할 수 있다는 우려들이 대표적인데요. 금융사의 비용 부담이 고객 수수료나 대출 금리에 전가되는 부작용이 있을 수도 있습니다. 또 소비자가 범죄 예방을 위해 주의 노력을 얼마나 기울였는지 평가하기 애매해 분쟁이 늘어날 것이라는 전망도 있습니다.

핵심은 배상 요건과 한도, 면책 기준을 어떻게 마련하느냐에 달려 있습니다. 금융사들에 상당한 부담이 따르는 문제인 만큼 충분한 의견 수렴을 하겠다는 게 금융 당국의 입장인데요. 개인이 홀로 막아내기 힘든 범죄로 진화하고 있는 보이스피싱, 그렇다고 금융사에만 무한 책임을 지울 수도 없을 겁니다. 피해자 보호와 금융사 부담 사이, 납득할 수 있는 기준을 세우고 그 범위를 정교하게 설계할 필요가 있어 보입니다.