다음 3가지 시나리오를 생각해 보자.
- 사용자가 금융 기관을 사칭하는 발신자로부터 전화를 받는다. 발신자는 현재 사기 사건을 조사 중이며, 보낸 확인 코드를 불러달라고 요청한다(거의 항상 암호화되지 않은 SMS 문자로 요청하는데, 어떤 기업도 이렇게 해서는 안된다). 기업은 입버릇처럼 "우리는 고객에게 비밀번호를 절대 묻지 않는다"고 하지만, 실제로는 많은 기업이 사용자 본인 확인을 위해 코드를 묻는다. 따라서 확인 코드 요청은 사용자 입장에서 딱히 의심할만한 요구는 아니다.
- 사용자가 ATM 기기 앞에 서서 돈을 인출하려고 하고 있고, 옆에는 누군가가 그의 머리에 총을 겨눈 채 "5,000달러를 주지 않으면 죽이겠다"고 협박 중이다.
- 수술비가 필요하다는 친척에게 사기를 당해 계좌에서 돈을 인출해서 건넨다.
3가지 시나리오 모두 사용자를 대상으로 한 사기다. 그렇다면 금융 기관은 3번 시나리오에서 배상을 해야 할까? 2번 시나리오는 어떨까? 많은 금융 기관은 사용자가 규칙을 엄격하게 따르지 않은 경우 배상할 의무가 없다고 주장한다. 그러나 1번 시나리오의 사용자가 발신자가 은행이라고 진심으로 믿었다면 어떻게 될까? 그 믿음이 배상 여부 결정에 반영되어야 할까? 이러한 종류의 사기 배상 결정은 모든 기업에 영향을 미칠 수 있다. 공공기관 또는 소매업체, 호텔, 자동차 대리점 이용자가 사기꾼으로 인해 피해를 봤다면 기업의 배상 의무는 어디까지일까?
뉴욕 사건의 경우 논쟁의 중심에 금융 기관이 사용자에 대한 배상을 회피하기 위해 사용하고 있는 송금에 대해 모호하고 오래된 규칙이다. 이런 규칙은 모바일 및 온라인 송금이 보편화되기 훨씬 이전에 만들어졌다.
뉴욕 검찰은 "씨티은행은 사기범이 전자적으로 개시한, 씨티은행 자체의 승인되지 않은 EFT에 EFTA(1978년 전자금융거래법)를 적용하지 않으면서, 이에 대해 은행 간 송금에 관한 협소하고 적용 불가능한 예외를 근거로 든다. 또한 씨티은행은 같은 계좌와 관련된 인출 요구가 거절되고 불과 몇 분 이내에 접수된 인출 요청에 대해 씨티은행 자체의 가장 엄격한 확인 절차를 적용하지 않는다. 씨티은행은 요청을 직접 확인할 수 없는 경우(소비자와 직접 연락이 되지 않거나, 연락 시 사기범이 부정확한 정보를 제공) 종종 이러한 사기성 인출 요청을 취소한다. 그러나 사기범이 몇 분 후에 같은 계좌를 사용해 같은 금액으로 새 요청을 접수하더라도 더 엄격한 심사가 적용되지 않는다. 오히려 씨티은행은 그 이후의 사기성 인출 요청에 대해 더 느슨한 확인 절차를 사용하기도 한다"라고 설명했다.
공소장에서 검찰 측이 지적한 더 중요한 점은 사기를 신고해도 씨티은행이 제대로 된 조사에 착수하지 않는다는 것이다. 또한 씨티은행은 사고 사실을 인지한 경우에도 계좌 출금을 차단해 사기를 중단시키는 것이 아니라 사용자가 현지 지점을 방문하도록 해서, 결과적으로 공격자에게 더 많은 돈을 훔쳐 사법 기관의 손이 닿지 않는 곳으로 옮길 수 있는 충분한 시간을 준다.
전 그랜트 손튼(Grant Thornton) 대표이며 현재 오디언트 그룹(The Audient Group)의 CEO인 린다 밀러는 "그동안 은행은 어떠한 유의미한 방식으로도 책임 추궁을 당하지 않았다. 은행이 사기를 진지하게 받아들일 만한 당국의 규제가 없었다"라고 말했다. 이 문제에 대한 적절한 해결 방법은 연방법을 바꿔 사용자가 당하는 사기 피해에 대한 은행의 책임을 명시하는 것이다. 그러나 밀러는 그렇게 될 가능성은 거의 없다고 본다. 그는 "은행은 매우 강력한 로비 그룹을 보유한 만큼 법이 바뀔 가능성은 희박하다"라고 말했다.
필자 개인적으로는 뉴욕주 검찰의 공소장 전문(읽어 보기를 권장함)에 전술적 오류가 있다고 본다. 배상 문제를 다루는 데 집중하지 않고 씨티은행이 사용하거나 사용하지 않는 사이버 보안 메커니즘까지 다루고 있다. 관련된 사안이긴 하지만, 덕분에 사건의 초점이 씨티은행의 보안 기술로 확장돼 씨티은행이 구구절절 이야기를 늘어놓을 수 있는 길을 열어줬다. 결국 중요한 논점에 대한 주의가 분산된다.
뉴욕 검찰은 사용자가 입은 사기 피해에 대해 금융 기관이 전액을 배상하도록 강제하는 데 집중해야 한다. 더 나은 보안 대책을 요구하는 데 초점을 맞추면 금융 기관은 상황을 모면하기 위한 최소한의 조치만 취할 가능성이 높기 때문이다. 검찰이 모든 사기에 대한 강제 전액 배상에 초점을 맞추면 은행과 기관은 사이버 보안을 자사의 직접 손실을 줄이는 수단으로 보게 된다. 적절한 조처를 할 가능성이 높아진다.
이제 처음의 중요한 질문으로 돌아가 보자. 기업은 어떤 경우에 사기에 대해 배상해야 할까? 사용자가 허술한 또는 교묘한 사기꾼에게 속아 자신의 의지로 돈을 인출해 건넨 경우 금융 기관에 책임이 있을까? 사용자가 상대방이 은행 담당자라고 진심으로 믿은 경우에는 어떻게 해야 할까? 그 반대도 생각해보면 금융 기관의 우려에도 정당한 부분이 있다. 이들은 모든 사기를 배상할 경우 이른바 '가짜 사기'가 횡행할 것으로 우려한다. 예를 들어 사용자가 친구와 짜고 외국 은행 계좌로 송금한 다음 사기 피해를 보았다며 배상을 요구하는 식이다. 이런 식으로 돈을 두 배로 챙길 수 있다.
하지만 이 문제를 해결하기는 쉽다. 금융 기관은 모든 사기에 대해 배상하고 나중에 자체적으로 조사를 해서 사기가 거짓이라고 판단된다면 해당 사용자를 신고해 사법 기관의 처분에 맡기면 된다. 이것이 "고객이 사기에 당해 송금한 척하면 어떻게 하느냐?"는 은행의 질문에 대한 답이다. "잡히면 교도소에 간다는 두려움"으로 이런 행위를 억제하는 것이다. 금융 기관 입장에서는 사기를 잡아내면 바로 손실을 줄이거나 수익이 된다. 반면 이를 법원에서 다뤄야 하는 경찰, 검찰은 사용자의 정당한 사기 피해 신고를 의심할 동기가 금융 기관에 비해 훨씬 적다. 즉, 금융 기관이 판사나 배심원을 충분히 설득할만큼 사기임을 입증해야 한다는 것이 이 문제에 대한 적절한 해답이다.
이 문제를 해결하는 다른 방법도 있다. 금융 기관에서 조사를 해서 사기의 첫 징후가 발견되는 즉시 계좌를 동결하고 의심스러운 활동을 탐지해 차단하는 더 효과적인 절차를 만드는 것이다. 실제로 이를 위해 참고할 수 있는 성공사례가 있다. 바로 결제 카드 시스템(신용카드와 직불카드 모두 해당됨)이다. 비자, 마스터 카드, 아멕스 등의 카드를 취급하는 은행은 사기 가능성이 높은 카드 결제 행위를 탁월하게도 즉시 포착해 낸다. 기업과 사용자 계좌를 취급하는 은행도 똑같이 하면 된다.
editor@itworld.co.kr
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.