글로벌 칼럼 | ‘피싱, 협박, 사기…’ 은행이 어디까지 보상해야 할까

최근 뉴욕주 검찰이 사기 피해를 본 사용자에게 배상을 하지 않았다는 이유로 씨티은행(Citibank)을 기소한 사건은 단순히 씨티은행을 넘어 비즈니스 측면에서 생각해 볼 여지를 던졌다. 구체적으로 어떤 경우에 사기 피해자에게 배상해야 하며, 어느 시점부터 사용자가 책임져야 하는지에 대해서다. 확실한 점은 그동안 금융 기관이 아무 잘못도 없는 사용자에게 관례적으로 배상을 거부했다는 것이다. 사용자가 실제로 뭔가 잘못을 한 경우에는 그보다 훨씬 더 까다로운 문제가 된다. 
 

다음 3가지 시나리오를 생각해 보자. 
 

1. 사용자가 금융 기관을 사칭하는 발신자로부터 전화를 받는다. 발신자는 현재 사기 사건을 조사 중이며, 보낸 확인 코드를 불러달라고 요청한다(거의 항상 암호화되지 않은 SMS 문자로 요청하는데, 어떤 기업도 이렇게 해서는 안된다). 기업은 입버릇처럼 "우리는 고객에게 비밀번호를 절대 묻지 않는다"고 하지만, 실제로는 많은 기업이 사용자 본인 확인을 위해 코드를 묻는다. 따라서 확인 코드 요청은 사용자 입장에서 딱히 의심할만한 요구는 아니다. 
2.  사용자가 ATM 기기 앞에 서서 돈을 인출하려고 하고 있고, 옆에는 누군가가 그의 머리에 총을 겨눈 채 "5,000달러를 주지 않으면 죽이겠다"고 협박 중이다. 
3.  수술비가 필요하다는 친척에게 사기를 당해 계좌에서 돈을 인출해서 건넨다. 

3가지 시나리오 모두 사용자를 대상으로 한 사기다. 그렇다면 금융 기관은 3번 시나리오에서 배상을 해야 할까? 2번 시나리오는 어떨까? 많은 금융 기관은 사용자가 규칙을 엄격하게 따르지 않은 경우 배상할 의무가 없다고 주장한다. 그러나 1번 시나리오의 사용자가 발신자가 은행이라고 진심으로 믿었다면 어떻게 될까? 그 믿음이 배상 여부 결정에 반영되어야 할까? 이러한 종류의 사기 배상 결정은 모든 기업에 영향을 미칠 수 있다. 공공기관 또는 소매업체, 호텔, 자동차 대리점 이용자가 사기꾼으로 인해 피해를 봤다면 기업의 배상 의무는 어디까지일까? 

뉴욕 사건의 경우 논쟁의 중심에 금융 기관이 사용자에 대한 배상을 회피하기 위해 사용하고 있는 송금에 대해 모호하고 오래된 규칙이다. 이런 규칙은 모바일 및 온라인 송금이 보편화되기 훨씬 이전에 만들어졌다.

뉴욕 검찰은 "씨티은행은 사기범이 전자적으로 개시한, 씨티은행 자체의 승인되지 않은 EFT에 EFTA(1978년 전자금융거래법)를 적용하지 않으면서, 이에 대해 은행 간 송금에 관한 협소하고 적용 불가능한 예외를 근거로 든다. 또한 씨티은행은 같은 계좌와 관련된 인출 요구가 거절되고 불과 몇 분 이내에 접수된 인출 요청에 대해 씨티은행 자체의 가장 엄격한 확인 절차를 적용하지 않는다. 씨티은행은 요청을 직접 확인할 수 없는 경우(소비자와 직접 연락이 되지 않거나, 연락 시 사기범이 부정확한 정보를 제공) 종종 이러한 사기성 인출 요청을 취소한다. 그러나 사기범이 몇 분 후에 같은 계좌를 사용해 같은 금액으로 새 요청을 접수하더라도 더 엄격한 심사가 적용되지 않는다. 오히려 씨티은행은 그 이후의 사기성 인출 요청에 대해 더 느슨한 확인 절차를 사용하기도 한다"라고 설명했다.

공소장에서 검찰 측이 지적한 더 중요한 점은 사기를 신고해도 씨티은행이 제대로 된 조사에 착수하지 않는다는 것이다. 또한 씨티은행은 사고 사실을 인지한 경우에도 계좌 출금을 차단해 사기를 중단시키는 것이 아니라 사용자가 현지 지점을 방문하도록 해서, 결과적으로 공격자에게 더 많은 돈을 훔쳐 사법 기관의 손이 닿지 않는 곳으로 옮길 수 있는 충분한 시간을 준다.

전 그랜트 손튼(Grant Thornton) 대표이며 현재 오디언트 그룹(The Audient Group)의 CEO인 린다 밀러는 "그동안 은행은 어떠한 유의미한 방식으로도 책임 추궁을 당하지 않았다. 은행이 사기를 진지하게 받아들일 만한 당국의 규제가 없었다"라고 말했다. 이 문제에 대한 적절한 해결 방법은 연방법을 바꿔 사용자가 당하는 사기 피해에 대한 은행의 책임을 명시하는 것이다. 그러나 밀러는 그렇게 될 가능성은 거의 없다고 본다. 그는 "은행은 매우 강력한 로비 그룹을 보유한 만큼 법이 바뀔 가능성은 희박하다"라고 말했다.

필자 개인적으로는 뉴욕주 검찰의 공소장 전문(읽어 보기를 권장함)에 전술적 오류가 있다고 본다. 배상 문제를 다루는 데 집중하지 않고 씨티은행이 사용하거나 사용하지 않는 사이버 보안 메커니즘까지 다루고 있다. 관련된 사안이긴 하지만, 덕분에 사건의 초점이 씨티은행의 보안 기술로 확장돼 씨티은행이 구구절절 이야기를 늘어놓을 수 있는 길을 열어줬다. 결국 중요한 논점에 대한 주의가 분산된다.

뉴욕 검찰은 사용자가 입은 사기 피해에 대해 금융 기관이 전액을 배상하도록 강제하는 데 집중해야 한다. 더 나은 보안 대책을 요구하는 데 초점을 맞추면 금융 기관은 상황을 모면하기 위한 최소한의 조치만 취할 가능성이 높기 때문이다. 검찰이 모든 사기에 대한 강제 전액 배상에 초점을 맞추면 은행과 기관은 사이버 보안을 자사의 직접 손실을 줄이는 수단으로 보게 된다. 적절한 조처를 할 가능성이 높아진다. 

이제 처음의 중요한 질문으로 돌아가 보자. 기업은 어떤 경우에 사기에 대해 배상해야 할까? 사용자가 허술한 또는 교묘한 사기꾼에게 속아 자신의 의지로 돈을 인출해 건넨 경우 금융 기관에 책임이 있을까? 사용자가 상대방이 은행 담당자라고 진심으로 믿은 경우에는 어떻게 해야 할까? 그 반대도 생각해보면 금융 기관의 우려에도 정당한 부분이 있다. 이들은 모든 사기를 배상할 경우 이른바 '가짜 사기'가 횡행할 것으로 우려한다. 예를 들어 사용자가 친구와 짜고 외국 은행 계좌로 송금한 다음 사기 피해를 보았다며 배상을 요구하는 식이다. 이런 식으로 돈을 두 배로 챙길 수 있다. 

하지만 이 문제를 해결하기는 쉽다. 금융 기관은 모든 사기에 대해 배상하고 나중에 자체적으로 조사를 해서 사기가 거짓이라고 판단된다면 해당 사용자를 신고해 사법 기관의 처분에 맡기면 된다. 이것이 "고객이 사기에 당해 송금한 척하면 어떻게 하느냐?"는 은행의 질문에 대한 답이다. "잡히면 교도소에 간다는 두려움"으로 이런 행위를 억제하는 것이다. 금융 기관 입장에서는 사기를 잡아내면 바로 손실을 줄이거나 수익이 된다. 반면 이를 법원에서 다뤄야 하는 경찰, 검찰은 사용자의 정당한 사기 피해 신고를 의심할 동기가 금융 기관에 비해 훨씬 적다. 즉, 금융 기관이 판사나 배심원을 충분히 설득할만큼 사기임을 입증해야 한다는 것이 이 문제에 대한 적절한 해답이다.

이 문제를 해결하는 다른 방법도 있다. 금융 기관에서 조사를 해서 사기의 첫 징후가 발견되는 즉시 계좌를 동결하고 의심스러운 활동을 탐지해 차단하는 더 효과적인 절차를 만드는 것이다. 실제로 이를 위해 참고할 수 있는 성공사례가 있다. 바로 결제 카드 시스템(신용카드와 직불카드 모두 해당됨)이다. 비자, 마스터 카드, 아멕스 등의 카드를 취급하는 은행은 사기 가능성이 높은 카드 결제 행위를 탁월하게도 즉시 포착해 낸다. 기업과 사용자 계좌를 취급하는 은행도 똑같이 하면 된다.
editor@itworld.co.kr