"방금 250만원 본인이 직접 결제하신 건가요?"
김지연(가명)씨는 지난해 5월 쿠팡 본사로부터 이런 내용의 전화를 받았다. 김씨가 쿠팡 홈페이지에 들어가보니 자신도 모르는 사이 해당 금액이 쿠페이(쿠팡페이)로 결제된 상태였다. 쿠팡에선 김씨의 아이디를 즉각 이용 정지해 추가 피해를 막았다. 경찰 수사 결과 휴대폰에서 개인 정보를 빼돌려 대포폰을 개설한 범인이 피해자의 쿠팡 아이디와 패스워드를 알아내 쿠페이로 부정결제를 저지른 것으로 드러났다.
지난해 쿠페이 같은 전자금융거래 플랫폼(전자금융거래사업자)을 통한 부정결제 사고 피해액이 2019년보다 4배 가까이 증가한 것으로 집계됐다. 이는 직전 4개년도의 피해액을 합한 것보다 큰 규모다. 신종 코로나 바이러스 감염증(코로나19) 여파로 비대면 결제가 늘어난 영향이다.
11일 조선비즈가 윤창현 국민의힘 의원실을 통해 입수한 금융감독원 자료에 따르면 지난해 전자금융거래 플랫폼의 부정결제 사고 피해액은 전년 7742만원보다 3.6배 증가한 2억8033만원이었다. 지난 4년간(2016~2019년) 피해액을 모두 합한 1억9743만원보다도 41.98% 많다. 이는 조사 시기 이전인 2020년 10월까지 금액으로, 11월·12월을 고려하면 피해액은 더욱 클 것으로 예상된다.
지난해 사고 건수는 43건으로 전년 22건보다 2배 가까이 늘었다. 1건당 평균 피해액은 ▲2016년 598만원 ▲2017년 439만원 ▲2018년 125만원 ▲2019년 351만원 등으로 나타났는데, 지난해에는 651만원으로 역대 최대를 기록했다.
부정결제 사고는 대부분 메신저피싱에서 비롯됐다. 피싱범이 메신저로 이용자 정보를 부정 획득해서 대포폰으로 간편결제 서비스에 가입하고 결제를 진행하는 식이다. 이용자의 온라인몰 아이디와 비밀번호를 알아내 로그인한 뒤 간편결제 서비스를 통해 결제를 진행하는 방법도 있었다.
지난해 발생한 토스 부정결제 사고도 대표적 사례다. 작년 6월 모 온라인 가맹점 3곳에서 8명의 토스 고객 명의로 돌연 1000만원가량이 결제되는 일이 발생해 논란이 됐다. 토스 측은 내부 전산망 해킹에서 비롯된 것이 아니라, 제3자가 다크웹 등 다른 곳에서 도용한 개인정보를 이용해 사고가 발생했다고 설명했다. 피해 사례의 경우 5자리 결제번호(PIN)·생년월일·이름 등만 있으면 가능한 ‘웹 결제’ 방식에서 비롯됐기 때문이다. 토스는 해당 사고 이후 웹 결제를 보안이 더 강화한 ‘앱 결제’로 모두 전환하는 조치를 완료했다.
금융당국은 금융 플랫폼 이용이 활성화하고 코로나로 인해 비대면 거래가 증가하면서, 부정결제 사고도 자연스레 늘어난 것으로 보고 있다. 금감원 관계자는 "가까운 친척을 빙자하고 주요 정보를 빼내서 이를 부정결제에 악용하는 금융 범죄가 늘고 있다"면서 "피해자에게서 직접 돈을 건네받던 보이스피싱보다, 비대면 금융결제를 통한 메신저피싱이 범인을 검거하기 더 어렵다는 점을 악용한 수법으로 보인다"고 말했다.
자연스러운 증가분이라는 시각도 있지만, 일각에선 보안 경각심을 더욱 높여야 한다는 목소리도 나온다. 공인인증서라는 한정적인 수단으로 결제 서비스를 이용했던 과거에 비해, 간편 인증 서비스 도입이 확대되는 등 본인 인증 문턱이 낮아지면서 이러한 부정결제 사고는 계속 증가할 수 있기 때문이다.
윤창현 의원은 "간편결제가 오히려 소비자를 불편하게 하는 사례가 늘고 있다"며 "비대면 거래에서 보안은 소비자 보호의 핵심인 만큼 인증 및 결제 시스템에 대한 상시 점검이 필요하다"고 말했다.
금융당국에선 이상금융거래탐지시스템(FDS)으로 부정결제 사고를 방지하고 있다는 입장이다. FDS란 전자금융거래에서 생성되는 접속정보와 거래내역 등을 종합적으로 분석하는 시스템이다. 금융사가 소비자의 이용 정보를 실시간으로 지켜보다가 이상 금융 거래가 의심되면 소비자에게 연락해서 직접 결제 여부를 확인하는 것이다.
금융 플랫폼을 운영하는 일부 핀테크업체들은 부정결제 사고 대책의 하나로 ‘선보상제’를 도입하기도 했지만, 이를 악용한 ‘블랙 컨슈머’의 신고도 잇따르고 있어 또 다른 골칫거리가 되고 있다. 네이버페이·카카오페이·토스 등은 자사 플랫폼을 통한 명의도용·보이스피싱 고객 피해에 대해 사안 규명에 앞서 전액을 환불해주는 제도를 시행하고 있다.
한 핀테크업계 관계자는 "어린 자녀가 자신의 휴대폰을 가지고 놀다가 지인에게 잘못 송금된 일이 있었는데, 이 역시 부정결제라며 전액 보상을 요구하는 민원도 있었다"며 "모든 신고에 대해 무조건 전액 보상을 실시하지 않고, 경찰에 신고가 접수되는 등 어느 정도 부정결제 피해임이 증명될 수 있는 경우 신고를 접수하는 등 전액 보상제가 악용되지 않도록 대책을 강구하고 있다"고 설명했다.