전체메뉴

[애플경제 전윤미 기자] 보안당국이 최근 기승을 떠는 ▲가상자산을 이용한 보이스피싱, 선불업 등을 통한 보이스피싱, ▲ 통장협박 보이스피싱 등에 대한 대응방안을 제시하고, 관련 법 개정이나 입법을 서두르고 있어 주목된다.

우선 가상자산을 이용한 보이스피싱의 경우도 일단 범인은 금융회사 계좌로 피해금을 받은 후 이를 가상자산으로 구매해 현금화하는 수법을 쓴다. 우선 본인이 점유한 금융회사 계좌로 피해금을 받고 이를 가상자산거래소로 보내 가상자산을 구매하는 방식이 있다. 또 수수료를 주겠다며 가상자산 구매대행자를 구한 다음, 그로 하여금 피해자 돈으로 가상자산을 구매해 범인에게 전송하는 수법이 있다.

이 경우 우선 금융회사는 피해금이 가상자산거래소(甲) 계좌로 간 경우 가상자산거래소(甲) 계좌에 대해 지급정지를 한다. 다행히도 피해금이 그대로 가상자산거래소(甲) 계좌에 남아있다면 금융회사는 피해금 환급절차를 거쳐 피해자에게 피해금을 환급할 수 있다.

현행법, 피해금 가상자산으로 전환시 대책없어

그러나 범인 또는 구매대행자가 가상자산거래소(甲)를 통해 이미 가상자산을 구매한 경우에는 피해금이 가상자산으로 전환된 상태다. 이런 경우 가상자산은 금융회사의 계좌가 아니라 가상자산거래소의 계정에서 관리된다. 현행 ‘보이스피싱법’상 금융회사 계좌만 지급정지가 가능하며, 피해금이 가상자산으로 전환된 경우 가상자산거래소 계정은 지급정지가 불가능하다. 이에 “범인 또는 구매대행자가 이미 가상자산을 구매한 경우 가상자산거래소에 있는 범인 계정에 대한 지급정지를 할 수 없다”는게 금융보안원의 지적이다.

피해자는 본인의 가상자산거래소 계정(전자지갑)에서 직접 가상자산을 구매해 범인의 전자지갑으로 전송한 경우도 마찬가지다. 이때 피해자는 범인이 이용하는 가상자산거래소에 지급정지를 요청해야 하는데 현행 ‘보이스피싱법’상 불가능하다. 또한 피해자는 범인의 전자지갑 주소만으로는 범인의 전자지갑을 관리하는 가상자산거래소를 알 수 없다.

이에 금융당국과 금융보안원 등은 가상자산거래소에 대해서도 ‘보이스피싱법’을 적용하는 방안을 추진하고 있다. 보이스피싱 피해가 발생할 경우 가상자산거래소에도 금융회사와 동일한 피해구제 절차를 적용함으로써 피해자를 보호한다는 취지다.

이를 통해 피해금이 가상자산으로 전환된 경우라도, 가상자산거래소는 즉시 범인의 계정을 정지하고 피해자 구제절차를 진행하게 한다. 이를 위한 ‘보이스피싱법’ 개정안이 오는 4월 중 의원입법으로 추진될 예정이다.

법 개정으로 가상자산 현금화 경우도 대응

또 범인이 가상자산으로 보유한 피해금을 현금화하는 방법은 세 가지다. 즉 △국내거래소에서 가상자산을 처분하여 현금화하는 방법과 △국내거래소에서 해외거래소로 가상자산을 보내 해외에서 현금화하는 방법, 국내거래소에서 개인 전자지갑으로 가상자산을 보내 현금화하는 방법 등이다.

현재는 가상자산거래소가 해당거래소 이외의 전자지갑으로 가상자산을 전송할 때 일정기간 가상자산 전송을 제한하는 숙려기간을 도입하고 있다.

< 가상자산을 다른 곳으로 전송할 때 숙려기간 >

또 국내 가상자산거래소에 있는 가상자산을 해외거래소 또는 개인이 생성한 전자지갑으로 전송할 경우 일정한 제한을 두도록 한다. 해외거래소에 전송할 경우도 국내거래소는 협약을 맺은 해외거래소에 한해 본인이 만든 전자지갑으로만 송부할 수 있도록 한다.

개인이 생성한 전자지갑으로 출금할 때도 본인이 직접 생성한 전자지갑에 한해 출금을 가능토록 한다.

그러나 ‘보이스피싱법’을 전면 적용할 경우도, 가상자산이 국내거래소에 그대로 남아 있다면 피해금 환급이 가능하나, 가상자산이 해외거래소나 개인 전자지갑으로 출금된 경우 자금추적이 어려울 수 있어 피해금 환급이 어려워질 우려가 크다.

또한, 해외거래소나 개인 전자지갑으로 가상자산을 출금할 때 본인확인을 하고 있지만 범인이 이를 회피할 수도 있다. 국내 가상자산거래소와 협약을 맺은 해외거래소에서 발급받은 전자지갑인 것처럼 속이는 경우도 가능하다. 개인이 만든 전자지갑의 경우 국내 가상자산거래소는 본인이 생성한 전자지갑인지 여부를 확인하고 있지만 이를 회피할 여지도 크다.

이에 해외거래소나 개인이 생성한 전자지갑으로 가상자산을 전송할 경우 본인확인을 강화할 필요가 있다. 금융보안원은 이를 위해 오는 7월부터 가상자산거래소의 본인확인 관련 취약점을 점검하고 필요한 제도를 개선할 방침이다. 특히 가상자산을 다른 가상자산거래소, 개인이 생성한 전자지갑으로 전송 시 동일한 숙려기간을 도입할 계획이다.

이는 가상자산거래소 시스템 변경이 필요하므로 2024년부터 시행할 방침이다. 가상자산거래소에도 지급정지 등 피해구제절차가 적용되므로 가상자산을 이용한 보이스피싱 유인이 크게 감소할 것이란 기대다.

선불업 간편송금을 이용한 보이스피싱 대응

최근 상대방 계정, ID, 전화번호 입력 만으로 상대방 계좌로 자금을 전송할 수 있는 간편송금이 크게 증가하고 있다. 이를 악용하는 보이스피싱도 증가하고 있다.

이에 보안 당국은 금융회사와 선불업자간 관련 계좌정보 등을 공유할 수 있도록 함으로써 신속한 피해금 환급이 가능하도록 할 방침이다. 보이스피싱 신고가 있으면, 선불업자에게 금융회사에 금융거래정보 제공 의무를 부과함으로써 최종 수취계좌의 신속한 지급정지를 할 수 있게 한다.

또한 이상거래탐지시스템(FDS) 등을 통해 파악되는 이상거래 등에 대한 금융회사 및 전금업자 간 정보공유로 피해가 확대되는 것을 방지할 수도 있다. 이같은 내용을 골자로 한 보이스피싱법 개정안이 4월 중에 통과되면, 피해금이 간편송금을 통해 어느 은행으로 갔는지 신속히 알 수 있어 피해금 보전에 큰 도움이 될 것이란 기대다.

보이스피싱법을 악용하는 통장협박 대응

계좌가 공개되어 있는 자영업자 등에게 임의로 금전을 입금한 후 보이스피싱을 당했다고 금융회사에 신고하는 수법도 횡행하고 있다. 이 경우 금융회사는 자영업자의 계좌를 지급정지하게 되며, 범인은 지급정지 해제를 미끼로 명의인에게 돈을 요구한다.

범인은 주로 타인명의 계좌로 접속해 타인명의 계좌에서 통장협박대상자들에게 소액을 보내는 경우가 많다. 범인은 본인 명의의 계좌로 통장협박을 하는 경우 검거될 수 있으므로 주로 타인명의 계좌를 이용한다.

범인은 타인명의 계좌를 이용하므로, 통장협박 피해자가 범인에게 돈을 보내더라도 범인이 지급정지 해제를 할 수 없다. 통장협박 대상자는 실제 보이스피싱 피해자가 아닌, 범인에게 돈을 보내는 것이므로 지급정지 해제가 되지 않아 영업에 큰 지장을 받는다.

그러나 현행 ‘보이스피싱법’은 통장협박피해자가 금융회사에 보이스피싱을 하지 않았다고 소명할 기회를 부여하지 않고 있다. 통장협박피해자는 지급정지를 해제할 기회를 부여받지 못해 피해금환급절차가 종료되는 기간까지 관련 계좌 사용이 정지될 수 밖에 없다.

또한 통장협박피해자가 보이스피싱 피해자에게 피해금을 돌려주려고 해도 보이스피싱 피해자가 거부할 경우 지급정지를 해결할 방법이 없다. 보이스피싱 피해자는 통장협박피해자를 보이스피싱 범인으로 생각하는 경향이 있어 통장협박 피해자와 연락하는 것을 꺼리는 경향이 짙다.

법 개정으로 통장협박 당한 자영업자, 서민 등 피해 구제

이에 금융회사가 사기이용계좌(통장협박피해자 계좌)가 피해금 취득에 이용된 계좌가 아니라고 판단할 경우 일부지급정지를 허용할 수 있도록 한다. 다만, 계좌잔액 중 피해금에 대해서는 지급정지를 유지(일부 지급정지)하여 피해자에 대한 환급절차가 가능하도록 보완한다.

4월 중 ‘보이스피싱법’ 개정안이 통과되면 자영업자, 서민 등이 통장협박을 당했을 때 구제가 가능해짐으로써 영업 불편함이 크게 줄어들 것이란 기대다.

한편 은행권은 현재 고객계좌 모니터링을 통해 보이스피싱 의심거래 탐지시 계좌 지급정지 등 임시조치 업무를 하고 있지만, 일부 은행에선 업무시간 이외의 시간에 피해의심 거래가 탐지되었음에도 임시조치를 하지 않아 피해가 확대된 사례가 발생하고 있다.

즉, 업무시간 외 피해의심거래를 탐지할 경우 은행마다 서로 상이한 대응을 하고 있는 것이다.

이에 모든 은행이 피해의심거래 탐지 즉시 지급정지 등 임시조치를 시행할 수 있도록 24시간 대응체계를 구축한다. 최소한 보이스피싱 주요 발생시간대인 주중 9시~20시까지는 모니터링 직원이 대응한다.