KB국민 이어 SC제일은행…신종 피싱에 금융사 속수무책
SBS Biz 오수영
입력2026.02.26 15:31
수정2026.02.28 09:42
[앵커]
보이스피싱과의 전쟁에 쓰이는 금융사들의 무기는 FDS라 불리는 이상거래탐지시스템입니다.
그런데 최근 이 시스템을 무력화하는 보이스피싱 사례가 속속 등장하고 있습니다.
도저히 잡을 수 없는 수법이 등장한 건지, 아니면 금융사의 소홀함 때문인지, 소홀했다면 사람의 문제인지 시스템의 문제인지 등 하나하나 뜯어보겠습니다.
오수영 기자 나와 있습니다.
사건들부터 보죠.
두 개 금융사가 동시에 뚫린 사례도 있었다던데, 최근 피해 양상이 어떻습니까?
[기자]
한국투자증권과 KB국민은행 시스템이 둘 다 무용지물이었던 사례가 지난달 발생했습니다.
피해자 70세 장 모 씨는 신청하지 않은 신용카드 배송이 왔다는 전화를 받았다가, 콜센터 직원을 사칭한 피싱범의 지시대로 스마트폰을 해킹당한 채 9억 4150만 원을 범죄 일당에 송금하게 됐습니다.
[이 모 씨 (70세) / 보이스피싱 피해자 남편 : (검찰 사칭범이) 뭘 시킨다고 하니까, 믿었으니까 했죠. 그 앱이, 그게 깔리게 된 거죠. 전화하니까 "검찰청 맞다"라고 하고 "(소명하러) 내가 직접 가겠다" 하니까 "같이 한번 보시지요" 그러니까 믿어버린 거예요. 이 사람(아내)은 (검찰이) 검수한다니까 돈을 보낸 거죠, 농협 등 두 군데 계좌로. 근데 KB국민은행에 FDS 시스템이 있는데도 불구하고 (아내가) 22차례에 걸쳐서 (이체를) 했는데도 잡아내질 못하고…]
[앵커]
그러면 한국투자증권은 어떤 맹점이 있었던 건가요?
[기자]
한투증권 PB 직원은 금융투자상품을 해지하러 지점에 간 장 씨에게 "보이스피싱 같다"라고 말하면서도, 상부 보고나 경찰 신고 등 조치 없이 고령 고객인 장 씨 요구대로 돈을 국민은행 계좌로 옮겨줬습니다.
[한투증권 PB 직원 : 출금을 하러 오셔가지고 "자금 출처 전수조사를 해야 된다"라고 저한테 말씀 주셨거든요.]
피해자 장 씨가 6일 뒤 또 피싱범 지시를 받고 금투상품을 추가 해지하며 "검찰 조사로 돈을 검수받아야 한다"라고 했을 때도, PB 직원은 별다른 조치 없이 장 씨의 남은 자산 전부를 송금해 줬습니다.
장 씨는 발행어음과 ELB에 투자 중이었는데, 증권사 상품 중에선 은행 예금과 비슷합니다.
고령 고객이 이를 전량 해지할 때 피싱 여부를 확인해 줄 시스템이 미비했던 것으로 보입니다.
한투증권은 "여러 차례 고객에게 피싱이 의심된다고 설명했고, PB 직원이 따로 연락도 해서 우려를 전달했던 사안"이라는 입장입니다.
[앵커]
그렇다면 국민은행 입장은 어떤가요?
[기자]
한투 PB 직원이 장 씨의 국민은행 계좌로 옮겨준 총 9억 4150만 원을 장 씨가 적요에 "금감원 검수"라고 쓰면서 회당 4900여만 원씩 22번에 걸쳐 피싱범에게 이체하는 동안, 국민은행 이상거래탐지시스템(FDS)은 작동하지 않았습니다.
기존 보이스피싱이 매일 수회씩 송금하도록 피해자를 유도했다면, 장 씨를 속인 일당은 짧게는 이틀, 길게는 사흘 간격을 두고 5천만 원 이하로만 이체하도록 만들었습니다.
국민은행 관계자는 "피싱범들이 5천만 원 미만으로 소액 분산 이체를 하면서 대포통장 2개를 활용했다"면서 "보이스피싱 모니터링 시스템의 허술한 점을 알고 공략한 것"이라고 설명했습니다.
"대포통장으로 돈을 받았다가 다시 피해자 계좌로 돌려주기도 함으로써 일상적인 거래인 것처럼 위장해, 이상거래탐지시스템도 피해 갔다"라고 밝혔습니다.
실제로 범죄 일당은 4억 원을 가로챘다가 피해자 계좌로 다시 전액 송금하는 등 대담한 수법을 보이기도 했습니다.
금융감독원은 "한투증권과 국민은행의 대처가 미흡했다"라고 평가했는데, "민원이 접수된 만큼 사실관계를 확인하겠다"라고 밝혔습니다.
[앵커]
근본적인 문제점을 짚어보기 전에 사례 하나를 더 보겠습니다.
SC제일은행에서는 9억 원대 피해가 발생했다면서요?
[기자]
A 씨는 지난해 3월 중순부터 6주 동안 12차례에 걸쳐 총 9억 3000만 원을 피싱범에게 직접 송금하는 피해를 입었습니다.
비즈니스 SNS '링크드인'에서 외국계 IT 대기업 직원을 사칭한 피싱범을 만나 수개월간 대화를 나누다 투자 제안을 받은 겁니다.
A 씨는 현금 4억 3000만 원과 집을 담보로 받은 대출 5억 원까지, 총 9억 3000만 원을 투자했습니다.
A 씨가 원화를 이체한 만큼의 테더(USDT)가 피싱범이 만든 사이트에 쌓이는 걸 확인하고, 출금도 가능하다고 단언하는 피싱범을 믿고 대출까지 받게 됐습니다.
A 씨는 대출이 실행되자마자 10여분 간격으로 약 1억 원씩 5번에 걸쳐 총 5억 원을 피싱범들에게 송금했는데, 이 과정에서 SC제일은행 직원 누구도 A 씨에게 피싱 가능성 여부를 묻지 않았습니다.
SC제일은행 이상금융거래탐지시스템이나 보이스피싱 모니터링 시스템도 단 한 차례 경고가 없었습니다.
[앵커]
은행과 금감원은 어떤 입장인가요?
[기자]
SC제일은행은 "A 씨 금융 거래는 다수의 금융기관으로 각기 다른 명의인에게 한 달 반이라는 긴 기간 동안 동일한 스마트폰으로 거래됐기 때문에 이상거래탐지시스템에 감지될 만큼의 징후가 없었다"라고 밝혔습니다.
금감원은 "현재까지 확인된 사실만으로 SC제일은행이 A 씨의 배상 요청을 수용하도록 권고하기 어렵다"면서 "소송을 통해 피해 구제를 받는 방법도 있다"라고 안내했습니다.
[앵커]
근본적인 원인으로 들어가 보겠습니다.
오 기자가 반복적으로 이야기한 게 이 사건들에서 이상거래탐지시스템이 작동하지 않았다는 겁니다.
왜 그렇습니까?
[기자]
피싱범들이 일부러 여러 지인들과의 일상적 거래인 것처럼 위장해서 피해자들이 송금을 하도록 꾸몄기 때문입니다.
피싱범들은 짧게는 3일, 길게는 13일까지도 간격을 두고 피해자가 여러 개 대포통장에 송금하도록 했습니다.
대포통장들은 명의뿐만 아니라 금융사도 다 달랐습니다.
특히 A 씨가 송금한 대포통장은 모두 6개 금융사의 6개 계좌였는데, 그중 하나인 부산은행 한 곳만 "당행 계좌가 자금 세탁을 위한 대포통장으로 의심된다"라고 경고해 왔습니다.
부산은행 직원이 SC제일은행에 연락해 대포통장 가능성을 언급했지만, SC제일은행 직원은 A 씨에게 전화해 단순 경고만 하고 추가 송금을 막거나 피싱 방지를 위한 적극적인 조치에 나서지 않았습니다.
PB 고객으로서 2009년부터 15년 넘게 장기 거래해 온 A 씨의 거래 특성이 고려되지 않은, 기계적인 이상거래탐지시스템의 한계가 드러난 셈입니다.
[앵커]
그렇다면 이런 시스템의 한계는 극복할 수 없는 건가요?
현재 운영 상황이 어떻습니까?
[기자]
개별 은행은 각자 '기밀'에 부치고 있는 이상거래 탐지 기준을 바탕으로 시스템을 운영 중입니다.
고객 현황과 거래 상황, 금융사별 역량 등에 따라 탐지 능력에 격차와 한계가 있을 수 있다는 게 금융당국 설명입니다.
은행권 관계자는 "이상거래탐지시스템은 사람이 수기로 보는 게 아니라 은행마다 일정한 룰을 만들어놓고 시스템이 실시간 필터링을 하는 건데, 보이스피싱 사기범들이 작정하고 이를 회피하기 위한 수법을 쓰면 은행도 당해낼 방법이 없다"라고 설명했습니다.
[앵커]
지금 은행권 관계자 설명과 달리 법원에선 은행의 시스템 작동을 따져보는 편이죠?
[기자]
서울남부지방법원 제11민사부는 지난달 9일 68세 김 모 씨가 16억 원을 보이스피싱 당한 데 따라 KB국민은행에 청구한 손해배상 소송 선고에서 '금융사의 이상거래 탐지 의무'를 적시했습니다.
금융사가 이상거래 탐지를 위해 마련한 자체 기준과 방법에 따른 점검을 제대로 못했거나, 자체 기준과 방법이 객관적으로 타당하지 못한 데 따라 고객의 계좌가 피해 의심 계좌로 추정할 만한 사정이 있음에도 지급 정지 등 임시조치를 하지 않은 경우, 통신사기피해환급법(제2조의 5)을 위반한 것으로 본다고 판단했습니다.
김 씨의 경우에도 은행이 이상거래탐지와 임시조치 의무를 다하지 못한 것으로 인정돼, 본인이 송금한 보이스피싱 피해였음에도 손해액의 30%인 4억 6100만 원을 은행이 배상하라는 1심 판결이 나온 겁니다.
[앵커]
이 같은 한계를 보완할 방법은 없나요?
[기자]
금융감독원은 현재 국회에서 논의가 멈춰 서 있는 금융사 보이스피싱 무과실 배상 책임 금액이 정해지고 법안이 통과되면 은행들이 과거보다 이상거래탐지시스템 고도화에 더 많은 자원을 투자할 것이라 보고 있습니다.
은행의 피싱 무과실 배상 책임 한도는 1500만~2000만 원 선에서 정해질 것이라는 게 국회 안팎의 중론인데요.
지난해 은행권이 법무법인을 선임해 공동 대응에 나서기도 했을 정도로 반발이 큰 상황입니다.
금융당국 고위 관계자는 "은행권 반발에도 입법은 이뤄질 것"이라면서 "은행에 금전적 배상 책임을 지워야 은행들이 보이스피싱을 '제3자의 피해'가 아닌 '고객이 우리를 믿고 맡긴 재산의 손해'라는 인식을 가질 것"이라고 설명했습니다.
보이스피싱과의 전쟁에 쓰이는 금융사들의 무기는 FDS라 불리는 이상거래탐지시스템입니다.
그런데 최근 이 시스템을 무력화하는 보이스피싱 사례가 속속 등장하고 있습니다.
도저히 잡을 수 없는 수법이 등장한 건지, 아니면 금융사의 소홀함 때문인지, 소홀했다면 사람의 문제인지 시스템의 문제인지 등 하나하나 뜯어보겠습니다.
오수영 기자 나와 있습니다.
사건들부터 보죠.
두 개 금융사가 동시에 뚫린 사례도 있었다던데, 최근 피해 양상이 어떻습니까?
[기자]
한국투자증권과 KB국민은행 시스템이 둘 다 무용지물이었던 사례가 지난달 발생했습니다.
피해자 70세 장 모 씨는 신청하지 않은 신용카드 배송이 왔다는 전화를 받았다가, 콜센터 직원을 사칭한 피싱범의 지시대로 스마트폰을 해킹당한 채 9억 4150만 원을 범죄 일당에 송금하게 됐습니다.
[이 모 씨 (70세) / 보이스피싱 피해자 남편 : (검찰 사칭범이) 뭘 시킨다고 하니까, 믿었으니까 했죠. 그 앱이, 그게 깔리게 된 거죠. 전화하니까 "검찰청 맞다"라고 하고 "(소명하러) 내가 직접 가겠다" 하니까 "같이 한번 보시지요" 그러니까 믿어버린 거예요. 이 사람(아내)은 (검찰이) 검수한다니까 돈을 보낸 거죠, 농협 등 두 군데 계좌로. 근데 KB국민은행에 FDS 시스템이 있는데도 불구하고 (아내가) 22차례에 걸쳐서 (이체를) 했는데도 잡아내질 못하고…]
[앵커]
그러면 한국투자증권은 어떤 맹점이 있었던 건가요?
[기자]
한투증권 PB 직원은 금융투자상품을 해지하러 지점에 간 장 씨에게 "보이스피싱 같다"라고 말하면서도, 상부 보고나 경찰 신고 등 조치 없이 고령 고객인 장 씨 요구대로 돈을 국민은행 계좌로 옮겨줬습니다.
[한투증권 PB 직원 : 출금을 하러 오셔가지고 "자금 출처 전수조사를 해야 된다"라고 저한테 말씀 주셨거든요.]
피해자 장 씨가 6일 뒤 또 피싱범 지시를 받고 금투상품을 추가 해지하며 "검찰 조사로 돈을 검수받아야 한다"라고 했을 때도, PB 직원은 별다른 조치 없이 장 씨의 남은 자산 전부를 송금해 줬습니다.
장 씨는 발행어음과 ELB에 투자 중이었는데, 증권사 상품 중에선 은행 예금과 비슷합니다.
고령 고객이 이를 전량 해지할 때 피싱 여부를 확인해 줄 시스템이 미비했던 것으로 보입니다.
한투증권은 "여러 차례 고객에게 피싱이 의심된다고 설명했고, PB 직원이 따로 연락도 해서 우려를 전달했던 사안"이라는 입장입니다.
[앵커]
그렇다면 국민은행 입장은 어떤가요?
[기자]
한투 PB 직원이 장 씨의 국민은행 계좌로 옮겨준 총 9억 4150만 원을 장 씨가 적요에 "금감원 검수"라고 쓰면서 회당 4900여만 원씩 22번에 걸쳐 피싱범에게 이체하는 동안, 국민은행 이상거래탐지시스템(FDS)은 작동하지 않았습니다.
기존 보이스피싱이 매일 수회씩 송금하도록 피해자를 유도했다면, 장 씨를 속인 일당은 짧게는 이틀, 길게는 사흘 간격을 두고 5천만 원 이하로만 이체하도록 만들었습니다.
국민은행 관계자는 "피싱범들이 5천만 원 미만으로 소액 분산 이체를 하면서 대포통장 2개를 활용했다"면서 "보이스피싱 모니터링 시스템의 허술한 점을 알고 공략한 것"이라고 설명했습니다.
"대포통장으로 돈을 받았다가 다시 피해자 계좌로 돌려주기도 함으로써 일상적인 거래인 것처럼 위장해, 이상거래탐지시스템도 피해 갔다"라고 밝혔습니다.
실제로 범죄 일당은 4억 원을 가로챘다가 피해자 계좌로 다시 전액 송금하는 등 대담한 수법을 보이기도 했습니다.
금융감독원은 "한투증권과 국민은행의 대처가 미흡했다"라고 평가했는데, "민원이 접수된 만큼 사실관계를 확인하겠다"라고 밝혔습니다.
[앵커]
근본적인 문제점을 짚어보기 전에 사례 하나를 더 보겠습니다.
SC제일은행에서는 9억 원대 피해가 발생했다면서요?
[기자]
A 씨는 지난해 3월 중순부터 6주 동안 12차례에 걸쳐 총 9억 3000만 원을 피싱범에게 직접 송금하는 피해를 입었습니다.
비즈니스 SNS '링크드인'에서 외국계 IT 대기업 직원을 사칭한 피싱범을 만나 수개월간 대화를 나누다 투자 제안을 받은 겁니다.
A 씨는 현금 4억 3000만 원과 집을 담보로 받은 대출 5억 원까지, 총 9억 3000만 원을 투자했습니다.
A 씨가 원화를 이체한 만큼의 테더(USDT)가 피싱범이 만든 사이트에 쌓이는 걸 확인하고, 출금도 가능하다고 단언하는 피싱범을 믿고 대출까지 받게 됐습니다.
A 씨는 대출이 실행되자마자 10여분 간격으로 약 1억 원씩 5번에 걸쳐 총 5억 원을 피싱범들에게 송금했는데, 이 과정에서 SC제일은행 직원 누구도 A 씨에게 피싱 가능성 여부를 묻지 않았습니다.
SC제일은행 이상금융거래탐지시스템이나 보이스피싱 모니터링 시스템도 단 한 차례 경고가 없었습니다.
[앵커]
은행과 금감원은 어떤 입장인가요?
[기자]
SC제일은행은 "A 씨 금융 거래는 다수의 금융기관으로 각기 다른 명의인에게 한 달 반이라는 긴 기간 동안 동일한 스마트폰으로 거래됐기 때문에 이상거래탐지시스템에 감지될 만큼의 징후가 없었다"라고 밝혔습니다.
금감원은 "현재까지 확인된 사실만으로 SC제일은행이 A 씨의 배상 요청을 수용하도록 권고하기 어렵다"면서 "소송을 통해 피해 구제를 받는 방법도 있다"라고 안내했습니다.
[앵커]
근본적인 원인으로 들어가 보겠습니다.
오 기자가 반복적으로 이야기한 게 이 사건들에서 이상거래탐지시스템이 작동하지 않았다는 겁니다.
왜 그렇습니까?
[기자]
피싱범들이 일부러 여러 지인들과의 일상적 거래인 것처럼 위장해서 피해자들이 송금을 하도록 꾸몄기 때문입니다.
피싱범들은 짧게는 3일, 길게는 13일까지도 간격을 두고 피해자가 여러 개 대포통장에 송금하도록 했습니다.
대포통장들은 명의뿐만 아니라 금융사도 다 달랐습니다.
특히 A 씨가 송금한 대포통장은 모두 6개 금융사의 6개 계좌였는데, 그중 하나인 부산은행 한 곳만 "당행 계좌가 자금 세탁을 위한 대포통장으로 의심된다"라고 경고해 왔습니다.
부산은행 직원이 SC제일은행에 연락해 대포통장 가능성을 언급했지만, SC제일은행 직원은 A 씨에게 전화해 단순 경고만 하고 추가 송금을 막거나 피싱 방지를 위한 적극적인 조치에 나서지 않았습니다.
PB 고객으로서 2009년부터 15년 넘게 장기 거래해 온 A 씨의 거래 특성이 고려되지 않은, 기계적인 이상거래탐지시스템의 한계가 드러난 셈입니다.
[앵커]
그렇다면 이런 시스템의 한계는 극복할 수 없는 건가요?
현재 운영 상황이 어떻습니까?
[기자]
개별 은행은 각자 '기밀'에 부치고 있는 이상거래 탐지 기준을 바탕으로 시스템을 운영 중입니다.
고객 현황과 거래 상황, 금융사별 역량 등에 따라 탐지 능력에 격차와 한계가 있을 수 있다는 게 금융당국 설명입니다.
은행권 관계자는 "이상거래탐지시스템은 사람이 수기로 보는 게 아니라 은행마다 일정한 룰을 만들어놓고 시스템이 실시간 필터링을 하는 건데, 보이스피싱 사기범들이 작정하고 이를 회피하기 위한 수법을 쓰면 은행도 당해낼 방법이 없다"라고 설명했습니다.
[앵커]
지금 은행권 관계자 설명과 달리 법원에선 은행의 시스템 작동을 따져보는 편이죠?
[기자]
서울남부지방법원 제11민사부는 지난달 9일 68세 김 모 씨가 16억 원을 보이스피싱 당한 데 따라 KB국민은행에 청구한 손해배상 소송 선고에서 '금융사의 이상거래 탐지 의무'를 적시했습니다.
금융사가 이상거래 탐지를 위해 마련한 자체 기준과 방법에 따른 점검을 제대로 못했거나, 자체 기준과 방법이 객관적으로 타당하지 못한 데 따라 고객의 계좌가 피해 의심 계좌로 추정할 만한 사정이 있음에도 지급 정지 등 임시조치를 하지 않은 경우, 통신사기피해환급법(제2조의 5)을 위반한 것으로 본다고 판단했습니다.
김 씨의 경우에도 은행이 이상거래탐지와 임시조치 의무를 다하지 못한 것으로 인정돼, 본인이 송금한 보이스피싱 피해였음에도 손해액의 30%인 4억 6100만 원을 은행이 배상하라는 1심 판결이 나온 겁니다.
[앵커]
이 같은 한계를 보완할 방법은 없나요?
[기자]
금융감독원은 현재 국회에서 논의가 멈춰 서 있는 금융사 보이스피싱 무과실 배상 책임 금액이 정해지고 법안이 통과되면 은행들이 과거보다 이상거래탐지시스템 고도화에 더 많은 자원을 투자할 것이라 보고 있습니다.
은행의 피싱 무과실 배상 책임 한도는 1500만~2000만 원 선에서 정해질 것이라는 게 국회 안팎의 중론인데요.
지난해 은행권이 법무법인을 선임해 공동 대응에 나서기도 했을 정도로 반발이 큰 상황입니다.
금융당국 고위 관계자는 "은행권 반발에도 입법은 이뤄질 것"이라면서 "은행에 금전적 배상 책임을 지워야 은행들이 보이스피싱을 '제3자의 피해'가 아닌 '고객이 우리를 믿고 맡긴 재산의 손해'라는 인식을 가질 것"이라고 설명했습니다.
ⓒ SBS Medianet & SBS I&M 무단복제-재배포 금지
많이 본 'TOP10'
- 1.'람보르길리' 김길리, 3억 람보르기니 타고 금의환향
- 2.최태원·정의선까지 나왔다…"어서 타!" 진격의 코스피
- 3.넷플릭스 '압도적 1위'…전세계 난리 난 'K 드라마'
- 4.[단독] 삼성전자 2만명 퇴직금 소급 검토…수천억대 청구서
- 5.대통령 호통에 화들짝…CJ·사조·대상 '백기'
- 6.불장에 기름 부었다…"34만전자, 170만닉스" 전망
- 7.파리바게뜨, 빵·케이크 가격 내렸다…밀가루 인하 이후 처음
- 8.사패산 터널 '1억 금팔찌' 주인 찾았다…"부부싸움 중 던져"
- 9.팬도 놀랐다…'이것이 국위선양' 손흥민 車 뭐길래
- 10.'6천피, 천스닥 찍는데'…"은행에 돈 안 묶어놔요"