채팅앱으로 성매수남을 모텔로 유인한 뒤 폭행하고 현금을 갈취한 10대 여성 등 3명이 재판에 넘겨졌다. 전주지방검찰청은 특수강도, 성폭력처벌법상 카메라 등 이용 촬영, 특수폭행 혐의로 A(21)씨와 B(19)양 등 3명을 구속기소 했다고 4일 밝혔다. 검찰에 따르면 이들은 지난 4월부터 한달여 동안 전주와 충남에서 채팅앱으로 성매수남 7명에게 B양과 조건 만남을 제안, 모텔로 유인해 때리고 현금 1900여만원을 빼앗은 혐의를 받고 있다. A씨 등은 성매수남과 B양이 함께 있는 모텔방으로 들어가 ‘미성년자와 조건만남을 하면 어떻게 하느냐’며 남성을 둔기로 폭행해 전치 2주 이상의 상처를 입혔다. 또 성매수남들이 소지하고 있는 현금을 빼앗고 카드 비밀번호를 알아내 돈을 인출하기도 했다. 경찰 신고를 막기 위해 ‘주변에 이 사실을 알리지 말라’며 성매수남들 알몸을 촬영해 보관하기도 했다. A씨 등은 성매수남들에게 낯뜨거운 행위를 시켜 영상으로 촬영한 후 ‘사회관계망서비스(SNS)에 올리겠다’고 협박한 것으로 알려졌다. 성매수남들은 미성년자와 조건만남을 하려 한 사실을 우려해 신고를 하지 못했다. 전주 임송학 기자 shlim@seoul.co.kr

ATM·가맹점 포스 단말기 통해 해킹부정사용 138건, 피해금액 1006만원계좌, 주민번호 등 정보는 아직 분석중현금자동입출금기(ATM)와 포스단말기, 멤버십가맹점 해킹을 통해 1.5테라바이트(TB) 분량의 금융·개인 정보가 유출된 사건<서울신문 6월 15일자>과 관련해 금융감독원이 61만 7000개의 카드 정보가 유출됐다고 3일 밝혔다. 금감원이 경찰로부터 받은 카드번호 가운데 중복, 유효기간 경과, 소비자 보호조치가 완료된 건을 제외한 수치다. 현재까지 확인된 정보 유출 건수만 해도 2019년 7월 카드 정보 도난 사건(56만 8000건)보다 많다. 은행계좌번호, 주민등록번호, 휴대전화번호 등 다른 금융·개인 정보에 대해서는 수사가 진행되고 있어 실제 유출된 정보는 더 늘어날 것으로 보인다. 금감원에 따르면 유출된 카드 정보로 부정 사용이 일어난 건수는 138건으로, 피해 금액은 1006만원이다. 카드번호 유출 사고와 관련해서는 여신전문금융업법에 따라 해당 금융사가 전액 보상한다. 이번 사건으로 정보가 유출돼 부정 사용 등 피해를 입었다면 해당 카드사에서 보상받을 수 있다. 금감원은 유출된 카드정보를 받은 금융사들이 부정사용방지시스템(FDS)을 가동해 소비자 피해 여부를 밀착 감시 중이라고 설명했다. KB국민·신한·우리·KEB하나·비씨·삼성·현대·롯데카드와 NH농협·씨티·전북· 광주·수협·제주은행이 해당 금융사다. 금융사들은 카드번호 도난에 연관된 카드의 재발급 작업을 진행하고 있다. 금감원은 카드 부정 사용 예방을 위해 온라인 결제 비밀번호를 주기적으로 바꾸고, 금융사의 부정 사용 예방 서비스를 적극적으로 활용해달라고 말했다. 앞서 서울지방경찰청 보안수사대는 하나은행 해킹 혐의로 구속된 이모(42)씨로부터 국내 ATM과 카드가맹점 포스단말기, 멤버십가맹점 등을 해킹해 빼낸 금융·개인 정보 1.5TB 분량의 외장하드를 확보해 수사를 진행 중이다. 홍인기 기자 ikik@seoul.co.kr

지난 12일(이하 현지시간) 미국 조지아주 애틀랜타 시에서 흑인 남성 레이샤드 브룩스(27)를 살해하는 등 무려 11가지 혐의로 기소된 백인 전직 경관이 50만 달러(약 6억원)를 내고 풀려나 유족들의 반발을 사고 있다. 제인 바윅 풀턴 카운티 최고법원 판사는 웬디스 매장 주차장에서 음주 측정 테스트를 통과하지 못하자 브룩스가 드잡이를 벌이다 달아나자 총격을 가해 숨지게 한 전직 경관 개럿 롤페에게 보석 석방을 명했다. 브룩스의 미망인 토미카 밀러가 화상회의 시스템을 통해 롤페는 “이미 지역사회에 위험한 존재란 것을 보여줬다. 우리 남편은 세상을 떠날 이유가 하등에 없었다. 그리고 난 우리 남편을 죽인 남자가 재판 받으러 멀쩡히 걸어 들어오는 것을 기다리며 살아선 안된다”며 그에 대한 보석을 허가하면 안된다고 눈물로 호소했다. 밀러는 남편이 사랑스러운 아빠였으며 딸의 생일이었던 이날, 그리고 결혼기념일을 하루 앞두고 허망하게 스러졌다고 하소연했다. 그러나 바윅 판사는 용기 내 진술해 준 밀러에 감사한다면서도 롤페가 항공 편을 이용해 달아날 염려가 없고 그가 지역사회에 위협이 된다는 주장에도 동의하지 못하겠다고 밝혔다. 세 딸과 의붓아들을 둔 브룩스는 웬디스 드라이브 스루 매장의 진입로를 막은 차 안에서 잠든 채로 발견돼 매장 직원의 전화를 받고 출동한 경찰이 실시한 음주 측정 테스트를 통과하지 못해 경관들이 체포하려 하자 주먹을 롤페에게 날렸고, 동료 백인 경관 데빈 브로스난의 테이저건을 낚아채 롤페에게 발사했다. 브로스난도 브룩스가 쓰러진 뒤 구호하지 않고 멀뚱히 서 있었기 때문에 과실치사 등의 혐의로 기소됐다. 브룩스의 죽음은 조지 플로이드 사망 사건과 맞물려 미국 전역에 인종차별 항의 시위를 번지게 만들었다.검찰은 보석을 허락하려면 100만 달러는 공납해야 하고 다음과 같은 조건을 붙여야 한다고 요청했다. 롤페의 휴대전화 비밀번호를 제공하고, 여권과 총기를 제출하고, 밖에 나돌아 다니지 않게 통금령을 내리고, 발찌를 차게 하거나 애틀랜타 경찰과 증인들, 유족들을 접촉하지 말게 해야 한다는 것이었다. 정당방위를 주장하는 롤페 변호인들은 5만 달러 보증금이면 충분하다고 주장하면서 브룩스가 누워 있을 때 롤레가 발로 찼다는 주장은 사실과 다르다고 항변했다. 이날 보석 결정에도 롤페가 자신의 주머니를 털어 50만 달러를 공납할 필요는 없다. 미국에서의 보석금은 전체 금액의 10~15%만 먼저 납부하면 자유롭게 풀려날 수 있기 때문이다. 바윅 판사는 휴대전화 비밀번호를 대달라는 요청은 기각했지만 다른 검찰 측 요청은 모두 들어줬다. 한편 웬디스 직원이 경찰에 신고 전화를 하는 바람에 브룩스가 사망했다고 화를 참지 못해 다음날 매장에 불을 지른 여자친구 나탈리 화이트(29)는 지난주 체포돼 이날 법정에 출두했지만 1만 달러 보증금을 내고 가택 연금 조치를 받았다. 임병선 기자 bsnim@seoul.co.kr

이달 초 모바일 금융서비스 토스에서 이용자가 모르는 사이 수백만 원이 결제되는 사고가 여러 건 발생했다. 현재로서는 개인정보가 도용됐을 가능성에 무게가 실린다. 30일 금융권에 따르면 금융감독원은 토스를 운영하는 비바리퍼블리카를 조사한 뒤 토스를 통한 개인정보 유출은 없었다고 잠정 판단했다. 즉, 토스 자체가 해킹당했다기보다 특수 브라우저로 접속하는 다크웹을 통해 고객의 개인정보를 확보했을 가능성이 더 크다고 보는 것이다. 금감원은 비바리퍼블리카로부터 부정 결제 관련 서류를 제출받아 검토한 뒤 지난 11∼12일 현장 점검을 벌이는 방식으로 경위를 파악했다. 토스 측도 “제3자가 사용자의 인적사항과 비밀번호 등을 이용해 웹 결제를 한 것으로 파악했다”면서 “토스를 통한 정보 유출이 아닌 도용된 개인정보를 활용한 부정 결제 이슈”라고 입장을 밝힌 바 있다. 다만 금감원은 보안이 허술하다는 비판을 받은 간편결제 시스템의 문제점을 파악하고자 간편결제 사업자 전체를 대상으로 토스와 유사한 사고가 있었는지 점검하고 있다. 지난 3일 토스 온라인 가맹점 3곳에서 총 8명의 토스 고객 명의로 938만원 상당의 부정 결제가 발생했다. 결제에는 고객의 전화번호와 생년월일, 비밀번호가 이용됐다. 경찰 역시 해당 사건에 대한 수사를 진행 중이다. 곽혜진 기자 demian@seoul.co.kr

#1. 2009년 8월 9일부터 9월 21일까지 국내 카드가맹점 ‘포스단말기’가 해킹돼 7개 카드사의 카드번호, 유효기간 등 고객 3000여명(건)의 신용카드 정보가 해외로 유출됐다. 이 중 6개 카드사(삼성카드는 미공개) 108건이 미국, 이탈리아, 그리스, 스페인 등지에서 불법 복제돼 3억여원이 부정 결제됐다.<2009년 11월 4일자 1·3면> #2. 2020년 6월 카드 정보와 카드 비밀번호, 은행 계좌번호, 주민등록번호, 휴대전화번호 등 금융·개인 정보가 담겨 있는 1.5테라바이트(TB) 분량의 외장하드가 수면 위로 떠올랐다. 이 외장하드는 경찰이 지난해 6월 시중은행 해킹 혐의로 구속된 피의자의 추가 범행과 공범을 수사하는 과정에서 확보했다. 카드 정보는 식당 등 전국 카드가맹점 포스단말기가 해킹돼 빠져나갔다.<2020년 6월 15일자 1·8면> 국내 카드가맹점 포스단말기 해킹을 통한 카드정보 유출은 2009년 11월 4일 본지 보도를 통해 세상에 처음 알려졌다. 당시 대다수 사람들은 포스단말기가 뭔지도 몰랐다. 생소했던 만큼 충격도 컸다. 11년이 지났다. 포스단말기 해킹을 통한 카드정보 유출은 아직도 ‘현재 진행형’이다. 포스단말기에 악성코드를 심어 카드정보를 실시간 빼내는 수법도 11년 전과 똑같다. 소비자 피해 예방 책임이 있는 금융감독원은 왜 11년간 눈뜬장님처럼 가만히 있는 걸까. 포스단말기 해킹을 통한 카드정보 유출은 2006년 11월 일부 가맹점에서 처음 발생했다. 이듬해 1월엔 대구·창원 등지의 식당 등 400여 가맹점에서 카드정보가 무더기로 빠져나갔다. 금감원과 카드사들은 이 사실을 극비에 부쳤다. 2009년 취재 때도 금감원과 카드사들은 유출 사실을 숨기려고 안간힘을 썼다. 금감원은 “현재 포스단말기엔 카드정보가 저장되지도 않고 저장되더라도 암호 등 보안 형태로 저장되기에 정보 유출 위험이 없다”고 큰소리까지 쳤다. 금감원은 얼토당토않은 이 말을 금융사고가 터질 때마다 내용만 조금씩 바꿔 가며 우려먹고 있다. 2007년 대규모 카드정보 유출 때부터 14년째 국민들을 호도하고 있다. 최근엔 ‘IC카드 단말기’를 이 말에 끼워 넣었다. 2018년 7월 시중 거의 모든 포스단말기를 정보 유출에 취약한 마그네틱카드 단말기에서 정보 보안이 탁월한 IC카드 단말기로 바꾼 이후엔 해킹을 통한 정보 유출이 없다는 주장이다. 싱가포르 보안업체가 다크웹에서 불법 거래되는 국내 고객의 카드정보를 통보했을 때도, 1.5TB 외장하드에서 유출된 카드정보가 대규모로 발견됐을 때도 금감원은 이 주장을 앵무새처럼 되풀이했다. 금감원은 2009년 11월 본지 보도 이후 IC카드 단말기 보급에 막대한 돈을 퍼부었다. IC카드는 마그네틱카드와 달리 카드정보가 암호화돼 칩에 저장되기에 해킹을 통한 정보 유출이 어렵다. 금감원은 이 점만 부각하며, 정보 유출은 옛말이라고 둘러대고 있다. 시중 포스단말기가 IC카드와 마그네틱카드 겸용이라는 사실은 한마디도 언급하지 않는다. 현재 발행되는 모든 카드의 뒷면엔 카드정보가 들어 있는 마그네틱이 붙어 있다. IC칩이 망가지거나 단말기가 IC칩을 인식하지 못하는 것에 대비해서다. 지금도 포스단말기 해킹을 통해 카드정보가 새나가는 이유다. 금감원이 14년간 동일 범죄를 막지 못하고, 궁색한 변명만 하는 건 내부에 카드 범죄 전문가가 전무한 탓이다. 금감원은 금융사고가 터지면 카드·은행 관계자들을 불러 닦달하는 것 외엔 하는 일이 없다는 말까지 나돈다. 서둘러 외부 수혈을 해 근본 대책을 마련해야 한다. 금감원이 제 역할을 해야 국민들 불안이 일소될 수 있다. hunnam@seoul.co.kr

간편 송금앱 지급정지 등 방지책 마련도 그동안 보이스피싱의 책임에서 벗어나 있던 금융회사에 피해액을 배상하도록 하는 방안을 정부가 추진한다. 금융위원회와 과학기술정보통신부 등은 24일 이런 내용을 포함한 보이스피싱 척결 종합 방안을 내놨다. 정부는 보이스피싱 피해 고객의 고의나 중과실이 없는 한 금융사가 원칙적으로 배상 책임을 지는 방안을 추진한다. 현재 전자금융법상 해킹 등으로 금융사고가 나면 금융사가 손해배상 책임을 지는데 보이스피싱 피해도 마찬가지로 법적 근거를 마련하겠다는 것이다. 다만 고객의 도덕적해이 방지 등을 위해 금융사와 고객 간 피해액이 합리적으로 분담되도록 기준을 마련할 예정이다. 금융위 관계자는 “고객이 비밀번호를 노출하는 등 고의·중과실이 있다면 금융사는 면책받는다”며 “구체적 기준 등은 입법예고할 때 나올 것”이라고 말했다. 정부는 또 금융사가 사기에 이용된 계좌를 충분한 기간 동안 지급정지시킬 수 있도록 제도를 정비하기로 했다. 또 간편 송금업자 등에도 지급정지 등과 관련해 보이스피싱 방지 의무<서울신문 6월 23일자 1, 2면>를 다하도록 할 방침이다. 보이스피싱 관련 보험 상품의 보장 범위를 넓히고 판매 채널도 통신대리점, 은행 등 금융사 창구 등으로 확대한다. 보이스피싱 범죄 처벌도 강화한다. 오는 8월 20일부터 보이스피싱에 악용되는 대포통장을 팔거나 빌려주면 5년 이하 징역이나 3000만원 이하 벌금에 처한다. 보이스피싱 단순 조력 행위에 대한 처벌 규정도 신설하기로 했다. 국내 송금·인출책 범죄의 경각심을 강화하고자 하는 취지다. 유대근 기자 dynamic@seoul.co.kr

“엄마 바빠? 나 폰 액정 나가서 수리 맡겼어. 지금 인터넷 뱅킹 가능해?” 카카오톡 등 모바일 메신저에서 가족이나 지인이라고 속여 피해자에게 돈을 요구하는 메신저 피싱 범죄로 올해 1~4월에만 128억원의 피해가 발생한 것으로 집계됐다. ●올해 128억원 피해… 가족 사칭 일반적 경찰청, 방송통신위원회, 금융위원회, 금융감독원은 서민 경제를 위협하는 메신저 피싱 근절에 협력하기로 했다고 24일 밝혔다. 메신저 피싱 피해는 2018년 216억원(9607건), 2019년 342억원(8306건)으로 증가 추세다. 가족을 사칭하는 범죄 형태가 가장 일반적이며 최근에는 문화상품권 비밀번호를 요구하거나 스마트폰에 ‘팀뷰어’ 등 원격제어 앱을 설치하도록 유도해 개인정보를 탈취하는 새로운 수법도 발생하고 있다. ●앱 설치 차단·전화 확인 후 송금 등 노력을 정부기관들은 피해 예방을 위해 ▲가족, 지인 외에 타인 계좌로 송금하지 말고 ▲출처가 불분명한 이메일, 문자, 인터넷(URL) 주소는 삭제하고 ▲앱 설치를 차단하고 ▲메신저 비밀번호를 정기적으로 바꿀 것을 권장했다. 경찰 관계자는 “긴급하게 돈이 필요한 상황이라고 해도 실제 가족이나 지인이 맞는지 반드시 전화통화로 확인하고 송금해야 한다”고 말했다. 메신저 피싱에 당했을 때는 즉시 112에 신고하고 공인인증서가 노출된 경우 한국인터넷진흥원(KISA) 118 전화신고로 공인인증서 분실 및 긴급 폐기를 요청할 수 있다. 이성원 기자 lsw1469@seoul.co.kr

“엄마, 지금 뭐해?”, “빨리 좀~ 돈 보내고 바로 알려줘!” 등 가족 또는 지인을 사칭해 송금을 요구하는 ‘메신저 피싱’ 피해가 급증하고 있다. 24일 방송통신위원회, 경찰청, 금융위원회, 금융감독원 등 유관기관에 따르면, 지난 1~4월 메신저 피싱 피해액은 약 128억 원에 이른다. 사기범들은 액정파손이나 충전단자 파손, 공인인증서 오류 등으로 휴대전화를 사용할 수 없어 PC로 메시지(카톡 등)를 보낸다고 하면서 접근한 뒤 긴급한 송금, 선배에게 빌린 돈 상환, 대출금 상환, 친구 사정으로 대신 입금 등의 이유로 “지금 당장 급히 돈이 필요하다”며 다급한 상황을 연출한 뒤 거액의 송금을 요구하고 있다. 최근에는 문화상품권 핀번호를 요구하거나, 스마트폰 ‘원격제어 어플’ 설치를 유도하는 새로운 수법도 발생하고 있다. “문화상품권을 구매해야 하는데 카드 문제로 결제가 되지 않으니, 문화상품권 구매 후 핀번호를 보내주면 구매대금을 보내주겠다”고 속이는 방식이다. 스마트폰에 익숙지 않은 피해자에게 원격제어 어플을 설치하게 한 후 해당 휴대폰을 직접 제어하거나 개인정보를 탈취해 온라인 결제로 금전을 편취하는 방식도 성행하고 있다. 중장년층이나 노년층을 타깃으로 신용카드 사진과 비밀번호 전송을 요구한 후 직접 상품권을 구매하는 경우도 있다. 가족, 지인 외에 정부기관이나 기업 등을 사칭하는 경우도 꾸준히 발생하고 있어 주의가 필요하다. 경찰청은 올해 말까지 메신저 피싱 등 서민경제 침해사범에 대한 집중단속을 추진한다. 방통위도 한국정보통신진흥협회(KAIT), 이동통신사업자와 협력해 다음달 초 이동통신 3사 가입자에게 ‘지인을 사칭한 메신저 피싱 주의’ 문자메시지를 발송할 계획이다. 메신저 피싱의 경우 사전 차단이 극히 어렵고 피해가 발생할 경우 사기범 추적도 쉽지 않기 때문에 이용자들이 각별히 주의할 필요가 있다. 가족의 계정을 그대로 사용하더라도 급하게 송금을 요구한다면 반드시 전화를 걸어 송금 사실을 추가 확인하는 것이 좋다. 또 가족과 지인 외의 타인 계좌로 송금하지 말고, 출처가 불분명한 이메일과 문자, URL 주소는 삭제해야 한다. 메신저 비밀번호도 정기적으로 변경해 스스로 사기 피해를 예방하는 것이 중요하다. 메신저 피싱 등으로 피해를 당한 경우 즉시 112에 신고하고, 공인인증서가 노출된 경우 한국인터넷진흥원(KISA) 118 ARS(4번→1번)을 통해 공인인증서 분실 및 긴급 폐기를 요청할 수 있다. 피해자의 명의가 도용당한 경우에는 한국정보통신진흥협회(KAIT)에서 운영하는 명의도용방지서비스(msafer.or.kr)에 접속하여 휴대전화 가입현황 조회 등으로 추가 피해 발생을 예방할 필요도 있다. 김유민 기자 planet@seoul.co.kr

정부, ‘통신사기피해환급법’ 개정 추진간편송금업체, 금융사기 예방·환급 의무 부여투자업계, “카카오페이, 토스 등 송금 사기 많아”“기술적 보완 외에 피해자 배상 정책에 신경써야”최근 보이스피싱과 부당결제 사고가 잇따르는데도 법망에서 빠져 있다는 비판이 제기된 토스와 카카오페이 등에 정부가 은행 수준의 법적 책임을 지우기로 했다. 앞으로 간편송금앱이 ‘대포통장’(범죄에 악용하기 위해 타인 명의로 개설한 통장) 역할로 쓰이면 지급 정지한 뒤 돈을 환급해 줘야 하고, 범죄 예방을 위해 기존 금융업체들과 정보도 공유해야 한다. 22일 금융당국에 따르면 금융위원회는 이러한 내용을 담은 ‘통신사기피해환급법’을 개정하기로 하고 최근 각계 의견을 듣고 있다. 금융위 관계자는 “하반기에 입법예고하는 게 목표”라고 말했다. 개정안의 핵심은 간편송금서비스 업체들을 법상 ‘금융기관’으로 규정해 이들이 보이스피싱을 비롯한 전자 금융사기를 막기 위해 기존 금융사 수준의 예방·환급 의무를 다하도록 하는 것이다. 예컨대 은행들은 자체 점검을 통해 특정 계좌가 보이스피싱 등에 악용된 의심거래계좌로 보이면 돈이 빠져나가지 못하게 지급 정지를 한다. 보이스피싱 피해자나 수사기관의 요청이 있을 때도 해당 계좌의 돈이 묶인다. 또 은행은 피해자가 소송을 제기하기 전에 대포통장 등에 입금된 돈을 돌려주도록 돼 있다. 카카오페이와 토스를 비롯한 간편송금 업체들은 지금껏 이를 따르지 않아도 됐지만 법이 바뀌면 똑같은 의무를 지게 된다. 이와 함께 간편송금 업체들은 금융범죄 예방에도 적극적으로 나서야 한다. 부정 결제나 사기 등을 미리 예측하는 이상거래 탐지시스템(FDS)을 자체적으로 강화하고 사기 이용 의심계좌나 전화번호 등을 수집해 다른 금융기관과 공유해야 한다. 간편송금은 공인인증서 의무 사용이 폐지된 2015년 3월 이후 도입됐는데, 4~6자리 비밀번호 입력이나 안면 인식 등으로 본인 인증 후 송금할 수 있는 서비스다. ●간편송금업체에도 예방·환급 의무…왜? “간편송금 서비스가 보이스피싱범들의 돈세탁 창구가 됐습니다.” 한 금융보안 전문가는 22일 서울신문과의 인터뷰에서 “은행 계좌의 돈이 토스머니, 카카오머니 등 간편송금 충전금으로 세탁되면 현재 시스템상 거래 추적이 쉽지 않아 범인 검거 등에 어려움을 겪는다”며 이렇게 말했다. 보이스피싱 일당은 은행이나 수사기관의 추적을 피하기 위해 보통 피해자의 돈을 대포통장으로 입금받아 ‘A통장→B통장→C통장’ 등으로 옮긴 뒤 출금한다. 이 과정에서 간편송금 충전금으로 한 번 ‘세탁’했다가 다른 통장으로 옮기면 추적이 어려워진다는 것이다. 은행과 간편송금업체 간 정보 공유가 의무화되지 않은 데다 간편서비스는 가상계좌 기반으로 운영되기 때문이다. 편리함을 무기 삼아 최근 송금시장의 ‘공룡’이 된 간편송금 서비스의 어두운 단면이다. 토스와 카카오페이 등 간편송금 서비스업체가 핀테크(정보기술을 바탕으로 한 금융) 산업을 키우려는 정부의 지원 속에 몸집을 급속히 불리고 있지만 정작 보안은 허술하다는 지적이 나온다. 간편송금 서비스의 경우 최근 20~30대 젊은층을 중심으로 이용 실적이 급증하고 있다. 한국은행에 따르면 국내 간편송금 서비스 이용 실적은 지난해 일평균 2346억원(249만건)으로 2년 새 5.7배나 증가했다. 그 사이 업체들도 우후죽순 늘었다. 한국은행이 파악한 업체만 15곳인데, 이 가운데 토스와 카카오페이 점유율이 90% 이상이다.●핀테크 지원에 날개 단 간편송금…“보안엔 취약” 지적 정부도 핀테크 육성을 명분 삼아 간편송금 서비스에 날개를 달아 주고 있다. 최근 금융위원회는 규제입증위원회를 열고 현재 200만원인 간편송금 충전 한도(토스·카카오머니 등으로 충전할 수 있는 한도)를 300만~500만원으로 늘려 주기로 했다. 문제는 보안이다. 간편결제를 악용한 보이스피싱과 부정 결제 사건은 최근 알려진 것만 해도 한두 건이 아니다. ▲토스 고객 8명의 토스머니가 본인 모르게 온라인 가맹점 3곳에서 900여만원 결제된 사건 ▲토스 생체인증 방식을 악용해 200만원을 부정 결제한 보이스피싱 사건 등이 대표적이다. 하지만 이는 빙산의 일각일 가능성이 크다. 서울신문이 미래통합당 성일종 의원실을 통해 입수한 금융위의 ‘보이스피싱 등 금융사기 방지를 위한 데이터 활용 체계 구축방안 연구’(금융보안원 작성) 보고서에 따르면 연구진과 인터뷰한 금융투자회사 관계자는 “카카오페이, 토스 등을 통한 송금 사기가 많다. 이 업체들을 통한 송금 횟수가 너무 많은 계좌는 아예 거래를 차단하고 있다”고 말했다. 금융위가 통신사기피해환급법을 개정해 간편송금업체에 사기 피해 예방 의무를 지우려는 것도 금융계 의견이 반영된 조치로 알려졌다. 간편송금을 통한 보이스피싱 사건 등이 잇따르고 있지만 피해자 수나 피해액이 얼마인지는 정확히 알 수조차 없다. 간편송금업은 통신사기피해환급법의 적용 대상이 아니어서 수사 당국이 범죄 정보를 얻는 데 한계가 있기 때문이다. 금융감독원에 따르면 2018년 1월부터 10월까지 토스 등 주요 간편송금업체 4곳을 통한 보이스피싱 피해액은 약 3600만원으로 접수됐는데, 이는 간편송금앱과 연결된 은행 계좌에서 빠져나가 은행이 신고한 액수일 뿐 간편앱 충전금이 얼마나 빠져나갔는지는 확인할 수 없다. 간편송금업체뿐 아니라 보이스피싱 등에 대응하는 전체 시스템 자체가 개선돼야 한다는 의견도 나온다. 금융보안원은 금융위의 의뢰로 작성한 보고서에서 ▲금융사기에 쓰인 전화번호를 이용 중지시키는 데 너무 오랜 시간(14.4일)이 걸리고 ▲피싱사이트를 차단하는 데도 평균 4시간이 걸려 이를 보완해야 한다고 지적했다. 중장기적으로는 국가 차원의 사기방지센터(CFC)를 만들어 전자금융사기 대응을 위한 정책 수립과 집행을 맡겨야 한다고 제안했다. 김승주 고려대 정보보호대학원 교수는 “기술적 수단 보완에만 주목해서는 금융사기를 막는 데 한계가 있다. 이에 더해 보안 사고는 어느 정도 일어날 수밖에 없으니 업체들이 피해자에 대한 배상 정책에도 신경을 써야 한다”며 “(세계 최대의 간편결제 플랫폼인) 페이팔도 지난해 피해자들에게 배상한 금액이 11억 달러(약 1조 3000억원)나 됐다”고 말했다. 유대근 기자 dynamic@seoul.co.kr홍인기 기자 ikik@seoul.co.kr

“불법 ‘FX 마진거래’로 큰 손실”“가게 기사에게 줄 수당도 잃어”사업체 본사로 보낼 돈마저 손실“강도·강간 목적으로 불러내 살해최신종 ”합의 성관계“ 부인전북 전주에서 여성 2명을 살해한 혐의로 구속기소 된 최신종(31)에 대한 첫 재판에서 검찰은 ‘사설 외환 차익거래’(FX마진거래)를 피고인의 범행 배경으로 지목했다. 검찰은 18일 전주지법 제12형사부(김유랑 부장판사) 심리로 열린 공판에서 “최신종은 불법도박인 FX마진거래에서 손실을 보게 되자 아내의 지인인 A(34·여)씨에게 돈을 빌리려고 했다”고 공소사실을 설명하기 시작했다. FX마진거래는 2개 통화를 동시에 사고팔며 환차익을 노리는 거래로, 금융당국의 인가를 얻은 금융회사를 통해서만 투자할 수 있다. 검찰은 “피고인은 배달 대행업체를 운영한 이후 FX마진거래에 손을 대면서 손실을 보기 시작했다”며 “손실을 메우려고 지인에게 돈을 빌렸고 (자신의 업체에 소속된) 기사에게 줄 수당도 (도박으로) 잃었다”고 덧붙였다. 이어 “최신종은 사업체 본사로 보낼 돈마저 손실을 보게 되자, 금품을 빼앗고 강간할 마음을 먹고서 ‘부탁할 일이 있다’는 핑계로 배우자의 지인인 A씨를 불러냈다”며 “자신의 승용차에 A씨를 태운 뒤 완주군 이서면 한 다리 밑으로 데려가 주먹으로 때린 뒤 강간했다”고 전했다.검찰은 “최신종은 A씨가 반항하자 욕설을 하며 계좌 비밀번호를 알려주지 않으면 위협할 것처럼 행동하기도 했다”며 “피해자 계좌에 있던 48만원을 자신의 계좌로 이체했다”고 덧붙였다. A씨는 목을 졸려 경부압박에 의한 질식으로 사망했다고 했다고 검찰은 설명했다. 최신종은 범행 당일 임실군 한 강변에 시신을 유기했다. 그러나 최신종은 첫 재판에서 강도와 강간 혐의를 부인했다. 변호인은 “피고인은 강간 혐의에 대해 합의로 이뤄진 성관계이며, 금팔찌와 48만원은 차용한 것이라고 진술하고 있다”고 변론했다. 최신종은 지난 4월 15일 0시쯤 A씨를 자신의 승용차에 태운 뒤 다리 밑으로 데리고 가 성폭행하고 금팔찌 1개와 48만원을 빼앗은 다음 목 졸라 살해한 혐의로 재판에 넘겨졌다. 최신종이 랜덤 채팅앱으로 만난 부산 실종 여성 B(29)씨를 살해한 사건은 검찰이 추가 기소할 예정이다. 정현용 기자 junghy77@seoul.co.kr

전북 전주에서 여성 2명을 살해한 혐의(강도살인 등)로 구속기소 된 최신종(31)에 대한 첫 재판에서 검찰은 ‘사설 외환 차익거래’(FX마진거래)를 피고인의 범행 배경으로 지목했다. 검찰은 18일 전주지법 제12형사부(김유랑 부장판사) 심리로 열린 공판에서 “최신종은 불법도박인 FX마진거래에서 손실을 보게 되자 아내의 지인인 A(34·여)씨에게 돈을 빌리려고 했다”고 공소사실을 설명하기 시작했다. FX마진거래는 두 개 통화를 동시에 사고팔며 환차익을 노리는 거래로, 금융당국의 인가를 얻은 금융회사를 통해서만 투자할 수 있다. 검찰은 “피고인은 배달 대행업체를 운영한 이후 FX마진거래에 손을 대면서 손실을 보기 시작했다”며 “손실을 메우려고 지인에게 돈을 빌렸고 (자신의 업체에 소속된) 기사에게 줄 수당도 (도박으로) 잃었다”고 덧붙였다. 이어 “최신종은 사업체 본사로 보낼 돈마저 손실을 보게 되자, 금품을 빼앗고 강간할 마음을 먹고서 ‘부탁할 일이 있다’는 핑계로 배우자의 지인인 A씨를 불러냈다”며 “자신의 승용차에 A씨를 태운 뒤 완주군 이서면 한 다리 밑으로 데려가 주먹으로 때린 뒤 강간했다”고 전했다. 검찰은 “최신종은 A씨가 반항하자 욕설을 하며 계좌 비밀번호를 알려주지 않으면 위협할 것처럼 행동하기도 했다”며 “피해자 계좌에 있던 48만원을 자신의 계좌로 이체했다”고 덧붙였다. 최신종은 A씨의 목을 졸라 경부압박에 의한 질식으로 사망케 했다고 검찰은 설명했다. 최신종은 범행 당일 임실군 한 강변에 시신을 유기했다. 정현용 기자 junghy77@seoul.co.kr

SNS 대화방에서 학교 여학생들의 외모 순위를 매기는 등 행동을 한 학생에게 학교 측이 징계 처분을 했다. 이후 학생이 학교법인을 상대로 징계 조치 처분 무효 확인 청구 소송을 낸 가운데, 재판부가 학교 측의 징계 처분이 모두 무효라고 판단했다. 15일 인천지법 민사14부(고연금 부장판사)는 A군이 모 학교법인을 상대로 낸 징계 조치 처분 무효 확인 청구 소송에서 원고 승소 판결을 했다고 밝혔다. 앞서 지난해 3월 인천 한 고등학교 2학년이던 A군은 친구 2명과 사회관계망서비스(SNS) 페이스북 메신저 대화방에서 여학생들의 외모 순위를 매겼다. 같은 학교 여학생 여러 명의 이름이 대화방에서 오르내렸으며, 성적인 표현이 적힌 사진도 공유됐다. 친구가 올린 사진을 본 A군은 대화방에서 “(성적으로) 그런 취향을 000(여학생)가 받아주면 결혼해”라며 웃고 떠들었다. 이들의 대화 내용은 대화방에 이름이 언급된 한 여학생이 이를 알게 되면서 드러났다. 해당 여학생은 학교 선배로부터 태블릿PC를 빌려 썼다가 A군의 아이디와 비밀번호가 저장된 것을 발견했고 그의 페이스북 계정에 로그인했다. A군이 한 달 전 해당 태블릿PC를 빌려 쓰면서 저장해 둔 그의 아이디와 비밀번호가 그대로 남아 있었던 것. 남학생들의 대화를 보고 깜짝 놀란 이 여학생은 함께 이름이 언급된 친구에게도 대화 내용을 알렸고, 성적 수치심을 참을 수 없어 학교에 신고했다. 이에 학교폭력대책자치위원회는 A군 등의 메신저 대화는 사이버 성폭력 등 학교 폭력에 해당한다고 결론을 내렸다. 학교장은 학폭위의 의결에 따라 A군에게 출석정지 5일, 학급 교체, 특별교육 5시간 이수, 여학생 접촉·협박·보복행위 금지 등 징계 처분을 했다. A군은 “당시 메신저 대화 내용은 학교 폭력에 해당하지 않고 설사 학교 폭력이라고 하더라도 학교의 징계는 재량권을 벗어나 위법하다”고 소송을 제기했다. 이에 재판부는 지난해 4월 학교장이 A군에게 내린 징계 처분은 모두 무효라고 판결했다. 재판부는 “학교 폭력 가해 학생에 대한 조치는 학교 생활기록부에 기재된다”며 “향후 당사자가 진학하거나 직업을 선택할 때 불이익을 받을 수 있어 신중히 조치해야 한다”고 밝혔다. 이어 “원고가 같은 학교 여학생들의 외모를 평가해 순위를 매기고 ‘성적 취향을 받아주면 여학생과 결혼하라’는 말을 한 사실은 인정된다”면서도 “학교폭력예방법에 명시된 위법 행위에 준할 정도라고 보긴 어렵다”고 판단했다. 재판부는 “3명만 있는 메신저에서 그런 대화가 이뤄졌고 직접 피해 학생들에게 메시지를 보낸 것은 아니다”라며 “전후 대화 내용을 전체적으로 보면 서로 놀리고 장난치는 과정에서 부적절한 표현이 나온 것으로 보인다”고 덧붙였다. 또한 “그런 표현이 명예훼손·성폭력에 해당하거나 음란정보와 같은 심각한 내용으로도 보기 어렵다”며 “학교 폭력이 아니어서 원고에 대한 징계는 위법하다”고 설명했다. 임효진 기자 3a5a7a6a@seoul.co.kr

포스단말기·ATM에 악성코드 심어 이용 때마다 카드 비번·개인정보 빼내 멤버십가맹점 서버도 뚫려 정보 숭숭 금감원 아직 해킹 진원지조차 파악 못해 공범 검거 안돼 게임사이트 등 결제 우려 범정부 TF 꾸려 소비자 피해 예방 나서야현금자동입출금기(ATM)와 카드가맹점 포스단말기, 멤버십가맹점 등 불특정 다수의 전산기기가 해킹돼 사상 최대의 금융·개인 정보가 유출되는 사건이 발생했다. 특정업체 한 곳이 아니라 카드사·금융사·기업 등 경제 근간을 이루는 곳들이 두루 연계돼 있어 범정부 차원의 태스크포스(TF)를 꾸려 유출 실태를 파악하고, 서둘러 소비자 피해 예방 조치에 나서야 한다는 지적이 나온다. 이번 유출 사건은 시중은행 해킹 혐의로 지난해 6월 구속된 이모(42)씨의 추가 범행과 공범 수사 과정에서 1.5테라바이트(TB) 분량의 외장하드를 확보하면서 불거졌다. 은행 보안 관련 일을 하는 이씨는 2012년 커피숍·중소형 슈퍼·생활잡화점·음식점 등 국내 카드가맹점 수백 곳의 포스단말기에 카드 정보를 빼내는 악성코드를 심었다. 악성코드는 이메일로 유포돼 가맹점 사업주나 종업원들이 포스단말기에서 메일을 확인하는 순간 자동으로 깔렸다. 고객이 카드를 사용할 때마다 이씨가 설정해 놓은 메일로 카드 트랙 정보가 실시간으로 빠져나갔다. 이씨는 2014년 4월 경찰에 적발돼 복역하고 2016년 초 출소했지만 당시 악성코드를 심어놓은 포스단말기에선 지금도 정보가 빠져나가고 있다. 1.5TB 내 카드 정보도 그때 심어놓은 악성코드를 통해 유출된 정보들이다. 복수의 금융권 관계자는 “금융감독원은 아직도 포스단말기 해킹 진원지조차 파악하지 못하고 있다”고 지적했다. 유출 카드 정보는 카드 트랙 정보를 뜻한다. 카드 트랙엔 카드 번호, 유효 기간, 비밀번호 암호화값 등이 담겨 있다. 이 정보만 있으면 복제카드를 만들 수 있다. 카드 한 장에 들어가는 트랙 정보는 40줄로, 40바이트(Byte) 용량이다. 1.5TB는 1조 6492억 6744만 5000바이트로, 카드 정보 기준으로 412억 3168만 6125건이 들어간다. 최근 싱가포르 사설 보안업체에서 다크웹을 통해 불법 거래되는 국내 카드 정보를 파악해 우리 금융당국에 통보한 90만건은 35킬로바이트(KB) 수준으로, 비교 자체가 되지 않는다. 출소한 이씨는 은행 ATM에도 악성코드를 깔았다. 고객이 ATM을 이용할 때마다 실시간으로 카드 비밀번호, 은행계좌번호, 주민등록번호, 이름 등이 유출됐다. 1.5TB 분석 결과가 나오면 국내 어느 금융사의 ATM이 해킹됐는지, 계좌 유출과 피해 규모가 얼마나 되는지 파악할 수 있다. 멤버십가맹점 서버도 뚫렸다. 1.5TB 안엔 멤버십 회원번호와 주소, 휴대전화번호 등도 담겨 있다. 경찰은 서버 자체가 해킹된 것으로 보고 유출 경위를 확인하고 있다. 문제는 공범이 아직 검거되지 않았다는 점이다. 이씨와 해킹을 함께한 범인들이 1.5TB 분량의 금융·개인 정보를 갖고 있다면 휴대전화 간편결제 서비스와 도난 카드정보가 흔히 사용되는 게임사이트 등에서 악용할 수 있다. 김득의 금융정의연대 상임대표는 “2014년 카드 3사의 1억건 정보 유출보다 규모가 크다면 검찰까지 포함해 범정부 차원의 TF를 구성해 서둘러 수사하고 소비자 피해 예방 조치를 해야 한다”며 “정보 유출에 따른 피해와 관련해선 징벌적 손해배상이나 집단소송 등을 통해 소비자 피해 보상이 제대로 이뤄져야 한다”고 지적했다. 김승훈 기자 hunnam@seoul.co.kr 윤연정 기자 yj2gaze@seoul.co.kr

성 착취물을 제작·유포한 텔레그램 ‘박사방’ 운영자 조주빈(25)에게 피해자들의 개인정보를 넘긴 혐의로 구속기소된 최모(26)씨가 첫 재판에서 혐의를 대체로 인정했다. 12일 서울중앙지법 형사25단독 장원정 판사의 심리로 열린 첫 재판에서 최씨는 대부분의 사실관계는 인정하면서도 조씨에게 받은 대가가 많지 않은 점을 양형에 참작해달라고 주장했다. 최씨는 지난해 1월부터 6월까지 서울의 한 주민센터에서 사회복부요원으로 근무하면서 204명의 개인정보를 무단 조회하고, 107명의 개인정보를 무단 제공한 혐의를 받는다. 검찰은 최씨가 인터넷 커뮤니티에 올라온 조씨의 아르바이트 구인 글을 보고 범행에 가담해, 17명의 개인정보를 조씨에게 판매한 것으로 보고있다. 조씨는 최씨에게 받은 개인정보 자료로 박사방에서 피해여성들을 협박해 성착취 영상물을 찍게 한 것으로 알려졌다. 최씨 측 변호인은 대부분의 사실관계를 인정한다면서도 최씨가 조씨에게 실제 받은 돈은 10만원에 불과하다고 주장했다. 또 최씨가 개인정보 조회에 이용한 다른 공무원들의 공인인증서 아이디와 비밀번호를, 공무원들이 직접 알려준 것인지 최씨가 몰래 알아낸 것인지도 확인해달라고 요청했다. 최씨는 현재 소집해제된 상태로 주민센터에서 근무하지 않고있다. 경찰은 최씨 등 박사방에 연루된 사회복무요원들과 함께 일한 공무원들도 입건해 수사 중이다. 재판부는 다음 달 10일 증거조사와 피고인 신문을 진행한 뒤 변론을 종결하기로 했다. 이혜리 기자 hyerily@seoul.co.kr

20대 공무원이 초등학생을 협박해 나체 동영상 등을 찍도록 한 뒤 전송 받아오다 구속됐다. 대전지검은 11일 A(22)씨를 성폭력범죄의 처벌 및 피해자보호 등에 관한 법률(13세 미만 미성년자 강제추행) 위반 등 혐의로 구속 기소했다. A씨는 모 구청 공무원 생활을 하다 입대해 군 복무를 하던 지난해 7월 채팅 애플리케이션에서 안 초등학생 B(12)양에게 “네 신상을 다 알고 있으니 나체 동영상을 찍어보내라”고 협박해 같은 해 10월까지 3차례에 걸쳐 A양의 노출 사진과 나체 동영상을 전송받은 혐의를 받고 있다. A씨는 또 “나체 동영상을 유포하겠다”고 협박해 B양의 집 현관문 비밀번호를 알아내기도 했다. A씨의 범행은 이 사실을 안 B양의 가족이 군부대에 진정서를 내 들통이 났다. 대전지검은 이날 또 아동·청소년 성착취물을 판매한 고교 2년생 4명 가운데 3명을 구속하고 1명을 불구속 입건했다. 이들은 지난해 9~12월 사이 인터넷에서 각각 1600여개의 성착취물을 내려받아 소셜네트워크서비스(SNS)를 통해 28 차례에서 57 차례 다른 사람에게 판매한 혐의를 받고 있다. 이들 고교생은 이를 팔아 적게는 모두 70만원에서 300만원까지 챙긴 것으로 밝혀졌다. 대전 이천열 기자 sky@seoul.co.kr

큐알(QR)코드를 기반으로 한 전자출입명부 제도가 10일 전국 8대 고위험시설 8만여곳에서 일제히 시행됐다. 헌팅포차, 감성주점, 유흥주점(클럽·룸살롱 등), 단란주점, 콜라텍, 노래연습장, 실내 집단 운동시설(줌바·태보·스피닝 등 격렬한 단체운동), 실내 스탠딩 공연장(관객석 전부 또는 일부가 입석으로 운영되는 공연장) 등 집단 감염 위험이 높은 시설을 방문할 때는 개인 신상정보가 담긴 QR코드를 찍고 들어가야 한다. 8대 고위험 시설 외에 지방자치단체가 전자출입명부 적용을 명한 시설도 의무 적용대상에 포함된다. 김강립 중앙재난안전대책본부 1총괄조정관은 이날 브리핑에서 “전자출입명부를 도입한 학원에 인센티브를 주는 방식으로 학원의 참여도 독려하겠다”고 밝혔다. QR코드 적용하면 집단감염 때 추적 용이 방역당국이 QR코드 전자출입명부를 도입한 것은 고위험시설에서 코로나19 확진자가 발생했을 때 집단감염으로 이어질 가능성이 매우 높기 때문이다. 그 동안에는 이런 시설을 이용할 때 이용자가 이름과 전화번호를 기입하는 수기 출입명부를 작성하도록 했다. 하지만 이태원 클럽발 집단감염 때 허위로 출입명부를 작성한 이들이 많아 접촉자를 찾기 위한 역학 조사에 혼란을 겪었고, 그 사이 집단 감염이 지역사회로 확산한 사례가 있었다. 또 신분증을 확인하고 수기로 개인 정보를 작성했을 때는 내 개인 정보가 업주 뿐만 아니라 같은 공간을 방문한 타인에게까지 쉽게 공개될 수 있어 개인 정보 침해 우려가 컸다. 펜과 장부 등을 불특정 다수가 공유하면서 교차 오염의 위험도 존재했다. 그래서 정확한 정보를 바탕으로 신속하게 코로나19 확산을 막고 안전하게 개인 정보를 보호하고자 도입한 게 바로 QR코드를 활용한 전자출입명부다. QR코드는 정사각형 모양의 불규칙한 마크로 된 일종의 암호화된 코드다. 스마트폰으로 포털사이트 네이버에 접속해 로그인을 하고서 처음 뜨는 화면 상단에 ‘내 정보 아이콘’을 누르고 QR코드 체크인을 클릭하면 개인 QR 코드가 생성된다. 이렇게 생성된 QR 코드를 입장할 때 인식해주면 된다. 본인 QR 코드는 15초마다 새롭게 생성되기 때문에 여러 곳에서 중복으로 사용할 수 없다. 이용자의 휴대폰이 스마트폰이 아닌 2G폰이거나 전자출입명부를 기록하기 싫다면 수기로 개인 정보를 남기면 된다. 정부는 QR코드 발급 회사를 더 확대할 계획이다. 개인정보는 2개 기관서 각각 보관, 필요할 때 퍼즐 맞추듯 결합 이용자가 QR코드를 찍으면 암호화된 QR코드와 출입기록이 보건복지부 산하 기관인 사회보장정보원으로 자동 전송된다. 수집된 정보는 4주 후에 자동 폐기된다. 사회보장정보원은 QR코드와 방문 기록만 갖게 된다. 또 QR코드 발급 업체는 개인 정보와 QR코드만 갖는다. 따라서 각 기관이 가진 정보만으로는 누가 언제 어디를 방문했는지 알 수 없다. 역학조사가 필요할 때 질병관리본부가 요청해야 QR코드 제공 업체와 사회보장정보원이 가진 각각의 정보를 결합해 누가 몇월 며칠 몇시에 그 시설을 방문했는지 확인할 수 있다. 여러개의 조각을 맞춰야 하나의 그림이 완성되는 퍼즐과 같다. QR코드 기반의 전자출입명부를 도입하는 시설주는 별도의 장비가 없어도 된다. 사용 중인 스마트폰이나 와이파이가 연결된 공기계를 사용해 QR코드를 스캔할 수 있다. 먼저 사용하려는 스마트폰에서 전자출입명부 앱을 다운 받는다. 처음 실행할 때는 사업자 신규 등록을 해야 한다. 사업자 신규 등록 버튼을 누르고 약관에 동의한 뒤 사업자 정보를 입력하고 사업자 등록증을 첨부하고서 등록 버튼을 누르면 된다. 다음으로 휴대폰 본인 인증을 하면 사업자 등록이 완료된다. 이어서 나오는 화면에 아이디와 비밀번호를 입력하고 회원 가입을 하면 끝이다. 이렇게 만든 QR코드 인식 앱을 켜고 방문자의 QR코드가 화면에 잘 보이게 갖다 대면 자동으로 인식되고 ‘인증되었습니다’라는 안내 음성이 나온다. QR코드 스캔은 사업주가 아닌 직원도 할 수 있다. 앱에서 직원 등록 버튼을 누르고 직원의 이름, 아이디, 비밀 번호 입력하면 해당 직원도 방문자 스캔이 가능하다. 30일까지 계도기간, 명단 부실 작성 시 300만원 이하 벌금 정부는 자신이 운영하는 시설이 QR코드 의무 도입 대상이라는 것을 모를 수도 있고, 고령자는 QR코드 이용 자체를 어려워할 수 있어 오는 30일까지 계도기간을 두기로 했다. 계도기간에는 전자출입명부를 도입하지 않더라도 사업주에게 바로 벌칙을 적용하지 않고 개선 기회를 준다. QR코드 기반의 전자출입명부를 바로 도입하지 못하더라도 수기 등 다른 방법을 동원해 방문자 명단은 작성해야 한다. 이는 이용자도 마찬가지다. 출입자 명단을 허위로 작성 또는 부실하게 관리하다가 적발되면 사업자와 이용자 모두 300만원 이하 벌금형에 처해질 수 있다. 이현정 기자 hjlee@seoul.co.kr

이용자 모르는 부정결제 뒤늦게 드러나 토스 “해킹 아냐” 해명에도 탈퇴 문의 빗발비바리퍼블리카가 운영하는 금융 플랫폼 토스에서 고객 몰래 돈이 결제된 데 이어 생체인증이 보이스피싱에 악용된 것으로 확인됐다. 연일 보안 사고가 터지면서 토스 이용자들의 탈퇴 문의가 이어지고 있다. 토스 측은 두 건의 사고 모두 토스 애플리케이션(앱)에 대한 해킹은 아니라고 밝혔지만, 고객 정보가 어디서 유출됐는지는 파악하지 못한 상황이다. 9일 토스에 따르면 지난 3일 게임업체 블리자드 등 온라인 가맹점 3곳에서 토스 고객 8명의 명의를 도용한 부정 결제가 발생했다. 부정 결제에 사용된 고객 정보는 이름과 전화번호, 생년월일, 토스 비밀번호 다섯 자리로 피해액은 938만원이다. 토스는 고객 4명으로부터 민원을 접수한 뒤 해당 계정을 차단했고, 이후 가맹점 결제 내역을 전수조사해 추가 피해 고객 4명을 발견했다. 토스 관계자는 “해킹이 아니라 외부에 유출된 개인정보가 도용된 것이며, 피해 사실 접수 후 즉시 전액 환급했다”고 밝혔다. 다만 최초 개인정보 유출이 어디서 어떻게 이뤄졌는지는 알 수 없다는 입장이다. 사고 원인을 찾기 위해 현재 경찰과 금융감독원이 조사를 진행하고 있다. 게다가 지난 2월에는 토스의 생체인증 방식을 악용한 보이스피싱으로 부정 결제가 이뤄진 것으로 드러났다. 당시 검찰수사관을 사칭한 보이스피싱범은 게임 사이트에서 이용자의 정보를 도용해 피해자 전화로 결제유도 메시지를 보냈다. 이후 피해자에게 계속 휴대폰 화면을 보도록 유도해 생체인증(페이스인증)이 이뤄지게 하는 방식으로 200만원을 결제했다. 홍인기 기자 ikik@seoul.co.kr

#얼마 전부터 보험설계사라는 심현송(50·가명)을 작업하고 있다. 그가 개인 블로그에 올린 재테크 정보를 지켜보다 카톡 대화를 시작했다. 나는 그에게 러시아에서 암호화폐 거래소인 ‘페이어’(Payeer)를 운영 중인 대표라고 소개했다. “고수익 투자 정보를 알려줄 수 있다”고 떠보니 관심을 보인다. 나는 그에게 ‘거래소 재정거래’(거래소 간 코인 가격 차이를 이용한 차익 매매) 참여를 제안했다. 심씨는 10분 만에 투자금의 10% 수익을 거둘 수 있다는 설명에 투자 참여를 원했다. 나는 그의 컴퓨터에 원격조종 프로그램을 설치해 내가 지정한 전자지갑 서비스에 가입을 시켰다. 심씨는 투자자 5명이 모은 1억 8000만원(4월 시세 기준)어치의 이더리움을 내가 지정한 전자지갑에 전송했다. 이제 지갑에서 돈을 꺼내 유유히 사라질 차례다. 경찰에 신고한다고 과연 나를 뒤쫓을수 있을까.(*피해자들과의 인터뷰를 통해 재구성한 디마 시점으로 본 사기 수법)9일 서울신문 취재 결과 우크라이나에 근거지를 둔 것으로 알려진 ‘디마’는 올 들어 ‘야로´, ‘야릭´ 등으로 이름을 수시로 바꿔가며 포털 사이트의 투자·재테크 카페를 중심으로 코인 탈취 범죄를 저지른 혐의로 현재 수사를 받고 있다. 심씨는 “디마가 ‘메타마스크´라는 특정 지갑 서비스에 가입시켜 이더리움을 넣게 하고 자신이 만든 사이트로 돈을 보내면 7~10%의 수익을 얹어 돌려주는 방식을 제안했다”며 “지갑 서비스에 가입시킬 때 지갑 비밀번호를 바꿀 수 있는 12개의 암호 키를 탈취해 돈을 빼간 것 같다”고 말했다. 강남에서 학원을 운영하는 황종태(53)씨는 지난달 21일 디마의 카톡을 받았다. 주변 지인들과 3억원어치의 1000이더를 모았지만 ‘다시 한번 더 확인하고 최종 투자를 결정하자´는 주변의 충고에 마지막 순간 투자 결정을 뒤집었다. 황씨는 “직접 페이어 본사에 메일을 보내 확인했지만 그런 사람은 알지 못한다는 답변을 받았다”며 “디마의 투자 제안에 응했다면 어떻게 됐을지 아찔하다”고 가슴을 쓸어내렸다. 지난 3월 당시 시세 기준으로 1억 6000만원 상당의 이더리움을 탈취당하는 피해를 본 곽정훈(44·가명)씨도 범인을 디마로 지목했다. 곽씨는 “디마가 암호화폐로 결제가 가능한 ‘골드카드’를 만드는 사업을 한다며 자금 증빙을 해달라고 했다”고 털어놨다. 그는 “우크라이나까지 가서 직접 그를 만나 샘플카드도 받았다”며 “눈앞에서 직접 결제가 되는 걸 확인했을 때 디마의 말을 믿게 됐다”고 말했다. 하지만 그가 보여준 샘플카드는 단순히 현금이 충전된 기프트카드였다. 곽씨는 디마에 대해 “30대 초중반의 경상도 사투리를 쓰는 남성이었다”고 떠올렸다. 곽씨의 사건을 수사 중인 서울 강북경찰서는 “피해자의 카카오톡 IP를 조회한 결과 상대 주소가 우크라이나 등 해외 국가로 나왔다”고 밝혔다. 서울신문이 블록체인 보안 전문업체인 웁살라시큐리티에 의뢰해 디마의 전자지갑에 대한 자금을 추적한 결과 그가 탈취한 암호화폐들은 일주일 새 1000건이 넘는 거래로 세탁돼 해외 거래소로 이동한 것으로 확인됐다. 국내 사법기관의 감시망을 피해 해외 거래소들로 탈취된 코인들이 빠져나갔다는 건 사실상 더이상의 추적이나 환수가 불가능하다는 걸 나타낸다. 자금 세탁 수법도 갈수록 지능화되고 있는 것으로 나타났다. 디마는 단시간에 수백건씩 비정상적인 거래를 일으켜 자금을 섞는 ‘믹싱 앤 텀블링’ 방식으로 세탁했다. 곽씨 사례의 경우 탈취 직후 이틀 동안 175건의 거래를 거쳐 자금 세탁이 이뤄진 반면 심씨의 자금은 540건의 거래가 일어난 것으로 파악됐다. 자금 세탁 과정에서 바이낸스(중국)와 크라켄(미국) 등 특정 해외 거래소와 스마트컨트랙(거래의 일정 조건을 만족시키면 당사자 간에 자동으로 거래가 체결되는 블록체인 기술) 주소가 반복해서 사용되는 모습도 나타났다. 박정섭 웁살라시큐리티 연구원은 “스마트컨트랙에도 해킹 자금 일부가 들어가 코인 상장(ICO) 등에 재투자하는 식으로 세탁을 시도한 것으로 보인다”고 진단했다. 이태권 기자 rights@seoul.co.kr 본 기획물은 한국 언론학회-SNU 팩트체크 센터의 지원을 받았습니다. 서울신문 탐사기획부는 암호화폐(가상자산)와 연관된 각종 범죄 및 피해자들을 다룬 ‘2020 암호화폐 범죄를 쫓다’를 보도하고 있습니다. 암호화폐 거래소 비리와 다단계 투자 사기, 자금세탁·증여, 다크웹 성착취물·마약 등 범죄와 관련된 암호화폐 은닉 수익 등에 관한 제보(tamsa@seoul.co.kr)를 부탁드립니다.

러시아 거래소 대표 사칭해 ‘고수익’ 미끼해킹범 지갑 속 ‘1000여건’ 거래 자금세탁한국 피해자들에게 탈취한 코인 ‘믹싱＆텀블링’바이낸스·크라켄 등 해외 거래소로 돈 빼돌려#얼마 전부터 보험설계사라는 심현송(50·가명)을 작업하고 있다. 그가 개인 블로그에 올린 재테크 정보를 지켜보다 카톡 대화를 시작했다. 나는 그에게 러시아에서 암호화폐 거래소인 ‘페이어’(Payeer)를 운영 중인 대표라고 소개했다. “고수익 투자 정보를 알려줄 수 있다”고 떠보니 관심을 보인다. 나는 그에게 ‘거래소 재정거래’(거래소 간 코인 가격 차이를 이용한 차익 매매) 참여를 제안했다. 심씨는 10분 만에 투자금의 10% 수익을 거둘 수 있다는 설명에 투자 참여를 원했다. 나는 그의 컴퓨터에 원격조종 프로그램을 설치해 내가 지정한 전자지갑 서비스에 가입을 시켰다. 심씨는 투자자 5명이 모은 1억 8000만원(4월 시세 기준)어치의 이더리움을 내가 지정한 전자지갑에 전송했다. 이제 지갑에서 돈을 꺼내 유유히 사라질 차례다. 경찰에 신고한다고 과연 나를 뒤쫓을수 있을까. (*피해자들과의 인터뷰를 통해 재구성한 디마 시점으로 본 사기 수법) 해킹범 ‘디마’는 어떻게 코인을 훔쳤나 9일 서울신문 취재 결과 우크라이나에 근거지를 둔 것으로 알려진 ‘디마’는 올 들어 ‘야로‘, ‘야릭’ 등으로 이름을 수시로 바꿔가며 포털 사이트의 투자·재테크 카페를 중심으로 코인 탈취 범죄를 저지른 혐의로 현재 수사를 받고 있다. 심씨는 “디마가 ‘메타마스크‘라는 특정 지갑 서비스에 가입시켜 이더리움을 넣게 하고 자신이 만든 사이트로 돈을 보내면 7~10%의 수익을 얹어 돌려주는 방식을 제안했다”며 “지갑 서비스에 가입시킬 때 지갑 비밀번호를 바꿀 수 있는 12개의 암호 키를 탈취해 돈을 빼간 것 같다”고 말했다. 강남에서 학원을 운영하는 황종태(53)씨는 지난달 21일 디마의 카톡을 받았다. 주변 지인들과 3억원어치의 1000이더를 모았지만 ‘다시 한번 더 확인하고 최종 투자를 결정하자’는 주변의 충고에 마지막 순간 투자 결정을 뒤집었다. 황씨는 “직접 페이어 본사에 메일을 보내 확인했지만 그런 사람은 알지 못한다는 답변을 받았다”며 “디마의 투자 제안에 응했다면 어떻게 됐을지 아찔하다”고 가슴을 쓸어내렸다. 지난 3월 당시 시세 기준으로 1억 6000만원 상당의 이더리움을 탈취당하는 피해를 본 곽정훈(44·가명)씨도 범인을 디마로 지목했다. 곽씨는 “디마가 암호화폐로 결제가 가능한 ‘골드카드’를 만드는 사업을 한다며 자금 증빙을 해달라고 했다”고 털어놨다. 그는 “우크라이나까지 가서 직접 그를 만나 샘플카드도 받았다”며 “눈앞에서 직접 결제가 되는 걸 확인했을 때 디마의 말을 믿게 됐다”고 말했다. 하지만 그가 보여준 샘플카드는 단순히 현금이 충전된 기프트카드였다. 곽씨는 디마에 대해 “30대 초중반의 경상도 사투리를 쓰는 남성이었다”고 떠올렸다. 곽씨의 사건을 수사 중인 서울 강북경찰서는 “피해자의 카카오톡 IP를 조회한 결과 상대 주소가 우크라이나 등 해외 국가로 나왔다”며 “네이버에도 영장을 신청해 피의자 특정에 주력하고 있다”고 밝혔다.훔친 코인 이틀 만에 수백건 거래 거쳐 세탁 서울신문이 블록체인 보안 전문업체인 웁살라시큐리티에 의뢰해 디마의 전자지갑에 대한 자금을 추적한 결과 그가 탈취한 암호화폐들은 일주일 새 1000건이 넘는 거래로 세탁돼 해외 거래소로 이동한 것으로 확인됐다. 국내 사법기관의 감시망을 피해 해외 거래소들로 탈취된 코인들이 빠져나갔다는 건 사실상 더이상의 추적이나 환수가 불가능하다는 걸 나타낸다. 현재 암호화폐의 국제적인 자금 이동의 경우 국제 사법 공조를 통해 거래내역 확인이나 거래중지 요청을 할 수 있지만, 대부분 코인 탈취 피의자의 신분을 특정하기가 어렵고 해외 거래소도 협조적이지 않다는 걸 노린 것으로 풀이된다. 자금 세탁 수법도 갈수록 지능화되고 있는 것으로 나타났다. 디마는 단시간에 수백건씩 비정상적인 거래를 일으켜 자금을 섞는 ‘믹싱 앤 텀블링’ 방식으로 세탁했다. 곽씨 사례의 경우 탈취 직후 이틀 동안 175건의 거래를 거쳐 자금 세탁이 이뤄진 반면 심씨의 자금은 540건의 거래가 일어난 것으로 파악됐다. 박정섭 웁살라시큐리티 연구원은 “불과 한 달 사이에 탈취 자금을 세탁하는 경로가 3배 이상 복잡해졌다”고 분석했다. 자금 세탁 과정에서 바이낸스(중국)와 크라켄(미국) 등 특정 해외 거래소와 스마트컨트랙(거래의 일정 조건을 만족시키면 당사자 간에 자동으로 거래가 체결되는 블록체인 기술) 주소가 반복해서 사용되는 모습도 나타났다. 박 연구원은 “대부분의 자금이 해당 거래소들에서 현금화됐을 가능성이 있다”며 “스마트컨트랙에도 해킹 자금 일부가 들어가 코인 상장(ICO) 등에 재투자하는 식으로 세탁을 시도한 것으로 보인다”고 진단했다. 이태권 기자 rights@seoul.co.kr

국내 신용카드 정보 90만건이 해외 인터넷에서 불법 유통 중인 사실이 드러났다. 8일 여신금융협회에 따르면 최근 금융보안원은 싱가포르의 보안업체로부터 한국 신용카드 정보 90만건이 불법 유통된 사실을 전달받았다. 여신금융협회는 “유출된 정보는 카드번호, 유효기간, 뒷면에 기재된 세 자리 CVC(CVV) 번호 등이다. 비밀번호는 도난당하지 않았다”고 밝혔다. 이어 “불법 유통된 90만건 중 유효기간 만료 카드 등 사용이 불가능한 카드가 54%이며 유효한 카드는 약 41만건으로 파악됐다”면서 “업계는 탈취된 카드정보를 부정사용방지시스템(FDS)에 반영해 감시하고 있다”고 전했다. FDS는 신용카드 부정 사용을 실시간 감시하는 시스템으로, 부정 사용 징후가 감지되면 승인을 차단하고 소비자 휴대전화로 통지하는 방식으로 작동한다. 카드업계는 준비가 완료되는 대로 해당 카드 명의자에게 정보 도난 사실을 순차로 안내할 예정이다. 당국은 집적회로(IC)칩 인식 방식의 결제 단말기 도입 이전 마그네틱선 결제 단말기 등이 해킹돼 정보가 도난당한으로 추정할 뿐 정확한 탈취 경위도 파악하지 못하고 있다. 마그네틱선 인식 방식은 보안성이 낮아 포스(POS) 단말기를 통해 정보를 도난당할 수 있다. 또 정보 탈취와 불법 유통에 따른 부정 사용 피해가 있었는지조차 확실치 않은 상황이다. 여신금융협회는 정보를 도난당한 카드는 재발급을 받으라고 권장했다. 협회 관계자는 “도난당한 카드 정보 내역을 확보했기 때문에 그로 인한 피해가 생기면 카드사가 전액 보상하므로 회원의 피해는 없을 것”이라고 설명했다. 협회는 카드 부정사용을 예방하려면 ▲ 가맹점에 IC 칩 결제 거래 요청 ▲ 비밀번호 변경 ▲ 해외 승인 중지 서비스 이용 ▲ 출입국 정보 활용 동의 등을 이용하라고 안내했다. 이보희 기자 boh2@seoul.co.kr