스마트폰 사용이 보편화되면서 부고장·청첩장을 가장하는 등 다양한 형태로 링크를 보내는 스미싱 범죄가 퍼지고 있다. 경찰청은 "아는 번호로 온 문자여도 확인되지 않은 링크는 절대 누르지 말라"며 "미확인 앱이 함부로 설치되지 않도록 스마트폰의 보안설정을 강화하라"고 당부하고 있다. 사진 KT

어느 날 오후 7시, 모르는 번호로 모바일 청첩장이 도착했다. 무심코 URL을 눌렀는데 얼마 지나지 않아 휴대전화는 먹통이 됐다. 문자 메시지를 이용한 스미싱(SMS phishing) 사기에 당한 것이다. 지난해 3월 30일 A씨에게 벌어진 일이다.

휴대폰에 원격 제어 프로그램이 깔리는 건 순식간이었다. 범인은 문자 발송 이튿날 A씨 명의로 새 휴대폰을 개통했다. 사진첩에 들어 있던 운전면허증 사진으로 저축은행 앱(애플리케이션)에서 새 계좌를 개설한 뒤 A씨 명의로 8150만원의 신용대출도 받았다. 이 중 6000만원은 곧장 대포통장으로 빠져나갔다. 휴대폰 개통부터 대출금이 나오기까지 걸린 시간은 33분이었다.

범인은 A씨 보험을 담보로도 958만원의 보험계약대출을 받았다. 비대면 대출 절차에 필요한 건 면허증 사진과 ‘1원 송금’ 인증, 네이버 인증뿐이었다. 앱 로그인부터 대출 승인까지 10분이 걸렸다. A씨의 주택청약저축을 헐어서 돈을 가져가는 데는 몇 가지 절차가 더 필요했다. 모바일OTP와 모바일 인증서를 새로 발급받아 계좌 해지를 신청했다. 이 때문에 ARS 추가 인증을 거쳐야 했지만 결국 저축 잔액과 이자 약 1180만원을 빼돌렸다.

피해 사실을 알게 된 A씨는 4월 3일 경찰서에 이같은 사실을 신고했다. 범행에 가담한 인출책 1명이 붙잡혀 재판을 받았고, 일부 금액은 반환받을 수 있었지만 저축은행 대출금 3900만원 등은 여전히 A씨 몫으로 남았다. 결국 A씨는 은행 등을 상대로 채무가 무효임을 확인해달라는 소송을 제기했다. 금융사들이 본인확인조치를 다하지 않았으므로 대출 효력이 없다는 것이다.

서울 서초동 서울중앙지방법원 모습. 뉴스1

법원은 A씨 손을 들어줬다. 8일 서울중앙지법에 따르면 제83민사단독 한나라 판사는 A씨가 3개 기관을 상대로 제기한 채무부존재 확인 소송에서 원고 승소로 판결했다. 법원은 A씨가 갚고 남은 저축은행 대출 원리금과 보험약관대출은 존재하지 않는다고 판단했다. 또 청약저축은행에는 저축금액 1180만원을 A씨에게 지급하라고 했다.

한 판사는 우선 범인이 A씨의 운전면허증 원본이 아닌 사본을 사용했는데도 저축은행 측이 이를 가려내지 못한 게 문제라고 봤다. 한 판사는 “신분증 사본을 여러 필요에 따라 이미지 파일 형태로 저장하는 건 사회 통념상 이례적 행위가 아니다”라며 이 때문에 신분증 도용 문제가 지속적으로 제기돼 왔는데도 은행이 이같은 허점을 보완하지 않았다고 지적했다. 만일 기술적으로 원본과 사본을 구별할 수 없다면 영상통화를 추가로 요구하는 등 인증 절차를 보강했어야 한다는 것이다.

보험사 역시 A씨가 한 번도 보험약관대출을 신청한 적이 없었던 점 등을 감안하면 본인확인 절차를 보충했어야 한다고 봤다. 청약저축을 해지할 때 요구한 ARS 인증은 휴대폰 제어권이 완전히 넘어간 상황에서 실효성이 적다고 봤다. 모바일 인증서를 신규 발급한 직후에 저축을 해지한 데다, 기존 거래와 다른 환경에서 접속한 점을 확인했다면 이같은 조치는 부족했다는 것이다.

한 판사는 금융기관이 실명 확인 절차를 준수했는지 판단할 때는 “최근 급증하는 스미싱 등 범행의 특수성이 고려돼야 한다”며 “비대면 금융거래 활성화로 인한 금융기관의 금융수익 등을 고려해 엄격한 기준이 적용돼야 한다”고 지적했다. 법원은 이런 기준에 비춰볼 때 은행 등이 사고 방지에 충분히 적극적이지 않았다고 판단했다.