최근 금융감독원 직원들의 입이 떡 벌어지게 만드는 황당한 일이 벌어졌다. 보이스피싱 조직원으로 추정되는 한 사람이 금감원이 관리하는 금융권 통합 소비자 정보 포털 ‘파인’(FINE)을 노리다 들킨 것이다. 당시 상황은 이렇다.
지난달 말 금감원 홈페이지 묻고 답하기(Q&A) 게시판에 “A 자산운용사 직원이다. 우리 회사의 전화번호와 홈페이지 주소가 바뀌었다. 파인 내 ‘제도권 금융사 조회’ 메뉴에 기재돼 있는 정보를 수정하려면 어떻게 해야 하는지 알려달라”는 글이 올라왔다. 그 글에는 작성자의 연락처와 A사의 사업자 등록증이 첨부됐다. 그 글을 본 금감원 직원은 파인 내 정보 수정 절차를 알려주려고 전화를 했는데 받지 않았다. 금감원 연락망에 있는 A사 직원에게 전화해 ‘정보는 이렇게 바꾸면 된다’고 했더니 그 직원은 ‘그런 글을 남긴 적 없다’고 답했다. 놀란 금감원은 내부 조사를 마친 뒤 사업자 등록증을 위조해 A사 직원을 사칭한 글 작성자와 그 일당을 수사해달라며 경찰에 넘겼다.
파인은 은행과 보험사, 증권사 등 여러 금융사와 업권별 협회에 분산돼 있던 금융 소비자에게 유용한 정보를 한데 모아 보여주기 위해 금감원이 2016년 개설했다. 현재 예·적금 등 금융 상품의 금리 비교부터 숨은 자산 찾기, 사기 예방 교육, 금융 분쟁 절차 안내 등 기능이 제공된다. A사를 사칭한 보이스피싱 일당이 노렸던 제도권 금융사 조회 기능의 경우 금융 당국에 등록돼 관리되는 금융사를 이름으로 검색해 전화번호와 홈페이지 주소를 확인할 수 있다. ‘KB자산운용’을 검색하면 홈페이지 주소란에 ‘www.kbitm.co.kr’이, 전화번호란에 ‘02-2167-8200’이 나오는 식이다<사진>.
제도권 금융사 조회 기능은 특정 금융사를 사칭한 보이스피싱 일당의 연락을 받은 금융 소비자가 해당 금융사의 공식 전화번호와 통화하고 있는 것인지, 접속하라고 받은 홈페이지 주소는 올바른지 확인할 수 있는 최소한의 안전장치다. 한 금융권 관계자는 “다행히 시도 단계에서 적발했지만 만약 파인이 뚫렸다면 금감원이라는 금융 감독 기관의 신뢰도에 심각한 위협을 가할 만한 심각한 사건”이라면서 “보이스피싱 일당이 금감원까지 노릴 줄은 상상도 못 했다. 간이 배 밖으로 나온 것 같다”고 말했다.
금감원은 A사를 사칭한 보이스피싱 일당이 전화를 받았더라도 파인이 뚫리는 일은 없었을 것이라는 입장이다. 금감원은 각 금융사의 재무 지표 등 정보를 주기적으로 받는데 전화번호나 홈페이지 주소가 바뀌었다면 이 채널로 통지해야 한다는 것이다. 이후 업권별 감독국의 총괄팀 담당자가 해당 정보가 맞는지 한 차례 더 확인한 뒤 정보를 수정한다. 금감원 관계자는 “파인의 보안을 유지하기 위해 매뉴얼을 완비해 대응하고 있다”고 말했다.
전문가들은 보이스피싱 일당이 개별 금융사를 넘어 감독 기관인 금감원까지 노리는 시대가 된 만큼 금융권 전반의 보안 수준을 끌어올려야 한다고 입을 모은다. 임종인 고려대 정보보호대학원 교수는 “요즘 보이스피싱 일당은 인공지능(AI)까지 동원해 허점을 찾아내므로 금감원이 자랑하는 매뉴얼은 언제든 구식이 될 수 있다는 점을 명심해야 한다”면서 “보이스피싱 피해에서 금융사의 역할이 중요한 만큼 ‘능동 보안’ 체계를 도입해 사후약방문식 대응에서 벗어나야 한다”고 말했다.
김진욱 기자 reality@kmib.co.kr