"가상자산 계정도 보이스피싱 당하면 즉시 지급 정지"

최근 가상자산이나 간편송금 등을 이용한 새로운 유형의 보이스피싱 범죄가 기승을 부리자 금융당국이 대응체계를 강화하기로 했다. 피해 신고 시 은행 계좌처럼 가상자산 계정도 즉시 지급정지될 수 있도록 법개정에 나서고, 국내 거래소에 있는 가상자산을 해외 거래소나 개인의 전자지갑으로 보내려 할 때 일정 기간 전송이 제한되도록 숙려기간을 일괄 적용할 예정이다. 안면인식 시스템을 도입하는 방식으로 비대면 계좌개설 시 본인확인 절차도 한층 강화하기로 했다.

○가상자산 보이스피싱, 30% 증가

금융위원회는 28일 이 같은 내용의 ‘금융분야 보이스피싱 대책’을 발표했다. 정부가 보이스피싱 엄단 기조를 보이면서 전체 보이스피싱 피해액은 2021년 7744억원(3만1000여건)에서 작년 5438억원(2만1800여건)으로 30% 감소했다. 하지만 가상자산을 이용한 보이스피싱 피해액은 2020년 82억6000만원(305건)에서 2021년 163억6000만원(599건), 지난해 199억6000만원(414건)으로 증가하고 있다.

ATM(자동인출금기) 1일 출금한도 제한 등 조치가 시행되며 전통적 방식을 활용한 범죄가 어려워지자 비교적 범죄수익 출금이 쉬운 가상자산 쪽으로 피싱범이 몰리는 것이다. 사기 유형은 크게 세가지다. 범인이 본인 계좌로 피해금을 받아 직접 가상자산을 구매하거나, 10% 가량 수수료를 지급해 구매대행자를 끼고 피해금을 코인 등으로 바꾸는 식이다. 피해자가 직접 가상자사을 구매한 뒤 범인의 전자지갑으로 보내는 경우도 있다.

현재 대응체계 아래에선 피해구제에 한계가 분명하다. 먼저 피싱 피해금이 코인 등으로 전환돼 범인의 가상자산 거래소 계정으로 전송된 경우 이 계정에 대한 지급정지가 불가능하다. 거래소가 은행의 요청을 받아 해당 계정의 입출금을 막더라도 피해자에게 피해금을 돌려줄 방법이 없다는 문제도 있다. 거래소는 금융사로부터 보이스피싱 관련 계좌번호만 전달받는데, 이 정보 만으론 피해자가 누군지 알기 어렵다.

피해자가 사기범의 전자지갑으로 직접 코인을 보낸 경우라면, 은행이 아니라 피해자가 직접 범인의 계정 정지를 요청해야 한다. 그러나 범인이 어느 거래소에서 관리하는 전자지갑을 쓰고 있는지 알 길이 없다. 만약 범인이 가상자산을 다른 거래소로 한번이라도 옮긴다면, 피해금 추적은 사실상 불가능하다.

○“24시간 동안 잡아놔라”

가상자산 거래소에도 ‘보이스피싱법’을 적용해 이런 피해를 막겠다는 게 금융위 구상이다. 피해금이 가상자산으로 바뀐 경우 거래소는 즉시 범인의 계정을 정지하고 채권소멸이나 피해금 환급등의 구제절차를 진행해야 한다. 이는 법을 바꿔야 하는 사항이다. 오는 4월 중에 의원입법을 통해 보이스피싱법 개정을 추진한다는 계획이다.

범인이 국내 거래소에 가상자산을 그대로 두고 있다면 피해금 환급에 문제가 없다. 해외 거래소나 개인 전자지갑으로 보내 현금화를 해버린다면 문제가 달라진다. 자금 추적이 어려워진다. 따라서 범인이 코인 등을 쉽게 옮기지 못하도록 하는 게 중요하다. 현재 국내 거래소들은 고객이 가상자산을 해외 거래소나 개인 전자지갑으로 보내려 할 때, 일정 기간 전송을 못하도록 제한을 두고 있다.

업비트와 고팍스는 최초 원화입금은 72시간, 추가 원화입금은 24시간의 숙려기간을 적용하고 있다. 가령 업비트에서 1000만원어치 비트코인을 처음 구입했다면, 72시간 동안 이 비트코인을 다른 곳으로 보낼 수 없다. 빗썸과 코인원은 최초·추가 구분 없이 24시간의 숙려기간을 두고 있다. 금융위는 2024년부터 거래소별로 다른 숙려기간을 통일(최초 72시간, 추가 24시간) 적용할 계획이다.

남동우 금융위 민생침해금융범죄대응단장은 “24시간만 잡아놔도 피해자가 대부분 피해사실을 인식하고 신고할 수 있을 것”이라고 설명했다. 가상자산을 다른 거래소나 전자지갑으로 옮길 시 본인확인 절차도 강화한다. 현재 거래소들은 전화인증 등을 주로 이용하고 있는데, 타인명의 대포폰을 이용하면 구멍이 뚫릴 수 있다. 금융보안원이 취약점을 점검해 제도개선을 할 예정이다.

○자영업자 노린 ‘통장협박’ 증가

금융위에 따르면 간편송금을 이용한 보이스피싱 피해금도 2018년 7800만원(34건)에서 작년 6월 42억1000만원(2095건)으로 급증 추세다. 상대방 계정이나 ID, 전화번호만 입력하면 돈을 보낼 수 있다는 점을 노렸다. 사기범에 속아 ‘○○페이’를 통해 돈을 보낸 경우, 피해자 입장에선 수취 계좌가 어느 은행 계좌인지 알 수가 없다. 현재는 피해자가 직접 간편송금업체로부터 송금확인증을 교부받아 수취 은행을 확인한 뒤, 은행에 계좌정지를 요청해야 한다.

이 과정을 거치는 동안 범인은 이미 돈을 인출해 달아났을 확률이 크다. 금융위는 이에 금융사와 선불업자 사이 관련 계좌정보 등을 공유할 수 있도록 한다는 방침이다. 피해금이 어느 은행으로 갔는지 신속히 파악할 수 있다면 피해금 보전에 큰 도움이 될 수 있다는 평가다. 역시 4월 중 관련 내용의 의원입법을 추진할 계획이다.

요새 네이버 등 예약 플랫폼에 계좌번호와 전화번호 등을 올려놓는 자영업자들이 적지 않다. 이들은 ‘통장협박’의 표적이 되곤 한다. 사기범이 타인 명의 계좌로 소액을 해당 자영업자한테 보낸 뒤, 은행에 보이스피싱을 당했다고 신고를 해버리는 수법이다. 그러면 자영업자는 영문도 모른채 계좌가 정지돼 버린다. 이때 자영업자한테 접근해 지급정지를 풀어줄 테니 돈을 요구하는 게 통장협박이다.

자영업자가 피싱범한테 돈을 보낸다고 통장이 정상화되는 것도 아니다. 애초에 보이스피싱범이 본인이 아닌 타인 계좌를 도용해 돈을 보냈기 때문이다. 금융위는 금융사가 사기이용계좌(통장협박 피해자의 계좌)가 피해금 취득에 이용된 계좌가 아니라고 판단할 경우 일부 지급정지를 허용하도록 하는 대책을 내놨다. 이렇게 되면 신속한 피해 구제가 가능해지고, 통장협박 사기를 벌일 유인도 낮아질 것이란 관측이다.

이인혁 기자 twopeople@hankyung.com