1원 송금으로 10만원 빼냈다고?

최근 A은행에서는 본인 계좌를 통한 1원 인증이 단기간에 지속적으로 발생한 사례를 포착했다. 해당 이용자는 일주일이라는 기간 1원 계좌 인증을 통해 A은행으로부터 10만원을 빼 갔다. 무려 10만번의 계좌 인증을 시도한 셈이다. 이는 물리적인 시간상 불가능에 가까워서 매크로(자동화 프로그램)를 사용한 것으로 추정됐다, A은행은 큰 피해 금액이 발생한 것은 아니지만, 해당 악용 방법이 온라인에 공유돼 리스크가 커지는 것을 막기 위해 1원 계좌인증 횟수 제한을 걸었다.

1원 계좌 인증이란 본인의 계좌를 통해 금융사로부터 1원을 받고 본인을 인증하는 비대면 실명인증 방식을 의미한다. 은행연합회의 비대면 실명인증 가이드라인에 따르면 온라인으로 실명인증을 하기 위한 절차로는 △실명확인증표 △영상통화 △카드, 통장, OTP 등 전달과정에서 확인 △기존계좌 활용(1원 계좌인증 등) △생체정보 가운데 두 가지가 필수 사항이다.

은행 입장에서는 1원 계좌인증을 통한 비용이 은행 사업에 부담되는 수준은 아니지만 악용 사례가 발생할 수 있다는 점은 우려 대목이다.

이에 카카오뱅크는 1원 계좌인증 후 가입자 개인정보 내용을 확인해 기재하는 시간을 15분으로 단축했다. 카카오뱅크 측은 “대포통장 개설을 예방하는 등 금융사기 방지를 위해 1원 계좌인증 기재 시간을 조정했다”고 설명했다.

또한 대다수 은행은 1원 계좌 인증 횟수 제한을 걸어둔 상태다. A은행 사례처럼 고객이 무제한으로 역이체하는 것을 허용할 시 악의적인 의도를 가지고 계속 시도한다거나 인증단어를 유추하고자 할 수 있기 때문에 해커 등을 통한 사이버 범죄에 노출될 수 있기 때문이다.

현재 5대은행을 비롯해 카카오뱅크, 케이뱅크, 토스뱅크 등 인터넷전문은행도 계좌검증용 1원 송금 한도를 3~10회 이내로 제한하고 있다.

김승주 고려대 정보보호대학원 교수는 “역이체 인증을 악용하는 것을 방지하기 위해 은행이 계좌 인증 횟수 제한을 걸어두는 것은 상식적이고 적절한 대응이다”고 말했다.