"1원 송금으로 10만원 빼냈다고?"…은행권, 1원인증 '주의보'

- 1원 인증 단기간 지속적 시도한 악용사례 포착
- 일주일 걸쳐 10만회 인증하기도…매크로 의심
- “악용 리스크 커질 수 있어 1원송금 한도 제한”


[이데일리 정두리 기자] 최근 A은행에서는 본인 계좌를 통한 1원 인증이 단기간에 지속적으로 발생한 사례를 포착했다. 해당 이용자는 일주일이라는 기간 1원 계좌 인증을 통해 A은행으로부터 10만원을 빼 갔다. 무려 10만번의 계좌 인증을 시도한 셈이다. 이는 물리적인 시간상 불가능에 가까워서 매크로(자동화 프로그램)를 사용한 것으로 추정됐다, A은행은 큰 피해 금액이 발생한 것은 아니지만, 해당 악용 방법이 온라인에 공유돼 리스크가 커지는 것을 막기 위해 1원 계좌인증 횟수 제한을 걸었다.

비대면 계좌 개설과 오픈뱅킹 등이 확대되면서 1원 송금이 대중화된 가운데 이를 역이용한 약용 사례가 나타난 것으로 확인됐다. 고객에게 무제한으로 1원 계좌인증을 허용할 시 사이버 범죄에 노출될 수 있다는 지적이 나온다.

27일 금융권에 따르면 KB국민·신한·하나·우리·NH농협 등 5대 은행의 지난해 1원 계좌인증 이체 총액은 약 1100만원으로 집계됐다. 이를 계산하면 은행마다 계좌인증 서비스를 통해 1년에 평균 220만원의 비용이 소요되는 셈이다.

1원 계좌 인증이란 본인의 계좌를 통해 금융사로부터 1원을 받고 본인을 인증하는 비대면 실명인증 방식을 의미한다. 은행연합회의 비대면 실명인증 가이드라인에 따르면 온라인으로 실명인증을 하기 위한 절차로는 △실명확인증표 △영상통화 △카드, 통장, OTP 등 전달과정에서 확인 △기존계좌 활용(1원 계좌인증 등) △생체정보 가운데 두 가지가 필수 사항이다.

은행 입장에서는 1원 계좌인증을 통한 비용이 은행 사업에 부담되는 수준은 아니지만 악용 사례가 발생할 수 있다는 점은 우려 대목이다.

이에 카카오뱅크는 1원 계좌인증 후 가입자 개인정보 내용을 확인해 기재하는 시간을 15분으로 단축했다. 카카오뱅크 측은 “대포통장 개설을 예방하는 등 금융사기 방지를 위해 1원 계좌인증 기재 시간을 조정했다”고 설명했다.

또한 대다수 은행은 1원 계좌 인증 횟수 제한을 걸어둔 상태다. A은행 사례처럼 고객이 무제한으로 역이체하는 것을 허용할 시 악의적인 의도를 가지고 계속 시도한다거나 인증단어를 유추하고자 할 수 있기 때문에 해커 등을 통한 사이버 범죄에 노출될 수 있기 때문이다.

현재 5대은행을 비롯해 카카오뱅크, 케이뱅크, 토스뱅크 등 인터넷전문은행도 계좌검증용 1원 송금 한도를 3~10회 이내로 제한하고 있다.

김승주 고려대 정보보호대학원 교수는 “역이체 인증을 악용하는 것을 방지하기 위해 은행이 계좌 인증 횟수 제한을 걸어두는 것은 상식적이고 적절한 대응이다”고 말했다.