[기고] 보이스피싱 '무과실 책임제' 성공, '3각 방어체계'로 확보해야

[아이뉴스24 최기철 기자] 최근 금융위원회가 5대 금융지주 회장들과 만나 보이스피싱 발생 시 금융회사의 과실이 없더라도 책임을 분담하는 '무과실 배상책임제'(비대면 금융사고 책임분담기준) 도입 논의에 속도를 내고 있다. AI 딥페이크와 정교한 심리 공작으로 무장한 신종 금융사기 앞에서 사후 대책에 머물던 소비자 보호 패러다임을 선제적·원천적 방어로 전환하겠다는 정책 당국의 강력한 의지는 시의적절하면서 고무적이다. 그러나 이 제도가 시장의 큰 반발 없이 안착하고 서민금융 생태계를 실질적으로 지켜내기 위해서는 금융권 배상책임 중심의 논의를 넘어, 통신·수사·민간 기술 생태계까지 포괄하는 입체적인 제도 보완이 필요하다.

정부의 무과실 책임제 주문은 금융회사로 하여금 이상금융거래탐지시스템(FDS)을 고도화하고 보안 인프라 투자를 유인한다는 점에서 긍정적인 파급효과가 기대된다. 사기 수법이 기술적으로 고도화되면서, 금융사기는 개인의 주의 의무 범위를 넘어선 사회적 재난의 영역에 진입했기 때문이다. 다만, 금융회사가 합리적으로 가능한 방어 노력을 다했음에도 무조건적인 배상 책임을 지우는 구조는 책임주의 원칙과 제도의 수용성 측면에서 정교한 기준 마련이 필요하다.

금융사 방어 노력 평가...ASAP '면피용' 변질 방지

따라서 무과실 책임제는 금융회사의 '금융사기 방지 노력도'에 따른 '배상 책임 차등제'로 정교화되어야 한다. 이를 판단하는 핵심 기준은 공공과 민간 인프라를 아우르는 '다중 방어 체계'의 구축 여부여야 한다. 당국이 구축 중인 정부유관기관 중심의 보이스피싱 통합신고·대응 원스톱 플랫폼인 ASAP(에이샙)을 최저 기준으로 삼되, 민간 피해예방정보(더치트 등)의 활용 여부, 자체 FDS의 실시간 차단율, 고객 경고 및 지연이체 시스템 작동 여부 등을 종합 평가해 책임 비율을 조율해야 한다.

만약 ASAP 등 정부 주도 인프라 활용만을 일방적 기준으로 삼는다면, 금융회사들이 이를 '면피용 방패'로만 삼고 자체적인 보안 혁신을 소홀히 할 우려가 크다. 다층적 방어 체계를 스스로 확립한 금융사에는 인센티브를, 태만한 금융사에는 엄중한 책임을 지우는 예측 가능한 가이드라인이 선행되어야 한다.

금융 넘어 통신사까지 책임 확장...공동기금 조성

보이스피싱은 통신망(전화·문자·메신저)을 통해 피해자를 유인하고, 금융망(이체)을 통해 자금을 탈취하는 구조적 범죄다. 범죄의 첫 관문이자 도구인 대포폰 개통과 피싱 문자를 방치한 채 최종 자금 유출 경로인 금융권의 배상책임만 강조하는 방식으로는 범죄의 전 과정을 차단하기 어렵다. 통신 인프라를 제공하는 기간통신사업자도 보이스피싱 예방의 핵심 주체로 참여해야 한다.

정부는 '통신사별 보이스피싱 피해 발생 통계'를 주기적으로 대중에게 투명하게 공시해야 한다. 어느 통신사의 망을 통해 대포폰이 다수 개통되었고 사기 문자가 발송되었는지 시장에 공개될 때, 통신사들은 기업 이미지 제고와 고객 이탈 방지를 위해 자발적으로 가입자 인증 절차를 강화하고 필터링 기술에 사활을 걸 것이다. 필자가 과거 금융감독원 근무 시절, 금융사별 대포통장 적발 건수를 과감히 공개함으로써 은행권의 자발적 노력을 이끌어내고 대포통장을 획기적으로 감축시켰던 경험이 이를 증명한다.

이에 더해 통신사의 방어 노력을 계량 평가하여 금융권과 통신사가 공동으로 출연하는 '보이스피싱 피해구제 공동기금' 조성을 병행해야 한다. 거대 기간산업들이 사회적 책임의 무게를 나누어 가질 때, 비로소 취약계층 서민들을 위한 촘촘한 안전망이 완성된다.

소비자의 예방 역량 강화와 피해구제 인센티브 연계

수요자, 즉 소비자의 예방 역량 강화도 중요하다. 사기범들은 시스템의 빈틈뿐 아니라 인간의 불안, 공포, 신뢰와 같은 심리적 취약성을 집요하게 공략한다. 따라서 보이스피싱 대응은 금융회사와 통신사의 방어 책임 강화에만 머물러서는 안 되며, 소비자가 신종 사기 수법을 이해하고 스스로 위험 신호를 식별할 수 있도록 돕는 예방교육 체계와도 결합되어야 한다.

정부와 금융감독원, 서민금융연구원과 같은 공신력 있는 기관이 보이스피싱 예방교육과 디지털 금융 문해력 교육을 제공하고, 이를 이수한 이용자에게 피해 발생 시 구제 비율을 일정 부분 우대하는 ‘교육 이수 연계형 차등 배상제’를 제안한다. 이는 예방교육에 참여한 소비자에게 추가 보호와 구제 인센티브를 제공함으로써 사회 전체의 예방 참여율을 높이자는 정책 설계다. 소비자가 교육을 이수하고 '여신거래 안심차단 서비스' 등 정부의 자가 방어 제도를 적극 신청·활용한 경우, 피해 발생 시 구제 비율을 우대하는 인센티브를 부여함으로써 피해예방 정책 실효성을 높일 수 있다.

교육 이수자에게는 고위험 거래 보호모드, 추가 본인 확인, 전담 상담, 보이스피싱 피해 보장 상품 연계 등 실질적 혜택을 함께 부여할 수 있다. 특히 고령층, 장애인, 저소득층 등 디지털 취약계층에는 찾아가는 교육, 간편 교육과정, 자동 보호장치, 예외적 구제장치를 병행해야 한다. 예방교육은 배상 감액의 명분이 아니라, 소비자의 대응 역량을 높이고 보이스피싱 피해구제 제도의 지속가능성을 강화하는 공공 안전장치가 되어야 한다.

공공 중심 대응으로는 한계...민간 사기방지 전문기구 필요

현재 당국의 대책을 살펴보면, 경찰청의 수사 정보와 금융보안원 등 유관기관 인프라 중심의 ‘정부 주도형 공공 모델’에 과도하게 편중되어 있다. 공조 체계의 초기 가동이라는 단기적 효과는 있겠으나, “금융사기에 대해 언제까지 정부가 모든 감시와 차단을 독점하고 개입할 것인가?”라는 본질적인 질문을 던지지 않을 수 없다.

하루가 다르게 진화하는 생성형 AI 기반 금융사기에 대응하기 위해서는 공공 중심의 대응체계만으로는 한계가 있다. 공공기관은 신뢰성과 공정성을 갖춘다는 장점이 있지만, 예산 편성, 조달 절차, 기관 간 협의 과정에서 불가피한 시차가 발생한다. 반면 범죄조직은 새로운 기술과 우회 수법을 훨씬 빠르게 실험하고 확산시킨다.

정부가 정보를 독점하고 방어망을 일원화하는 구조는 범죄 조직이 단일 탐지 모델 하나만 우회하면 무력화되는 재앙을 초래할 수 있다. 따라서 보이스피싱 대응체계는 공공 인프라와 민간의 기술 역량을 적극 결합하는 방향으로 설계되어야 한다. 다양한 민간 Anti-Fraud 솔루션이 경쟁적으로 성능을 고도화하고 금융회사와 통신사가 이를 선택적으로 활용할 수 있는 다층적 방어 생태계를 조성해야 한다. 민간 Anti-Fraud 산업이 활성화되기 위해서는 정부가 사기 의심 금융·통신 데이터를 민간 기술 기업들이 가명정보 형태로 안전하게 학습할 수 있도록 규제 샌드박스 등의 빗장을 열어주어야 한다.

단기적으로는 공공 데이터의 신뢰성과 민간 기술의 즉시성을 결합하는 협업 체계가 필요하다. 중장기적으로는 민간 사기 방지 전문기업(Anti-Fraud 테크 기업)이 성능 기반으로 평가받고 시장에서 성장할 수 있도록 제도적 기반을 마련해야 한다. 공공의 신뢰, 금융·통신의 책임, 민간의 기술혁신이 결합될 때 지속 가능한 보이스피싱 방어체계가 구축될 수 있다.

미국 등 글로벌 선진국에서는 이미 수조 원 가치의 민간 보안 테크 기업들이 금융사들과 계약을 맺고 창의적인 AI 기술로 사기 거래를 실시간 추적·방어하고 있다. 민간 기업이 고도화된 탐지 솔루션을 개발하고, 금융사와 통신사가 성능에 상응하는 비용을 지불하는 ‘시장 메커니즘’이 작동해야만 지속 가능한 국가적 방어 전선이 구축된다. 민간의 전문성을 사장시키지 않고 시장의 혁신 동력으로 삼는 지혜가 필요한 시점이다.

'민관 합작 3각 방어체계'로 서민 경제 지켜야

보이스피싱은 단순히 개별 금융회사의 보안망 문제를 넘어선 정교한 글로벌 테크 범죄이자, 서민의 삶을 송두리째 앗아가는 민생 침해 범죄다. 무과실 배상책임 논의가 피해자 보호라는 본래의 목적을 달성하려면, 공급자(금융·통신)의 다층적 방어 책임, 수요자(소비자)의 예방 교육 참여, 그리고 이를 뒷받침하는 민간 전문 산업 육성이라는 삼각 균형이 맞물려야 한다. 당국과 민간 전문기관이 머리를 맞대고 기술과 제도의 디테일을 채워나갈 때, 비로소 서민들의 소중한 자산을 범죄로부터 한층 더 촘촘하게 보호할 수 있을 것이다.