디뱅크7_디지털 금융 사고 고민 있어요!
디지털 금융 사고 고민 있어요!
by
Sep 7. 2025
최근 금융산업의 핵심 부분은 디지털 전환이다. 모바일 뱅킹, 간편 결제, 오픈뱅킹 서비스, 디지털 자산 관리 등은 이미 국민 생활 전반에 깊이 파고들었으며, 코로나19 팬데믹 이후 비대면 금융서비스의 확산은 그 속도를 한층 더 가속화시켰다. 한국은행이 발표한 ‘2024년 지급결제보고서’에 따르면 국내 성인 인구의 96%가 모바일 금융 애플리케이션을 사용하고 있으며, 1인당 평균 3개 이상의 금융 앱을 동시에 이용하는 것으로 나타났다. 이러한 확산은 금융 접근성과 편의성을 극대화했지만, 동시에 디지털 금융사고라는 새로운 유형의 사회적 위험을 야기했다.
디지털 금융사고의 대표적인 유형은 크게 ① 카드 부정 결제, ② 명의도용 및 계정 탈취, ③ 개인정보 유출, ④ 전산 오류로 인한 고객 정보 노출로 나눌 수 있다.
최근 발생한 OO카드 부정 결제 사건은 디지털 금융사고의 구조적 문제를 집약적으로 보여주는 사례다. 다수의 피해자들이 자신도 모르는 사이 타인의 휴대전화에 본인 명의의 카드가 등록되어 수차례 상품권 구매가 이뤄졌으며, 신고 과정에서도 실시간으로 추가 피해가 발생했다는 점은 기존의 보안 체계가 근본적으로 취약했음을 방증한다. 카드사가 처음에는 피해자를 개인 과실로 몰았다가, 언론 보도와 여론이 거세지자 뒤늦게 보상 방안을 검토한 대응 과정은 금융기관의 책임 인식 부족을 드러냈다.
금융 사건이 이제는 단일화된 특수 사례가 아니라는 점에서 다각적인 대응이 필요하다. 2019년 오픈뱅킹 제도가 도입된 이후, 단일 앱을 통해 여러 금융기관 계좌에 접근할 수 있는 길이 열리면서 금융사고의 파급력은 기하급수적으로 커졌다. 카드 부정 결제 및 연계 금융 사고 피해자 A 씨는, 카드 부정 결제에서 그치지 않고 단기 대출·현금 출금까지 연계된 복합적 피해가 발생하는 것 겪었다. 이는 디지털 금융 시스템의 상호 연결성이 범죄자에게 새로운 범행 기회를 제공했음을 보여준다. 이는 단순히 ‘한 건의 카드사고’가 아니라, 디지털 금융 생태계 전반의 구조적 리스크로 이해해야 한다.
카드사나 은행과 같은 금융회사뿐 아니라, 이제는 증권사와 같은 다른 금융 플랫폼에서도 유사한 사고가 반복되고 있다.
2023년 OO증권이 운영하는 통합 앱 ‘OOO’에서 344명의 개인정보가 노출된 사건, OOOO카드 앱에서 타인의 계정이 로그인되는 오류는 금융 IT 시스템의 개발·운영 과정에서 기본적인 품질 관리와 사전 검증 절차가 미흡했음을 드러낸다. 언론 보도에 따르면, 해당 사고들은 외부 해킹이 아니라 내부 전산 오류로 인한 단순 노출이었다. 하지만 피해자 입장에서는 자신의 금융 정보가 타인에게 무방비로 노출됐다는 점에서 심각한 불신을 낳았다.
단순히 일부 개인의 부주의가 아니라, 금융 시스템 전반에 걸친 구조적 취약점이 상존한다는 사실을 방증한다. 그러나 이와 같은 사고에 대한 처벌은 여전히 ‘솜방망이’ 수준이다. 금융사가 개인정보 유출이나 부정 결제 사고를 일으켜도, 과태료 부과액은 회사 규모에 비해 미미하여 실질적인 억제 효과를 발휘하기 어렵다. 2014년 카드 3사 개인정보 유출 사건 이후 대규모 집단 소송이 제기되었으나, 피해자 배상 규모는 피해 규모에 비해 미흡했고, 법적 책임 소재도 불분명하게 남았다.
이러한 현실은 향후 디지털 금융사고가 단발적 이벤트가 아니라 지속적·반복적으로 발생할 수 있는 사회적 구조적 리스크라는 점을 시사한다. 개인정보 유출 범위가 어디까지인지, 탈취된 정보가 어떤 경로를 통해 악용되는지조차 명확히 파악하기 어려운 상황에서, 피해 규모는 은폐·지연·확대되는 경향이 있다.
OO카드 부정 결재 사건을 리마인드 해 본다.
2024년 초, OO카드를 중심으로 대규모 부정 결제 사건이 연이어 발생하면서 디지털 금융 보안의 허술함이 사회적으로 큰 파장을 일으켰다. 이번 사건은 단순한 일회성 사고가 아니라, 카드사 앱 기반 결제 시스템과 인증 체계의 구조적 취약성이 드러난 대표적 사례로 평가된다. 이번에 글 쓰면서 사건 발생 경과, 피해 양상, 카드사의 대응, 언론 및 피해자 반응, 그리고 구조적 문제를 종합적으로 분석해 보고자 한다.
OO카드 부정 결재 사건, 피해자 진술과 언론 보도에 따르면, OO카드 부정 결제 사건은 주로 ‘OO 카드’ 앱을 경유하여 발생했다. 피해자들은 본인의 동의나 인지 없이 타인의 스마트폰에 OO카드 앱이 설치되고, 해당 앱에 본인 명의의 카드가 등록되어 수차례 결제가 진행되었다. 결제 유형은 주로 국내 온라인 쇼핑몰 및 해외 사이트에서 상품권, 게임 아이템, 디지털 재화 구매로 나타났다.
피해의 특징은 두 가지다. 첫째, 짧은 시간 안에 집중적으로 다수 결제가 발생했다는 점이다. 이는 정상적 이용 행태와는 명확히 구별되므로, 이상거래탐지시스템(FDS)이 적절히 작동하지 않았다는 의문을 낳았다.
둘째, 일부 피해자는 카드사 고객센터에 신고하는 도중에도 실시간으로 추가 결제가 발생했다는 점에서, 카드사 차원의 즉각적 차단 시스템이 제대로 작동하지 않았음을 보여준다.
사건이 알려진 초기에는 피해자가 20여 명 수준으로 보도되었으나, 이후 온라인 커뮤니티와 피해자 모임(채팅방)을 중심으로 피해 신고가 확산되면서 피해 규모는 급격히 늘어났다. 사건 발생 한 달여 만에 피해자 채팅방에는 약 190명이 모였으며, 일부는 이미 2023년 하반기와 2024년 초에 걸쳐 동일 유형의 피해를 경험했다고 증언하였다. 이는 사고 발생 시점이 특정 시기에 국한되지 않고, 지속적이고 반복적으로 발생했음을 시사한다.
OO카드사의 대응 절차가 미흡하고 피해 보상도 적절하지 않았다.
OO카드는 사건 발생 직후 초기 대응에서 큰 비판을 받았다. 피해자에 따르면, 카드사 측은 초기에 “개인정보 관리 소홀로 인한 개인 과실”을 강조하며 보상 책임을 회피하려 했다. 즉, 피해 발생 원인을 고객의 부주의로 전가하고, 카드사 시스템의 보안 결함 가능성은 부정했다.
그러나 언론 보도가 확산되고 피해자 모임이 조직화되면서 여론의 압력이 커지자, OO카드는 입장을 일부 수정하였다. 2024년 1월 15일 발표한 공지에서 “최근 사건은 피싱·스미싱 등으로 도용된 정보가 결제로 이어진 범죄로 보인다”며 “내부 정보 유출로 인한 사고는 아니다. 고객에게 금전적 피해가 발생하지 않도록 조치하겠다”라고 밝혔다. 이는 보상의 필요성을 인정한 것이지만, 여전히 자사 서버 보안에는 문제가 없다는 기존 입장을 유지했다.
이후 카드사는 “앱 카드 결제 관련 피해는 보상하되, 그 외 부정 결제는 보상을 제한한다”는 방침을 내세웠다. 즉, 피해 유형을 특정한 범위 내로 한정하여 보상하겠다는 것으로, 일부 피해자는 여전히 보상 대상에서 제외되었다. 이는 피해자들로 하여금 “책임을 최소화하려는 카드사의 전략”이라는 불만을 야기했다.
언론은 이 사건을 ‘고객 과실론’ vs. ‘시스템 취약점론’의 대립 구도로 조명했다. 특히 피해자 증언과 집단행동이 알려지면서 카드사의 초기 대응이 여론의 뭇매를 맞았다. 피해자들은 청와대 청원까지 제기하며 “카드사가 언론 보도 전까지는 보상 방안 검토조차 하지 않았다”라고 지적했다.
피해자 집단의 조직화도 중요한 변곡점이었다. 채팅방을 통한 피해 사례 공유, 언론 제보, 청와대 청원 제기 등은 카드사와 당국의 미온적 대응을 압박하는 효과를 가져왔다. 이는 디지털 금융사고 시대에 집단 소비자 행동의 중요성을 부각한 사례로도 해석할 수 있다.
이 사건은 “디지털 금융사고는 언제든 누구에게나 발생할 수 있으며, 이는 개인 과실 이외에도 OO카드 부정 결제 사건은 개별 금융사고를 넘어, 디지털 금융 보안의 근본적 위기를 보여준 상징적 사례다.
디지털금융을 잘 사용하고 있었던 젊은 층의 금융소비자에게도 언제든지 금융사고를 당할 수 있다. 이는 카드사의 보안 체계와 이상거래 탐지 시스템의 미흡, 앱 인증 절차의 허점, 그리고 초기 대응 과정에서의 책임 회피는 향후 금융기관 신뢰도에 심대한 영향을 미칠 것으로 예상된다. 또한 피해자들의 집단적 대응과 언론의 집중 보도는 사건이 사회적 의제로 확산되는 계기가 되었다. 그리고 금융사고의 유형이 "개인 금융 소비자의 잘못에 의해서 발생하던 차원을 넘어서 금융 시스템의 구조적 문제에서 비롯된다”는 사실을 사회 전반에 환기시켰다.
디지털 금융에서 발생하는 정보 유출
OO증권과 OO카드에서 발생한 사건은 외부 공격이 아닌 내부 전산 오류로 인해 고객 개인정보가 노출된 경우다.
2023년 9월, OO증권의 금융 통합 앱 ‘OOO’ 증권 탭에서 고객 344명의 개인정보가 타인에게 노출되는 사고가 발생했다. 노출된 정보에는 이름, 거래내역, 계좌번호, 잔고, 수익률 등이 포함되었으며, 이는 사실상 개인 투자 내역 전체가 공개된 수준이었다. OO증권은 “프로그램 업데이트 과정에서 발생한 오류이며, 외부 유출이나 금전적 피해는 없었다”라고 해명했다. 하지만 노출된 정보가 계좌번호와 잔고를 포함하고 있다는 점에서 잠재적 보안 리스크는 매우 컸다.
이틀 뒤인 9월 20일, OO카드 앱에서도 유사한 사고가 발생했다. 한 이용자가 로그인했을 때 본인의 계정이 아닌 타인의 계정으로 접속되었으며, 타인의 이름·주소·결제내역이 그대로 노출되었다. OO카드 측은 “일시적 전산 불안정으로 발생한 사례이며, 다른 피해자는 없다”라고 발표했다. 그러나 금융 앱에서 로그인 오류로 타인의 결제 내역이 노출되는 것은 기본적인 ‘인증 시스템 붕괴’에 해당한다.
이 두 사례는 사이버 범죄와 달리 내부 관리 미흡에서 비롯되었으나, 피해자 관점에서는 차이가 없다. 금융소비자가 신뢰한 플랫폼이 보안 취약으로 개인정보를 유출했다는 사실만으로도 심각한 신뢰 훼손이 발생한다. 특히 증권·카드사 앱은 단순 정보 제공을 넘어 직접 자산 운용과 결제를 가능케 한다는 점에서, 정보 노출은 곧 금전적 피해로 이어질 가능성이 높다.
금융당국의 제재 구조가 미약하다
국내 금융사고가 반복적으로 발생하는 근본 원인 중 하나는 금융당국의 제재 구조가 미약하다는 점이다. 2014년 카드 3사 개인정보 유출 사태 이후 금융위원회와 금융감독원은 카드사에 대해 각각 수억 원 규모의 과태료와 임직원 문책을 부과했으나, 이는 사고 피해 규모(약 1억 400만 명의 개인정보 유출)에 비해 턱없이 작은 수준이었다.
예컨대, 카드사들이 개인정보 보호 의무를 소홀히 하여 수백만 명의 고객이 피해를 본 사건에서 부과된 과태료는 최대 6억 원에 불과했다. 당시 업계는 이를 ‘솜방망이 처벌’이라 비판했으며, 금융 소비자 단체는 “사고로 인한 사회적 피해 비용이 수조 원에 달하는데, 과태료 몇 억 원은 사실상 면죄부”라고 지적했다.
현행 전자금융거래법과 개인정보보호법은 금융사가 내부 보안 의무를 소홀히 할 경우 과태료·영업정지·임원 해임 권고 등의 조치를 취할 수 있도록 하고 있다. 그러나 실제 적용은 제한적이다. 금융당국은 금융 시스템의 안정성과 시장 충격을 고려해 ‘강력 제재’를 자제하는 경향을 보여왔다. 결과적으로 금융사는 보안 투자 비용보다 사고 발생 시 납부하는 과태료가 더 저렴하다고 판단할 유인을 가진다.
또한 현행 과징금 구조는 피해자 보상과 직접 연결되지 않는다는 문제가 있다. 카드사나 증권사에 부과된 과징금은 국고로 귀속되며, 피해자들은 별도의 민사 소송을 통해 개별 보상을 받아야 한다. 이는 제재 제도의 실효성을 약화시키고, 피해자 구제를 지연시키는 주요 요인이다.
따라서 국내 제도는'예방 억제력'이 부족하며, 금융사가 스스로 보안 투자와 사고 방지 노력을 강화할 동기를 약화시키는 구조적 문제를 내포하고 있다.
카드사·은행 앱의 보안 취약점 (FDS·앱 검증 문제)
금융권은 부정 결제 방지를 위해 이상거래탐지시스템(FDS: Fraud Detection System)을 운영하고 있다. 그러나 최근 사건에서 드러난 것처럼 FDS는 실제 범죄를 적시에 차단하지 못하고 있다.
OO카드 부정 결제 사례에서 피해자 다수는 “수분 간 수차례 상품권 구매가 이뤄졌음에도, 결제 중단이나 경고 알림이 없었다”라고 증언했다. 이는 FDS가 소액·고빈도 거래 패턴, 해외 IP 접속, 비정상적 앱 등록을 탐지하지 못했음을 의미한다.
또한 금융 앱 자체의 검증 프로세스도 미흡하다. 해외에서는 금융 앱 배포 전 제3자 보안 감사와 코드 취약점 점검이 의무화된 경우가 많으나, 국내는 대체로 자체 QA( Quality Assurance)에 의존한다.
OO카드 앱에서 타인의 계정 정보가 노출된 사례는 “전산 오류”로 설명되었으나, 사실상 사전 검증·테스트 부실이 근본 원인이다.
즉, 국내 금융사의 보안 대응은 기술적 장치(FDS)와 운영 관리(App 검증) 두 영역 모두에서 구조적 허점이 존재한다. 특히 앱 중심으로 전환된 금융 환경에서 앱 검증 체계 미비는 직접적인 보안 리스크로 이어진다.
금융사 보상 정책과 한계
금융사고 발생 시 금융사와 피해자 간 가장 큰 갈등 지점은 보상 범위와 책임 주체이다. 최근 OO카드 사건에서도 금융사는 “서버 보안에는 문제가 없으며, 피싱·스미싱에 따른 개인 정보 도용”이라고 주장했다. 이는 곧 피해자 과실을 전제로 보상을 제한하려는 입장이다.
그러나 피해자들은 “피싱·스미싱 경험이 없고, 본인 단말기에 앱 설치 기록조차 없다”라고 반박했다. 이런 갈등은 금융사고 보상 구조가 개별 분쟁 해결 중심으로 설계되어 있음을 보여준다.
국내 전자금융거래법 제9조는 금융사가 보안사고 발생 시 원칙적으로 배상 책임을 지도록 규정하지만, 단서 조항으로 이용자의 중대한 과실을 입증할 경우 책임을 면제할 수 있게 하고 있다. 문제는 금융사가 보상을 축소하려 할 때 ‘이용자 과실’ 판단이 불명확하다는 점이다.
예컨대, 단말기 관리 소홀, SMS 인증번호 유출, 피싱 사이트 접속 등이 모두 과실로 간주될 수 있다. 이는 결국 피해자가 본인 과실이 아님을 스스로 증명해야 하는 상황을 만들며, 현실적으로 불리하다.
따라서 현행 보상 정책은 금융사와 고객 간 신뢰 갈등 심화, 피해자 구제 지연 제도적 불평등이라는 문제를 낳고 있다. 해외처럼 ‘금융사와 고객의 공동 책임 원칙’을 도입해, 고객 과실이 일부 있더라도 금융사가 선(先) 보상 후(後) 구상권 청구 방식으로 신속히 피해를 구제하는 제도 개선이 필요하다.
디지털금융으로 금융사는 점포를 축소하고 새로운 시장 확장했다. 그러나. . .
고객은 기존의 금융 보다는 보다 더 편리한 방법으로 금융을 이용할 수 있게 되었다. 그러나 지속적으로 반복되고 피해를 보는 금융사고를 보면서 불안한 마음을 갖게 되었다.
주요 언론사 및 인터넷, 디지털 미디어를 통해 금융사고 사례를 접하고 또 일정 기간이 지나면 잊어버린다. 내가 겪은 일이 아니라면 그냥 넘어간다.
이제 시간을 갖고 대응 방법을 한 번쯤은 고민할 필요가 있다. 그래서 모두를 위한 금융 그리고 똑똑한 금융을 이용할 수 있도록 최소한의 조치와 적용하자. 우리의 디지털금융 앱에 안전한 금융을 적용하는 것이 필요하다.
디지털 금융은 두려운 것이 아니고 잘못 이용할 수 있는 것을 예방하면 편리하게 이용할 수 있다.
다음 장에서는 보이스피싱, 명의도용 등 피해를 예방하기 위하여 소비자가 사전에 특정 금융거래를 차단할 수 있는 서비스인 안심차단서비스를 알아보고 디지털금융 앱에 적용해 보기로 하자.
