최근 태국에서 씨티카드 고객 28명의 계좌에서 돈이 인출된 사고와 관련해 한국씨티은행의 이상금융거래탐지시스템(FDS)이 사전에 제대로 작동했는지 논란이 확산되고 있다. FDS는 보이스피싱이나 부정 인출 등 금융거래 관련 사기를 막기 위해 지난 2014년부터 금융감독원이 도입을 권고한 것이다. FDS는 보이스피싱, 부정 인출 등 이상거래를 사전에 포착해내는 시스템이다. 한 예로 서울의 한 현금인출자동화기기(ATM) 인출 기록이 있는데 30분 후 중국에서 다시 인출이 발생하면 은행이 내부적으로 이상거래로 파악해 거래 자체를 차단, 피해를 막을 수 있다. 30분 만에 서울에서 중국으로 건너가는 일이 불가능하기 때문에 FDS가 쉽게 잡아낼 수 있는 것이다.
문제는 FDS를 깐깐하게 적용하면 고객들이 불편을 호소하는데다 시중은행들도 보안 불감증, 예산 부족 등으로 FDS를 강화하지 않고 있어 씨티은행과 같은 보안 사고가 터질 수 있다는 것이다. 씨티은행이 FDS를 제대로 작동시켰다면 한국 고객이 태국에서 인출하는 메시지가 뜰 경우 이상거래로 감지할 만한데 씨티은행이 FDS를 허술하게 운영해 사고가 터졌다는 것이다.
실제 금융감독 당국은 씨티은행이 FDS를 허술하게 운영해온 정황을 잡고 “FDS가 정상 가동됐는지 진위 파악에 나서겠다”고 벼르는 상황이다. 특히 이번의 경우 금융 당국이 지난달 ATM에서 악성코드 감염으로 개인정보 유출 사실이 확인되자 모든 카드사에 일단 해당 계좌를 거래정지시킨 후 재발급을 유도하거나 FDS를 통한 추가 인증 등으로 보호 시스템을 강화하라는 지침을 내렸다. 하지만 씨티은행은 다른 은행과 달리 해외에서 씨티카드를 이용하는 고객이 많은 만큼 거래가 정지되면 피해가 크다는 이유로 거래정지보다는 카드 재발급 또는 비밀번호 변경으로 안내했다. 이 같은 상황에서 FDS마저 제대로 작동하지 않자 결국 부정 유출 사고로까지 이어진 것으로 보인다.
시중은행이 FDS를 구축했더라도 제대로 된 품질을 따지기보다는 예산을 절약하기 위해 최저가 수주 입찰을 고집하다 보니 FDS 성능 자체도 의구심이 든다는 지적도 나온다. 실제 FDS 도입이 한창이던 지난 2015년 A은행은 FDS 구축을 위해 24억원의 예산을 책정했지만 외주 업체에 대한 품질 검증 없이 최저가 입찰을 고수해 5억원에 낙찰을 마무리하면서 논란이 되기도 했다. 결과적으로 전 시중은행이 FDS를 전면 도입·운영하고 있지만 관리 허술 등으로 실제 적발률은 10% 미만으로 나타나 고객 보호에 구멍이 뚫렸다는 비판이 나온다.
10일 박용진 더불어민주당 의원실이 금융감독원으로부터 제출 받은 자료에 따르면 1월 한 달간 8대 시중은행이 FDS를 통해 감지한 3,662건의 거래 중 실제 적발 건수는 363건에 불과한 것으로 나타났다. 적발 건수는 FDS를 통해 감지된 의심 거래 중 금융사가 직접 해당 고객에 전화를 걸어 확인한 결과 이상거래로 판명된 건수다. 적발률이 10% 미만이라는 것은 FDS가 그만큼 제대로 작동하지 못하고 있음을 뜻한다. 박용진 더민주당 의원은 “현행 FDS는 금융회사별로 산발적으로 운영되고 있어 진화하는 금융사고에 발빠르게 대처하지 못하는 측면이 있다”라며 “각사별 FDS별 정보를 교류나 혹은 통합운영할수있는 방안을 마련해야 한다”고 지적했다.
은행 간 시스템 고도화 수준도 천차만별이었다. NH농협은행은 FDS를 통해 8억9,500만원어치의 금융거래 사기를 예방한 반면 한국씨티은행은 단 한 건의 이상거래도 감지·적발해내지 못한 것으로 나타났다.
