“1원 인증 악용 사례 막겠다” 은행권, 0원 인증 시스템 구축

우리은행, '삼성페이' 연결계좌 인증 시 0원 인증 사용
'1원 인증', 토스 운영사 비바리퍼블리카의 2016년 특허 기술
일주일간 10만원 받아 간 고객 적발, '0원 인증'으로 방지

최근 국내 은행이 고객 본인 확인 절차에 ‘0원 인증’ 시스템을 속속 도입하고 있다. 은행에서 명의자 계좌로 1원을 송금하는 ‘1원 인증’을 통해 일주일 동안 총 10만원을 빼가는 등 고객이 악용하는 사례가 발생하면서다.

우리은행 등 일부은행, ‘0원 인증’ 기능 구축

12일 금융업계에 따르면 우리은행을 비롯한 일부 은행은 최근 인터넷 뱅킹 시스템 내에 0원 인증 기능을 추가로 구축했다. 현재 삼성페이 연결계좌 인증 시 0원 인증이 사용 중이다. 여기에는 펌뱅킹, 금융 API 등의 기술이 활용된다.

1원 인증은 고객이 보유한 다른 은행 계좌에 1원을 송금하며 함께 남긴 메시지(숫자, 단어)를 인증에 활용하는 것으로, 고객 본인만 다른 은행 계좌 입출금 정보에 접근할 수 있다는 점을 전제로 한다. 이때 송금되는 1원은 인증을 진행하는 은행 측이 부담하는 것이 일반적이다.

반면 0원 인증은 실제 현금이 이동하지 않는 만큼 계좌 인증 시 소요되는 비용이 아예 발생하지 않을뿐더러, 보안에도 더 강하다는 장점이 있다. 1원 인증 시 입금 내역 및 적요에 포함된 인증코드가 앱 푸시알림이나 문자메시지로 전송되는데, 이 경우 스마트폰에 악성코드 등이 이 인증코드를 쉽게 탈취하는 방식으로 금융보안에 침투하는 사례가 적지 않았다. 0원 인증의 경우 앱푸시나 알림이 뜨지 않아 이같은 위험에서 안전하다는 평가다.

‘1원 인증’, 토스의 특허 기술

1원 인증 시스템은 토스 운영사 비바리퍼블리카가 지난 2016년 특허로 등록한 기술이다. 현재 많은 금융회사가 이와 비슷한 방식으로 본인 인증을 하고 있지만, 입금자명에 숫자를 대신해 특정 번호나 ‘멋진태양’, ‘직박구리’와 같은 무작위 메시지를 표기하는 등 방식은 은행마다 조금씩 상이하다.

지금은 통용되고 있으나 해당 시스템 출시 당시에는 카카오페이가 토스의 1원 인증 서비스를 그대로 차용하면서 논란이 인 바 있다. 서비스 모양 전체가 흡사함에 따라 업계에서는 ‘그대로 베끼기’ 의혹이 제기됐는데, 이후 카카오가 국민 모바일 메신저 ‘카카오톡’을 무기로 내세웠다는 점에서 ‘골목상권 침해’ 비판으로까지 번지기도 했다.

본인 인증 ‘1원 송금’ 10만 번 반복, “10만원 빼갔다”

은행들이 1원 인증 대신 0원 인증 시스템을 속속 도입하는 배경에는 일부 이용자의 악용 사례도 영향을 미친 것으로 전해진다. 업계에 따르면 지난 2월 1원 인증 시스템을 악용해 무려 10만 번이나 1원 인증을 시도, 일주일동안 10만원을 받아 간 사례가 발생했다. 1회당 10초로만 잡아도 100만 초로, 자그마치 11일 13시간 46분 40초가 걸린다. 이는 사람이 시도하기에는 시간적·물리적으로 불가능한 만큼 매크로(자동입력반복)와 같은 프로그램을 사용한 것으로 파악되고 있다. 이같은 소식에 대중들은 “노력이 더 가상하다”, “그 정도 정성이면 (10만원) 받을 만하다”등의 반응을 보였다.

어뷰징 사례가 발생함에 따라 1원 인증을 사용하는 은행들은 하루에 한 고객이 시도할 수 있는 1원 인증의 횟수를 제한하거나, 연속 인증이 불가능하도록 시간을 제한하는 방안을 도입하기도 했다. 시중은행 관계자는 “1원 인증의 횟수 및 시간 제한을 두는 등 대포통장 개설이나 어뷰징 등을 방지하기 위한 장치를 마련해 놓은 상태”라고 전했다.

다만 대다수 시중은행들의 경우에는 0원 인증 기술이 도입 가능한지 여부 자체를 인지하지 못하고 있는 데다, 전환 시 비용절감 효과가 크지 않아 당분간 기존의 1원 인증 시스템을 유지하겠다는 반응이다. 한 은행당 연간 1원 인증 건수는 10만 건 내외로 알려져 있으며, 추가로 들어가는 비용을 고려하더라도 시스템 운영에 들어가는 비용이 수백만원 수준에 불과해 은행 규모 대비 비용 부담이 크지 않다는 것이다.