은행 앱의 비대면 신분증 인증 시스템에서 기준값(민감도) 설정 허점이 드러났다. 소비자편의를 위해 기준값을 낮춘 탓에 위조 신분증을 인증, 재산피해로 이어진 것이다. 업계에서는 “보안 시스템의 근본 설계부터 서둘러 손질하지 않으면 피해가 더 커질 수 있다”고 경고한다.

22일 김상훈 국민의힘 의원실이 농협중앙회로부터 제출받은 자료와 인천서부경찰서의 자료를 종합하면, 지난 6월 피해자 ㄱ씨 이름으로 가짜 신분증을 만들어 농협에서 비대면 대출이 실행되는 사고가 발생했다. 가해자가 대포폰을 개통하고 피해자 명의의 계좌와 신분증 정보를 탈취한 뒤 비대면 시스템을 통해 마이너스대출 약정 등록과 실행을 일사천리로 진행한 것이다.

이번 사고는 단일 건으로 피해 규모가 5200만원에 달한다. 농협은 같은 달부터 이달까지 추가적인 비대면 대출 사고는 확인되지 않았다고 밝혔다.

농협의 비대면 실명확인 시스템은 휴대폰 인증을 비롯해 여러 인증 방식이 적용된다. 다양한 방식 가운데 신분증의 진위를 파악하는 방식도 있는데 이 때 관련 시스템의 기준값이 너무 낮으면 가짜를 구별할 수 없어 위조 신분증이 인증될 위험이 커질 수 있다.

이런 시스템은 시중은행과 온라인 전문은행 등 업권 전반에서 널리 활용되고 있다. 업권 전반에 구조적 허점이 잠재돼 있는 것이다. 실제로 최근 저축은행 등에서는 신분증 인증 오류에 대한 사례가 꾸준히 나왔다.

그럼에도 관련 기준값을 낮게 잡는 이유는 소비자 편의, 보안 사이의 균형을 맞출 때 편의를 많이 고려하고 있기 때문이다. 실제로 기준값을 낮추면 비대면 인증 과정에서 신분증 재촬영과 같은 번거로운 절차가 줄어든다. 하지만 그만큼 위조·변조된 신분증까지 실제 신분증으로 착각할 확률이 높아질 수 있다.

사고 이후 농협의 각 부서는 조사 단계에 들어갔다. 사고 경위를 바탕으로 금융기관의 인증·관리·시스템 과실 여부를 중점적으로 심사해 책임 분담금액을 정하는 절차가 진행될 것으로 보인다.

업계에서는 기준값 상향과 판별 솔루션 강화, 신분증 진위확인 시스템 고도화 등 추가 대책 필요성을 거론하고 있다.

업계 관계자는 “편의성과 신속성만 중시하다 보면 소비자 피해가 반복될 수 있다”며 “보안 원칙과 책임 기준을 제도적으로 더 명확히 할 필요가 있다”고 했다.