인터넷 뱅킹 덕에 현금을 찾기 위해 ATM 기계를 이용하는 일 말고는 직접 은행에 가서 뭔가를 하는 일이 없다. 고맙고 다행이다. 이러한 상황은 인터넷이 되는 거의 모든 나라에서 유사한 상황인 듯하다.


은행의 보안 절차에 대하여 다시 한번 생각해 보는 일이 얼마전 생겼다. 이글은 늘 이야기 되던.. 공인인증서와 그의 친구들 (Active-X 또는 플러그인) 이야기는 아니다.


며칠 전 우리은행에서 인터넷으로 가입했던 정기 예금을 해지했다.

의례히 공인인증서, 여러 동의와 비밀번호, 보안카드, 공인인증서 등 4단계 이상의 보안을 거쳐 해지가 되서 돈이 입금되나 하는 순간 전화로 해지를 확인한다는 메시지가 팝업되었다. 명분은 보이스피싱 방지 때문이다. 보이스피싱 경고는 이미 화면에도 나왔었었는데.. 다시 전화로 확인한단다.


정말 1분도 안되서 15xx-yyyy 번호로부터 휴대폰에 전화가 왔다. 직원이 나와 보이스피싱 안내를 다시 하고 이제 본격적으로 주민등록번호 기타 등등 물어보신다. 좀 짜증이 올라왔다. 인터넷 해지를 하루에 몇명이나 하는지는 모르지만, 그런 전화를 안하면 조금이라도 이자를 더 줄 수 있을텐데.. 큰 효용성이 없어보이는 형식적인 절차다.


구조적으로 다음과 같은 문제들이 있다.


1. 인터넷에서 보이스피싱 관련 안내를 보고 클릭한 행위는 왜 요구했었는가 ?

2. 내 관점에서... 전화를 받을 수 없는 상황이면 인터넷 해지는 못하는 것인가 ?

3. 은행의 업무 관점에서... 주말, 야간에도 같은 방식인가 ?

4. 전화를 해서 자기가 콜센터 번호/직원이라고 우기는 사람은 과연 진짜일까 ?
5. 주민등록번호는 왜 다시 확인하는가 ?

6. 심각한 개인정보인 주민번호가 취약한 DTMF 전송되는 상황은 안전한가 ?

7. 이 모든 절차는 법에 의해 정해진 것인가 ?

8. 결정적으로, 이 모든 과정에 대하여 고객인 나의 선택권은 없는가 ?

9. 진짜 내가 옆에서 협박을 받고 있는 상황이라면 뭔가 대안이 있는가 ?


그냥 넘어갈까 하다가...

다음번 유사 상황에서 뭔가 개선되면 좋겠다는 시민 정신이 '불필요하게' 급 발동하여.. 이 문제를 전화를 했던 직원을 가쳐서 우리은행의 고객 담당부서 직원과 이야기 하였다.


일단 자기네도 확인을 해야하니 시간이 필요하다고 했다. 과하게 친철하다. 이미 돈은 찾은 거고, 내가 다시 전화를 받으려면 설명도 다시 해야하고* 시간이 너무 많이 들어가니 정식으로 접수하고, 공문으로 달라고 주소까지 이야기했다. 좀 있다가 싫텐다. 아마 서류로 뭔가 남기는 것이 편하지 않았나보다. 그럼 내가 녹음을 한다고 하면 과연 답 해줬을까 ?


* 생활의 지혜: 이런 상황이 되면, 모든 고객센터는 아마 DB에 '진상' 표시와 함께 이전 상담자가 모든 이야기를 기록했을 것이 분명한데도... 지난번에 이야기 했던 것을 다시 이야기할 것을 요구한다. 아마도 귀챦게 해서 다시는 이런 전화를 하지 못하게 하려는 의도가 있어보이지만, 그건 내 생각일 뿐이다. 또 생활의 지혜.. 이런 전화를 할 때, 전화를 받는 상대방의 이름을 반드시 물어봐야 한다. 그럼 상대방이 좀 쫀다. (요즘은 안쫄기 위해서 자기가 먼저 이야기하는 콜센터도 많다) 그리고 별거 아니라도, '지금 전화 받으시는 분은 잘못이 없다는 것 알고요, 아마 대안도 없으신 것 같은데, 상위 부서나 직접 담당자가 누군지 알려주시고 지금 바로 연결해주세요' 하면 더 쫀다. 사실 그 분들도 힘들다. 고뇌하는 정신, 감정 노동자다 (하지만 이런 민원 때문에 직장이 유지되기도 한다.) 그래서 이런 전화를 할 때는 그쪽에서 황송할 정도로 친절하게 해줘야 한다.


어쨌거나.. 다음날 담당부서에서 전화가 왔다. 또 다시 미안할 정도로 너무 친절하다. 그쪽의 답은 (위 의문에 차례로 답을 하지 않았기 때문에 sync가 안맞지만)


0. 불편하게 해드려 죄송하다. (위 질문의 대부분 절차에 따른 불편에 대하여)

1. 금융감독원의 지시 사항에 의한 절차(전화로 추가 안내, 확인하는 절차)이며  법에 의한 절차는 아닌 걸로 알고 있다. 그 절차에 따르면 고객에게 선택권은 없다. 우리는 시키는대로 한다.

2. 해지 확인 전화를 건 사람은 은행 콜센터 직원이다. 번호가 찍히고 이름을 말하지 않았나? 그래서 우리은행 직원이라는 걸 이야기 해준다.

3. 주민등록 번호 확인도 금감원의 본인 확인 절차에 따른 것이다.

4. 주말/야간에는 SMS 방식으로 처리한다. (아마 문자만 보내주는 듯), 그것도 금감원 프로토콜이다.

5. 업무시간에 전화를 못받는 상황엔 대책이 없다. 은행에 직접 가셔야 한다.

6. 협박을 받는 상황에 대한 대책은 없다.

7. 고객님 의견을 받아들여 인터넷으로 더 잘 안내하고 절차를 좀 개선해 보겠다.


요약하면, 자기네는 "금감원이 하라니까 한다는 것이고, 그래서 생긴 본의 아닌 불편에 죄송하게 생각한다." 이외에는 아무런 도움이 안되는 말들이다. 그래서


금감원은 도대체 보안에 관한 구조적인 생각, 은행업무의 UX라는 것을 생각이나 하는 곳인가? 아니면, 보안에 관한 땜빵 대책만 주루룩 늘어 놓는 곳인가? 에 대한 의문이 급 생겨서, 위 1번 답에 해당되는 금감원 공문을 보내주면 내가 금감원이랑 이야기를 해보면 좋겠다고 했더니. 보안 문서란다. 절대 못준단다. (검색을 해보니, 사실 거의 같은 내용이 신문에 기사로 나와있는 건데)


이 상황을 정리해보면...


금감원 and/or 은행이 믿고 있는 것은


0. 공인인증서를 포함한 지금 보안 절차는 전화에 의한 본인 확인보다 신뢰할 수 없다.

1. 주말과 야간에는 보이스피싱 업자들이 반드시 쉰다.

2. 콜센터는 피싱 업체나 기타 범죄 집단들이 도저히 따라할 수 없는 조직이다.

3. DTMF는 매우 안전한 데이터 전송 수단이다.

4. 전화가 없으면서 낮에 예금을 찾는 사람은, 반드시 은행 가까운 곳에 산다.

5. 보안엔 옵션이 없다. 모든 국민은 우리가 시키는대로 해야 안전하다.

--- 최소한 아래 것만 되도 좋을 것 같다.


0. 고객은 모두 바보는 아니다. 자기가 당할 보안의 정도에 대하여 고객에게 선택권을 주자. (얼마 이상일 때만 '반드시' 전화로 컨펌을 한다던지.. 난 SMS로만 할래요라던지.. 보이스피싱에 대하여 은행에 절대 책임을 묻지 않겠다는 사인을 하던지.. 를 선택)


1. 어설픈 보안 정책 (DTMF, 콜센터 직원 확인 등..)은 정말 의미없는 절차이므로 (Security Through Obscurity is Not the Solution) 진짜 할려면 더 똘똘하고 확실한 프로토콜을 만들자. - 어떻게? 나도 모른다. 조심스럽지만 그런 건 아마 없다. 그러므로 대부분은 간단한 것이 최고다.


2. 어차피 할꺼면, 협박을 받는 상황에 대한 절차를 만들자, 은행 거래를 처음 할 때, 전화로 내가 이런 단어를 말하면 그건 '내가 협박을 받고 있는 상황'이라는 것을 의미하는 단어를 등록한다거나.. (이건 좀 너무 나갔나 ?)


오늘의 결론..


인터넷 예적금의 해지는 밤이나, 주말에 하자.


ps. 다음번 또 해지를 할 기회가 생기면 다음 여러가지 상황을 실험을 해봐야 겠다.


0. 애매한 시간에 해지하기. 실제 대부분의 피싱이 중국에서 이루어지므로.. 금감원의 "야간'이라는 것이 중국 시간 기준인지 한국 시간 기준인지 (이걸 한국시간으로 적용한다면... 이 모든 절차가 의미가 없다는 것을 증명하는 셈이다.)

1. 미성년자인 아이 계좌의 만기가 돌아왔을 때, 부모가 해지를 하는 것이 위 금감원의 프로토콜에서 어떻게 동작할 것인가 ?

2. 정말 나나 은행의 선택권이 없다면 다른 은행(국내, 외국계 은행)들도 완전히 같은 절차로 해지가 이루어지나 ? (이건 새로 가입을 해야하는데)

3. 우리은행의 해지 절차가 다음 번에도 같을 때, 위 부서 직원에게 전화해서, 도대체 어떻게 이야기는 한 건지를 확인해 달라고 해봐야 겠다.


나는 불량 고객이다.


*


저작자 표시 비영리 변경 금지
신고
Posted by 이민석 hl1itj


티스토리 툴바