발리에서 생긴 카드 복제 사고로 증발한 400만원, 해결 과정 총정리

5월 24일. 눈뜨고 일어나보니 씨티은행 계좌에 있던 400여 만원이 증발했다.

당시 나는 발리 다음 행선지였던 태국 방콕에서 다큐멘터리 촬영을 진행하고 있었고, 곧 다음 촬영 일정이 있는 유럽으로 떠날 준비를 하고 있었다. 24일, 전날 밤 꼬박 촬영본을 확인하다 늦게 잠이 든 탓에 해가 중천에 떴을 때서야 비척비척 일어나서는, 간단히 끼니를 떼우러 숙소를 나선게 오후 2시였다. 현금을 인출하러 숙소 바로 옆의 ATM 기기에 씨티은행 국제 현금 인출용 카드를 투입했는데.. 어라? 잔액이 없다. 이상하다 싶어 옆의 다른 기기들을 이용해보았으나 결과는 같았다.

에이, 뭔가 전산망에 문제가 있나보다 하고 그 자리에서 씨티은행 모바일 앱을 띄워 계좌 조회를 했다.

없다.. 없다.
자그만치 열여섯 차례에 걸쳐 당일 오전에 누군가가 현금을 모두 인출해 가져갔다. 십수차례가 넘는 현금인출을 통해 계좌를 몽땅 비우는데까지 6분도 채 걸리지 않았고, 마지막에는 출금 액수를 줄여 정말 남은 한 푼까지 탈탈 털어갔다. 화폐 단위가 IDR (인도네시아 루피아)인 걸 보아 출금 위치는 인도네시아였다. 국제 현금 인출 카드 2개와 신용카드까지 멀쩡하게 내 지갑 안에 있는데, 도대체 이게 무슨 일인가. 말로만 듣던 카드 복제 사기가 바로 이건가.

간만에 상당한 멘붕상태에 빠진 상태로 스카이프를 통해 씨티은행에 횡설수설 사건 정황을 알렸다. 사건 당일이 일요일이었기에 담당 부서에서 다음 주 중에 곧 연락이 올 거라는 안내를 받았다. 그리고 이틀 뒤 26일 화요일, 메일을 통해 사고 보상 요청 절차를 안내 받았다.

5월 26일, 씨티은행측으로부터의 첫 연락

담당자분과 전화 통화를 하고, 우선 이번 현금 인출에 사용되었다고 안내를 받은 국제 현금 인출용 카드 파쇄부터 했다. 카드 발급 당시 여분으로 한 장 더 받은 카드까지 모두 파쇄하고 앞 뒤 사진을 찍어 우선 발송했다.

안녕 7년이란 시간 동안 항상 내 곁에 있어준 국제 현금 인출 카드여

이 즈음해서 주변에서 비슷한 일을 당했다는 사람들의 이야기가 들려오기 시작했다. 해당 인출이 이뤄진 곳은 인도네시아의 발리, 얼마 전까지 내가 머무르던 곳이었다. 그리고 발리 체류시 내가 자주 이용했던 그 ATM 기기에 본인이 사용하던 카드를 복제 당한 사람이 정말 한 둘이 아니었다(우붓의 중심가에 위치한 coco mart 앞).

카드 복제는 카드 투입구에 복제 장치를 설치하고, 비밀번호를 빼내기 위한 초소형 카메라를 설치하는 식으로 이뤄진다. 요즘에는 한 발 더 나가 아예 비밀번호를 입력하는 숫자 패드 부분을 조작하는 경우까지 있다.

R2kroRA

범행 주체는 요즘 여러 개발도상국에서 기승을 부리는 동유럽 마피아인 경우가 많다. 아래는 관련 신문 기사.

불가리아 출신 여성이 발리의한 한 ATM 기기를 조작하다가 체포되었다는 내용의 신문 기사

사고를 당한 다른 사람들 이야기를 들어보니 (유럽, 호주, 미국 등지의 은행계좌 소지자들) 보상까지 걸리는 시간은 하루에서 한 달 정도까지 모두 천차만별이었지만, 딱히 걱정을 하고 크게 시간과 노력을 들일 것 없이 주어지는 양식을 간단히 작성해서 보내기만 하면 만사 오케이라는 듯 했다. 아 그렇구나 다행이다, 하고 한숨을 돌리고 있던 와중에, 한국에서는 정책이 달라도 너무 다르다는 이야기를 그 때 들었다.

한국에서는 은행따라 경우가 다른데, 모 은행의 경우 해당 은행이 아니라 은행에서 보험을 든 손해배상사가 처리를 전담하고, 실질적인 처리는 이 손해배상사가 고용한 사정 전문 업체가 맡아 하는 식으로 이루어진다. 즉, 이들의 일은 고객의 고의/과실을 입증하는 것이다. 조사에는 보통 한달에서 두 달 정도까지 걸리고, 온갖 증거를(내 과실이 없다는) 제공하고 한참 경찰서를 전전하고서도 전혀 보상을 받지 못했다는 이야기가 주변에서 들려왔다.

그제서야 감이 왔다. 이제부터 이루어지는 조사의 대상은 피해 당사자, 즉 나였다. 만약 내가 사건 당시 발리에 있지 않았고, 살면서 비밀번호가 유출될만한 일을 전혀 한 적이 없고, 이제껏 카드를 지인에게 빌려준 적도 없었다는 걸 증명하지 못하면 사라진 돈은 그냥 영영 안녕이었다.

*비슷한 국내 사례를 가열차게 구글링 하던 중 읽게 된 황당한 사례: 해외가 아닌 국내에서 카드 복제 사고에 당한 피해자가 은행에 보상 신청을 하였으나 거절당함. 이유는 해당 카드의 사용 내역 중에 지난해 피해자가 유흥 업소에서 결제한 내역이 있었기 때문인데, 유흥 업소의 경우 카드를 직원에게 건내는 방식으로 결제가 이뤄지기 때문. 즉, 당신이 당신 손으로 카드를 다른 사람에게 넘겨 주어 카드가 얼마든지 복제될 수 있는 상황을 만들었다->돈 못 줘!

영 기분이 찜찜했다. 고객을 못 믿는 은행이라면 그 은행을 믿고 돈을 맡기는 고객은 뭐가 되는 건지. 해당 은행의 서비스와 카드를 통해 일어난 사고인데 왜 과실 입증은 고객이 해야 하는 건지.

여하튼 언제까지 멘붕 상태에 빠져 있을 수 있는 것도 아니고 해서, 주섬주섬 사건 경위서를 작성하고 기타 서류와 증거자료들을 수집했다.

첫번째는 당일 내가 인도네시아에 있지 않았다는 증거들.
정말 운좋게도 내 계좌에 잔액이 없다는 걸 확인한 그 ATM 기기 옆에, 근처 호텔에서 설치한 CCTV가 있었다. 애걸복걸 삼고초려 끝에 호텔측으로부터 사건발생일에 내가 해당 카드로 현금 인출을 시도하는 영상을 받아낼 수 있었다. 당시 체류하고 있던 태국의 숙소로부터 사건 당일 내가 건물에 출입하는 CCTV 화면도 겨우겨우 찾아냈다.

Untitled-2

두번째는 출입국에 의한 사실 증명이다.
안내받은 민원24 홈페이지에서 나는 다시 한번 절망했다. 정말 간만에 보는 정부 웹사이트였다. 많은 한국 웹사이트들이 그렇듯 인터넷 익스플로러가 아니면 접속 자체가 안되므로, 나는 내 맥북에 설치해둔 패러럴즈를 이용해 꾸역꾸역 각종 플러그인, 백신, 액티브X로 점철된 지난한 접속 과정을 거쳤…지만 각종 오류만 뜰 뿐 홈페이지 구경도 못했다.

어차피 프린터 기기가 연결되어 있는 컴퓨터에서나 출력이 가능한지라 방콕의 협업 공간 허바로 헐레벌떡 뛰어가서 직원용 컴퓨터를 구걸했다. 마음 착한 직원분이 컴퓨터 사용을 허가해주시고, 정말 인고의 설치 과정 끝에(재부팅, 임시파일 및 쿠키 제거, 플러그인 수동 설치 등) 겨우겨우 인쇄에 성공했다. 옆에서 보고 있던 직원분의 경악하는 표정을 보며 대한민국이 IT강국이 어쩌고 하는 소리가 얼마나 헛소리인지 다시 한번 깨달았다.

출입국 증명서는 어차피 내가 몇월 몇일날 대한민국에 들어왔고 언제 나갔는지에 대한 정보만 나오는 서류이기 때문에, 내가 언제 무슨 나라에 있었고 이 당시에는 태국에 있었고 같은 정보는 따로 나오지 않는다. 난 이게 도대체 왜 필요한지 모르겠지만 일단 달라니까 보냈다. 태국과 인도네시아 출입국 스탬프가 찍혀 있는 여권 페이지와, 비행기표, 숙박 영수증까지 싹 다 스캔해서 함께 제출했다.

마지막으로 사고경위서. 
가장 공들여야 하는 보스몹이라고 보면 된다. 내 경우 사진 몇장까지 포함해서 폰트 9사이즈로 A4 기준 14장이 나왔다. 정말 하나도 빠짐없이 쓰고 어떻게든 내 과실이 없음을 증명할 수 있는 건 죄다 찾아다 다 적어넣었다.

하하하.. 절박한 심정이 하염없이 묻어나는 사고경위서의 한 대목.

모든 자료가 준비된 후, 이걸 제출하는 것도 꽤나 번거로웠다. 도대체 왜인지는 모르겠으나 4MB 이상의 첨부파일은 씨티은행 측에서 받지를 못했다. 파일 당 용량이 아니라, 한 메일 안에 첨부된 모든 자료의 용량이 4 MB 이하여야 한다. 구글 드라이브나 드랍박스도 불가능한 것이, ‘보안상의 이유로’ 첨부파일 형식으로만 파일을 받을 수 있다고(..) 아니 링크 한줄이면 끝나는 걸 왜 받지를 못하니. 여하튼 그렇게 내 방콕에서의 마지막 한 주가 허망하게 날아갔다.

그리고 정확히 한 달 후.

난 정말 정말 운이 좋은 케이스라고들 한다.

교훈

이 사건을 겪은 후 난 이제 현금 인출 전에 ATM 기기를 거의 병적으로 검사하기 시작했다. 특히 카드 투입구쪽을 쥐잡듯이 조사한다.

카드 투입구 부분에 부착된 카드 복제 장치
카드 복제 장치가 제거된 모습. 출처: http://sociable.co/technology/gardai-warn-of-sophisticated-aib-atm-skimming-scam-in-operation/attachment/removed-aib-atm-skimming-device/

보안을 이유로 상당수의 카드들이 IC칩 방식으로 바뀌긴 했지만, 여전히 마그네틱 방식과 혼용되고 있는 상황이기 때문에 상대방이 마음만 먹으면 복제는 너무나 쉬운 게 현실이다. 그러나 한두달도 아니고 몇년씩 계속 장소를 바꾸어가며 해외에 있는 상황에서, 내게 ATM기기는 그 취약성을 감안하더라도 어쩔 수 없이 이용해야 하는 필요악이다.

발리뿐만 아니라 호주에서도 카드 복제 사고가 극성이라는 이야기를 지인으로부터 들었고, 한번 발생하면 보상받을 확률도 그리 높지 않을 뿐더러 정말 영혼이 탈탈 털리는 일이기에(민사 소송까지 간 분도 있다..), 이번 일로 다시금 깨달은 몇 가지 주의사항을 아래에 정리한다.

  • 국내외를 불문하고 일단 관광객이 많은 곳에 위치해 있거나, 은행 안이 아닌 길거리나 편의점 안에 위치한 사설 ATM의 이용은 절대 피한다. 해외 현금 인출의 경우 신용카드 대신 국제 현금 인출 기능이 있는 카드를 따로 마련해서 사용하도록 한다.
  • 기기 이용 전에  카드 투입구와 키패드 부분에 이물질이 있는지, 키패드 근처나 ATM기기 주변에 카메라 등이 설치되어 있는지 확인한다. 핀코드는 철저히, 편집증 수준에 가깝도록 완전무장 상태로 가리도록 한다.
  • 카드 투입구 내부가 잘 보이도록 투입구 쪽에 조명 장치가 설치되어 있는 기기는 그나마 좀 더 안전하다고 봐도 된다.
출처: ATM card Skimming and PIN capturing Awareness Guide by Commonwealth Bank
출처: ATM card Skimming and PIN capturing Awareness Guide by Commonwealth Bank
  • 그럼에도 불구하고 당했다면, 최대한 빨리 본인이 소지한 현금 인출 카드를 파쇄한 뒤 제일 먼저 은행측에 전달한다. 그리고 최대한 관련있는 모든 증거를 모아 신속히 제출한다.
  • 가장 좋은 건 현금 인출용 카드의 잔고를 항상 0로 유지하되, 출금 직전에 출금할 정도의 금액만 이체해 놓는 것이다. 밖에서 사용하는 현금 인출용 카드는 언제든지 털릴 수 있다는 사실을 전제로 하고 다소 귀찮더라도 항상 잔고를 빼놓는 것이 최선이다.
  • 계좌를 상시 체크하도록 한다. 사고 발생 시 발생 시점으로부터 일정 기간 내에(2주 정도로 알고 있다) 신고가 이뤄지지 않으면 보상이고 뭐고 없다.
  • 최선을 다했음에도 불구하고 보상 과정이 영 좋지 않게 흘러간다면, 금융감독원에 민원을 넣는 마지막 한 수가 있다. 보통 여기서부터가 진짜 전쟁이라고 한다.
  • 사건 발생 후 국내 은행의 관련 정책에 제대로 정이 떨어졌다면, 그냥 홍콩 소재 은행에서 계좌를 하나 열자(..) 다른 곳에 비해 절차도 덜 까다롭고 요구하는 최소 예치금도 낮다. 유사 사건 발생 시 해결과정도 꽤 시원시원하다고 한다.

오늘 하루도 열심히 살아남읍시다.

4 thoughts on “발리에서 생긴 카드 복제 사고로 증발한 400만원, 해결 과정 총정리

  1. 이렇게 실질적으로 도움되는 글 뿐만 아니라 흥미로운 정보가 많네요. 작년 말에 있었던 이민법 개정 논의가 폴 그레이엄의 에세이에서 촉발 되었다는 것도 여기서 알게 되었네요. 북마크 추가 했습니다! 다큐 프로젝트를 응원하며 계속 좋은 정보들 기대 할게요!!

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다