$500 Million 보안 격차: Bank of Ireland UK의 중대한 실패

Source: Dev.to

“수취인 확인”(Confirmation of Payee)의 제도적 실패

배경

2026년 2월 20일, Bank of Ireland UK(BOIUK)는 “수취인 확인”(CoP) 전송 요청을 구현하지 못한 것에 대해 공식 사과문을 발표했습니다. CoP는 계좌 번호와 계좌 이름을 교차 검증하여 허가된 푸시 결제(APP) 사기를 방지하는 기능으로, 최근 연간 보고 기간 동안 영국 소비자들이 £459.7 백만을 잃은 범죄와 직접 연관됩니다.

고객에 미치는 영향

CoP 기능이 없으면 BOIUK 고객은 “악의적인 리디렉션” 사기에 훨씬 더 취약해집니다. UK Finance 자료에 따르면 APP 사기 사건의 **77 %**가 소셜 미디어에서 시작되며, 최종 실패 지점은 항상 은행 이체입니다. 구현 시점을 놓친 BOIUK는 성인 4명 중 1명이 금융 사기의 표적이 된 상황에서 문을 열어 둔 것과 같습니다.

규제적 맥락

영국 결제 시스템 규제기관(PSR)은 원래 2020년까지 그룹 1 은행에 CoP를 의무화했지만, 중간 규모 기관들은 여전히 도입에 어려움을 겪고 있습니다. PSR은 시스템적인 결제 보안 실패에 대해 은행에 연간 매출의 **10 %**까지 벌금을 부과할 수 있습니다. 새로운 PSR 규정에 따라 은행은 “중대한 과실”이 입증되지 않는 한, APP 사기 피해자에게 청구당 £415,000 한도까지 보상해야 합니다.

업계 비교

Barclays와 HSBC와 같은 Tier 1 은행은 5년 이상 CoP 기능을 유지해 왔습니다. BOIUK의 지연은 “뮬” 계좌 활동에 대한 고위험군에 해당하며, 이는 지난해 영국 은행 부문 전체 사기 손실이 £1.2 억에 달한 원인 중 하나였습니다.

재무적 함의

은행이 수취인의 신원을 확인하지 못하면 책임이 기관에 전가되는 경우가 많습니다. CoP를 제공하지 않음으로써 BOIUK는 사기 비용이 연 5 % 복합 성장률로 상승하고 있는 시장에서 자체 대차대조표상의 부채를 증가시킵니다. PSR이 보다 엄격한 보상 의무로 나아가면서, 사과 비용보다 잠재적 벌금 비용이 곧 더 크게 부담될 것입니다.

결론

**영국 성인 중 92 %**가 모바일 뱅킹을 이용하는 금융 생태계에서, 실시간으로 수취인을 확인하지 못하는 것은 더 이상 “실수”가 아니라 구조적인 부채입니다. Bank of Ireland UK의 사과는 기술적 한계에 부딪힌 전통 금융기관을 나타내며, 앞으로 규제 및 재무적 파급 효과가 크게 나타날 것으로 예상됩니다.