[뉴스토마토 김미애기자] 피해자가 보이스피싱(전화금융사기·Voice Phishing) 사기범에게 보안카드번호, 계좌비밀번호 등을 넘긴 것은 '중과실'에 해당하기 때문에, 은행 측에 배상 책임을 물을 수 없다는 항소심 판결이 나왔다.
이는 '제3삼자가 권한 없이 이용자의 접근매체로 전자금융거래를 할 수 있다는 점을 알았거나 쉽게 알 수 있었는데도, 이용자가 자신의 접근매체(비밀번호 등)를 누설·노출한 경우 은행은 책임을 면한다'고 규정된 전자금융거래법 약관의 면책조항에 따른 것이다.
이 면책조항 때문에 그동안 금융권 안팎에서는 은행이 보이스 피싱 범죄의 피해를 피해자에게 모든 과실 책임을 부담시키고 있다는 비판이 제기돼 왔다.
이번 판결은 '피해자가 비밀번호 등을 알려줬더라도 중과실에 해당하지 않는다고 봐 은행측 책임을 인정했던 1심 판결을 뒤집었고, 피해자인 고객이 상고를 포기해 판결이 확정됐다. 그러나 유사 사건이 계속되고 있는 만큼 관련 사건이 대법원까지 갈 것으로 예상돼 대법원의 최종판결이 주목된다.
◇사기범에게 비밀번호 '노출'..중대한 과실?
서울중앙지법 민사항소7부(재판장 이효두)는 우모씨가 주식회사 우리은행을 상대로 낸 손해배상 청구소송에서 원고승소 판결한 원심을 깨고 "제3자에게 비밀번호 등을 알려준 것은 중대한 과실에 해당한다"며 원고패소 판결했다고 26일 밝혔다.
재판부는 "보이스피싱 범죄에 대한 경각심이 높아진 상황에서 원고는 공인인증서 등의 도용이나 위조를 방지하기 위한 관리에 충분한 주의를 기울여야 했다"고 지적했다.
이어 "그런데도 원고는 제3자에게 접근매체인 공인인증서를 발급받을 때 필수적으로 필요한 계좌번호, 계좌비밀번호, 주민등록번호 등 OTP(One Time Password) 비밀번호까지 알려준 것으로 보이는데, 이 같은 행위는 면책조항에 규정된 누설·노출한 경우에 해당되므로 은행 측의 배상 책임은 면제된다"고 판시했다.
반면 1심은 원고가 사기범에게 비밀번호 등을 알려준 행위가 면책조항에 규정된 '중대한 과실'에 해당하지 않는다고 보고, 은행 측의 배상책임을 인정했었다.
1심 재판부는 "전자금융거래법 8조에 따르면 금융기관 등이 책임 감면을 주장할 수 있는 이용자의 고의 또는 중대한 과실의 유형을 '이용자가 접근매체를 제3자에게 대여하거나 그 사용을 위임한 경우 또는 양도나 담보의 목적으로 제공한 경우', '제3자가 권한 없이 이용자의 접근매체를 이용해 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었는데도 이를 누설·누출 또는 방치한 경우로 한정하고 있는데, 이는 은행 측이 사용하는 전자금융거래법 기본 약관과 동일한 내용"이라고 설명했다.
이어 "전자금융거래의 법률관계를 명확히해 전자금융거래의 안정성과 신뢰성을 확보함과 아울러 전자금융업의 건전한 발전을 위한 기반조성을 해 국민의 금융편의를 꾀하고 국민경제의 발전을 목적으로 하는 전자금융거래법의 입법목적에 비춰보면, 금융기관의 책임을 감면하는 요건은 엄격히 해석해야 한다"고 말했다.
아울러 "금융기관은 면책조항을 근거로 책임의 감면을 주장하는데, 은행 측이 원고의 중대한 과실이라고 주장하는 계좌번호 및 비밀번호 유출은 관련 법률에서 규정한 고의 또는 중대한 과실의 유형에 해당하지 않는다는게 해석상 명백하다"고 지적하고 "따라서 은행은 면책조항을 이유로 책임을 감면받을 수 없다"며 원고승소 판결했다.
◇OTP 비밀번호 해킹 가능성 여부 판단 달라
인터넷뱅킹에서 사용되는 OTP(One Time Password) 단말기 비밀번호의 노출 원인에 대한 1·2심 재판부의 판단도 달랐다.
2심 재판부는 "개인정보를 탈취한 공격자라 하더라도 OTP 단말기를 소지하지 않는 이상 OTP 단말기 비밀번호의 조합값 중 정확한 요청 값을 알아내기는 거의 불가능 하다"며 "만약 OTP 단말기 비밀번호가 해킹됐다면 OTP 단말기 자체, 피고 은행의 인증서버, 금융보안연구원 서버 중 어느 한 곳에는 해킹한 기록이 남았을 텐데 각 서버에 해킹한 흔적이나 OTP 단말기 비밀번호 유출로 인한 피해사례가 드러나지 않았다"고 지적했다.
반면 1심은 "해커들이 OTP 단말기를 소지하지 않고도 그 비밀번호를 알아낼 가능성이 전혀 없다고 단정하기 어렵고, 노트북에 저장된 공인인증서에 대한 해킹사고 역시 빈번하게 발생돼 왔다"며 사기범에 의한 해킹 가능성을 열어뒀다.
OTP 단말기란, 계좌이체·공인인증서 재발급 등을 할때 본인 확인을 위한 수단으로, 네자리의 비밀번호가 있는 보안카드보다 보안을 더 강화하기 위해, 비밀번호 6자리의 숫자로 매번 생성한 이후 소멸하도록 하는 보안비밀번호생성기다.
인터넷뱅킹시 이용자가 입력한 비밀번호가, 금융기관 서버에 보관된 이용자의 정보로 생성된 6자리의 비밀번호와 일치하면 거래가 이뤄진다.
지난 2011년 5월20일 보이스 피싱 사기범 A씨는 우씨에게 전화를 걸어 자신을 검찰청 수사관이라고 소개하며 "개인정보가 유출돼 국제금융사기단의 범행에 이용된 것 같다. 모 사이트 주소를 알려줄테니 이 곳에 접속해 신고하라"고 말했다.
이에 우씨가 사이트에 우리은행 계좌번호와 비밀번호, 신용카드의 CVC 번호 등을 입력하자, A씨는 즉씨 그 정보를 이용해 카드 현금서비스를 받아 총 3550만원을 우씨의 계좌로 입금받았다. 이후 같은 날 A씨는 우리은행에서 우씨의 공인인증서를 재발급받아 인터넷뱅킹서비스를 이용, 우씨의 계좌에 있던 우씨의 예금 돈을 포함한 총 3740여만원을 6개의 타계좌로 분산 이체했다.
뒤늦게 보이스 피싱 범죄에 당했다는 사실을 알게된 우씨는 "공인인증서 등의 위조·변조로 발생한, 계약 체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고이므로 금융기관이 손해를 배상하라"며 우리은행을 상대로 소송을 냈다.
◇서울법원종합청사
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지