S1N16

보이스피싱에 속아 고객이 비밀번호 유출했어도
서울중앙지법, 인터넷뱅킹 해킹 피해는 은행 책임
"공인인증서·OTP 유출 없어… 중대과실로 못봐"


고객이 전화금융사기(보이스피싱)에 속아 은행 계좌번호와 비밀번호를 유출했어도 인터넷뱅킹으로 이체된 피해는 금융기관이 책임져야 한다는 판결이 나왔다.

서울중앙지법(민사37단독 조중래 판사)은 우모씨가 "전자금융거래법에 따라 보이스피싱 피해액을 배상하라"며 우리은행을 상대로 낸 손해배상소송(2011가단468047)에서 "우리은행은 3700여만원을 지급하라"며 원고승소 판결을 내렸다.

인터넷뱅킹에 필요한 공인인증서나 일회용 비밀번호(OTP, one-time password)를 유출하지 않은 이상 고객에게 책임이 없다는 취지다. OTP란 인터넷뱅킹에 사용되는 보안카드 대신 모바일 프로그램이나 전용 단말기를 이용해 일회용 비밀번호를 생성하는 방식을 말한다.

조 판사는 판결문에서 "우씨는 이체 사실을 알게된 직후 경찰에 피해신고를 하면서 자신은 공인인증서를 누출하지 않았고 OTP 단말기 역시 분실 또는 도난당하지 않았다고 분명하게 진술했다"며 "우리은행은 전자금융거래법에 따라 손해를 배상할 책임이 있다"고 밝혔다.

재판부는 "국내에 사용되는 OTP 단말기 일부를 생산하는 미국 RSA사의 시스템이 2011년 3월 해킹당한 사실이 있고, 노트북에 저장된 공인인증서를 해킹한 사고 역시 빈번하게 발생됐다"고 이유를 설명했다. 우씨의 피해를 전자금융거래법 제9조가 금융기관의 책임으로 정한 '접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고'로 해석한 것이다.

우리은행은 우씨가 계좌번호와 비밀번호를 사기단에 알려주는 등 중대한 과실이 있으므로 배상액을 감면해야 한다고 주장했다. 하지만 재판부는 "전자금융거래의 안전성과 신뢰성을 확보하려는 전자금융거래법의 입법 목적에 비춰보면 금융기관의 책임을 감면하는 요건은 엄격히 해석해야 한다"며 "계좌번호와 비밀번호 유출은 법령에서 규정한 고의 또는 중대한 과실의 유형에 해당하지 않는다"며 받아들이지 않았다. 전자금융거래법 시행령 제8조는 금융기관 등이 책임 감면을 주장할 수 있는 이용자의 고의 또는 중대한 과실의 유형으로 접근매체를 대여하거나 담보로 제공한 경우, 누설 또는 방치한 경우 등으로 한정하고 있다.

우씨는 지난해 11월 자신을 검찰청 수사관이라 사칭한 보이스피싱사기단에 속아 우리은행 계좌번호와 비밀번호, 신용카드 카드번호와 유효성 검사 코드(CVC)를 'www.policeseoul.com'이라는 사이트에 입력했다. 사기단은 이 정보를 이용해 롯데, 신한, KB국민카드로부터 자동응답시스템(ARS) 카드론과 ARS 현금서비스로 합계 3550만원을 우씨의 계좌로 입금받은 후 통장잔액까지 포함해 모두 3742만원을 인터넷뱅킹으로 이체해 빼내갔다.

속은 사실을 알게된 우씨는 경찰에 피해를 신고하고 카드회사 대출금을 상환한 후 12월 소송을 냈다. 우씨는 사기단이 해킹을 통해 공인인증서를 재발급받고 OTP 단말기 비밀번호를 알아내 발생한 사고라고 주장했으나, 우리은행은 우씨가 OTP 단말기 등 접근매체를 도난 또는 분실해 발생했다며 배상을 거절했다.

---