금융기관의 통신망에 침입, 공인인증서를 재발급받아 파밍(유사 홈페이지를 이용한 사기) 수법을 통해 몰래 예금을 인출해 갔다면 금융기관이 예금주에 손해를 배상해줘야 한다는 판결이 나왔다. 은행 측은 예금주가 OTP(일회용 비밀번호 생성기) 비밀번호를 누설한 만큼 책임이 없다고 맞섰지만 법원은 은행이 고지와 달리 이체시 추가인증을 하지 않은 점을 근거로 예금주에 중과실이 없다고 판단했다.
■금감원 사칭 직원에 비밀번호 알려줘
26일 법원에 따르면 영어학원을 운영하는 이모씨(43)는 2014년 9월 일요일에 대출한도 3000만원의 신한은행 마이너스 통장 계좌를 통해 지방세를 납부하기 위해 신한은행 홈페이지에 접속했다. 화면 위로 '금융감독원 사기예방 계좌등록 서비스'란 팝업창이 나타나자 이씨는 금융기관에서 보안강화를 위해 취한 것으로 여겼다. 팝업창에 나타난 지시에 따라 사업용 계좌번호와 이체비밀번호, 공인인증서 비밀번호, OTP 비밀번호를 각각 입력하자 화면에 '등록 중'이라는 표시가 나타났다.
이때 금감원 직원을 사칭한 성명불상자 A씨가 이씨 휴대전화로 전화를 걸어와 "화면에 등록 중이라는 내용이 보이느냐, 계좌가 안전하게 등록 중"이라고 설명했고 거의 동시에 이씨의 휴대폰 문자메시지로 신한은행으로부터 계좌에서 2100만원이 출금(이하 1차 출금)됐다는 내용이 전송됐다. 놀란 이씨는 A씨에게 "계좌에서 출금된 금액이 무엇이냐"고 묻자 A씨는 "전산장애이니 30분 내로 돈이 다시 들어 올 것"이라고 답했다.
이씨는 30분 가량 지나 OTP 비밀번호 입력창이 다시 뜨자 보안등록 절차로 생각, 다시 OTP 비밀번호를 입력했다. 그러자 신한은행으로부터 계좌에서 900만원이 5회에 걸쳐 출금(이하 2차 출금)됐다는 문자가 전송됐고 A씨는 다시 이씨에게 전화를 해 "등록 절차가 진행 중"이라고 거짓말을 했다.
A씨는 계좌로 돈이 들어오지 않자 불안감을 느낀 이씨에게 다시 "해킹을 당한 것 같다. 00경찰서에 신고를 해 놔서 진행 중"이라고 설명했고 이를 수상하게 여긴 이씨는 해당경찰서에 확인한 결과 자신이 금융사기를 당한 사실을 알게 됐다.
이후 이씨는 지난해 5월 '접근매체의 위조.변조 사고로 이용자에게 손해가 발생한 경우 금융기관은 배상책임을 진다'고 규정한 전자금융거래법 9조 1항을 근거로 3000여만원의 손해배상 소송을 냈다. 반면 신한은행은 '이용자의 고의, 또는 중대한 과실이 있거나 금융회사가 보안절차를 철저히 준수한 경우 은행은 책임을 면한다'고 명시한 같은법 9조 2항의 면책조항을 근거로 "접근매체를 누설하거나 노출 또는 방치한 중대한 과실이 이씨에게 있다"고 맞섰다.
■공인인증서 재발급 문자 못받은 고객 과실 없어
사건을 심리한 서울중앙지법 민사96단독(이규홍 판사)은 1차 출금과 관련해 은행 측이 홈페이지 등에 '2014년 1월부터 휴일 거래시 보안매체에 관계없이 1일 누적 100만원 이상 이체시 추가 인증이 이뤄진다' 고시했으나 사고 당시 이씨가 은행에서 공인인증서가 재발급됐다는 문자를 받지 못한 점을 주목했다.
재판부는 "원고는 당시 실제로 계좌이체가 되려면 은행이 고지한 추가인증 절차(고객의 최종승인확인 절차)가 실행될 것이라고 강하게 신뢰한만큼 망설임 없이 OTP 비밀번호 등을 입력한 것으로 보인다"며 "금융기관이 홈페이지에 수차례에 걸쳐 '보안카드 번호 및 코드번호 전체 입력 절대 금지' 등과 같은 안내문을 지속적으로 게시한 사정 등을 참작해도 원고에게 중대한 과실이 있다고 보기 어렵다"고 판단했다.
법원은 다만 2차 출금에 대해서는 이씨의 중과실을 인정했다.