공인인증서 위조인출 책임
이지선 변호사
전자금융거래 이용자의 공인인증서와 보안카드를 제3자가 위조하여 돈을 이체한 경우, 전자금융거래법은 그 책임을 금융회사가 지도록 하고 있다. 하지만, 사고 발생에 있어서 이용자의 고의나 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있는 취지의 약관을 미리 이용자와 체결한 경우 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다고 규정하고 있다.
이처럼 이용자의 고의나 과실의 경우 이용자가 책임을 부담할 수 있다는 규정에 따라, 이른바 보이스 피싱을 통해 이용자(甲)의 금융거래정보를 취득한 제3자(乙)가 공인인증서를 재발급 받아 이용자(甲) 명의로 대출을 받은 사례의 경우, 우리 대법원은 이용자(甲)의 ‘중대한 과실’이 있는 경우에 해당한다고 하며 금융기관의 책임을 면책하는 판결을 하였다. 우리 대법원은 같은 사안에서 ‘고의 또는 중대한 과실’이 있는지는 금융사고가 일어난 구체적인 경위, 그 위조 등 수법의 내용 및 그 수법에 대한 일반인의 인식 정도, 금융거래 이용자의 직업 및 금융거래 이용경력 등 제반사정을 고려하여 판단하여야 한다고 하여, 그 판단 기준도 제시하였다(대법원 2014. 1. 29. 선고 2013다86489 판결).
최근 서울지방법원에서 은행 등 금융기관에 일부 책임을 인정한 판결이 있었다. 2013년에 인터넷뱅킹 서비스 이용자들의 공인인증서와 보안카드를 위조하여 이용자들 모르게 계좌의 돈을 인출한 사고가 있었는데, 이용자들은 각 금융기관이 인출된 돈을 지급하라는 소송을 제기했고, 2015. 1. 15. 서울지방법원은 금융기관에 일부 책임이 있다고 하면서, 은행이 인출된 돈 중 일부를 이용자들에게 지급하라는 판결을 한 것이다. 현재 원고와 피고 모두 항소하여 항소심 진행 중이다. 서울지방법원의 판결을 소개한다.
사실관계를 단순화하면 아래와 같다(실제 사실관계는 아래보다 많은 원고가 있다).
원고 A1, A2, A3, B는 인터넷 뱅킹을 이용하고 있다. 원고 A1, A2, A3는 어느날 은행 홈페이지에 접속하려고 하였으나, 이미 컴퓨터가 악성코드에 감염되어 있어서 허위 사이트로 접속하게 되었고, 허위 사이트에서 전자금융피해 예방 서비스(또는 보안강화, 보안승급 등의 명목)를 위한 창이 떠서 보안카드 번호 및 공인인증서 비밀번호 등 여러 정보를 입력하였다.
A1이 접속한 사이트는 몇 시간 후에 다시 접속하라는 공지를 하였다. 이후 A1은 자신 계좌에서 돈이 송금되었다는 문자메시지를 받았고, 문자를 받은 뒤 은행에 전화하여 피해사실을 신고하였으나, 피해사실이 접수되는 사이에 수회에 걸쳐 다시 돈이 이체되었다. A2는 공인인증서가 재발급되었다는 문자메시지를 받고 은행에 전화하여 이체내역을 확인하였다. A3가 접속한 사이트도 2시간 이후 이용 가능하다는 공지를 띄웠다. 이후 A3는 공인인증서가 재발급되었다는 문자메시지를 받았다.
원고 B는 자신의 아내에게 B 명의의 공인인증서와 비밀번호를 알려주었고, B의 아내가 인터넷 뱅킹을 할 때, 악성코드에 감염된 컴퓨터로 인하여 허위 사이트로 접속하게 되었고, B의 아내는 금융정보와 보안카드 번호를 입력하였다. 이후 B 계좌 금원이 수 차례에 걸쳐 제3자의 계좌로 이체되었다.
원고들은 이상한 문자 또는 전화로 허위의 인터넷 사이트 주소를 입력하여 해당 사이트로 접속된 것이 아니라, 즐겨찾기나 인터넷 포털사이트를 통하여 은행 홈페이지에 접속을 시도하였으나, 악성코드 등에 이미 감염된 컴퓨터를 사용하고 있었기 때문에, 범인에 의하여 허위의 사이트로 유도된 것이다.
원고 C는 스마트폰 뱅킹을 이용하고 있다. C는 보안카드 번호 전체를 잘못된 사이트에 입력하지는 않았다. 그러나 C의 경우 악성코드와 관련된 문자를 확인하는 순간 스마트폰이 악성코드에 감염되었고, 보안카드 관련 정보를 스마트폰에 저장하고 사용한 것으로 보인다(보안카드를 사진이나 메모 파일 형태로 스마트폰에 저장하여 이용하는 경우가 많고, 스마트폰이 악성코드에 감염될 경우 해당 정보는 모두 유출된다). 범인은 C의 계좌에서 총 77회에 걸쳐 계좌이체를 하였는데, 보안카드 번호 전체를 알지 못한다면 이처럼 여러 번 계좌이체를 할 수 없었을 것이다.
결론을 보면, 원고들 중 제3자인 아내에게 접근매체의 사용을 위임한 B는 이체된 돈을 은행으로부터 보상받을 수 없다고 판단되었다. B의 경우, 아내에게 접근매체의 사용을 위임하였다. 그런데, 접근매체인 공인인증서는 금융거래를 하는 자의 본인확인수단으로 일신전속적인 속성이 강하고, 법률과 약관에서 접근매체의 사용을 위임하는 것을 엄격하게 금지하고 있으므로, 다른 사람에게 공인인증서를 사용하게 하여 B에게 발생한 손해는 B가 모두 책임져야 한다는 것이다.
A1, A2, C의 경우 손해의 80%는 원고들이 부담하고, 20%는 피고 은행들이 부담하라는 판단을 받았다. 원고들 A1, A2, C가 정상적인 방법(즐겨찾기나 인터넷 포탈사이트를 통한 방법)으로 은행 홈페이지에 접속하려고 한 점, 모르는 사람으로부터 걸려온 전화를 받고 금융거래와 무관한 허위 인터넷 사이트에 접속하여 자신의 정보를 입력하는 이른바 보이스 피싱과는 다르다는 점, 비록 원고들이 보안카드 번호를 입력하는 등 접근매체를 노출한 책임은 있지만 그 손해를 모두 부담해야 될 정도는 아니라는 사정을 고려하여 은행에 일부 책임을 지운 것이다.
마지막으로, A3의 경우 공인인증서가 재발급되었다는 통지를 받고도 아무런 조치를 취하지 않아 거래 계좌에서 예금이 계속 인출되는 등 손해가 확대될 수 있다는 것을 감안하여, 법원은 A3가 손해의 90%를 부담하라고 판단하였다.