고객의 일회용 비밀번호 유출과 은행의 책임

윤소평변호사

# 사실관계

A는 2014. 지방세를 납부하기 위해 B은행 인터넷뱅킹 홈페이지에 접속했는데, 화면에 '금융감독원 사기예방 계좌등록 서비스'라는 팝업창이 떴다.

A는 보안때문인 것으로 생각하고, 팝업창 안내문에 따라 계좌번호와 비밀번호, 공인인증서 비밀번호, OTP 비밀번호를 입력했다.

그러자 화면에 '등록중'이라는 표시가 떴고 곧바로 A의 휴대전화로 전화가 걸려와, 남성이 금융감독원 직원이라고 하면서 "화면에 등록 중이라는 내용이 보이느냐, 계좌가 안전하게 등록되고 있다"고 설명했는데 이 와중에 A의 휴대폰 문자메시지로 A의 계좌에서 2,100만원이 출금됐다는 내용이 전송됐다.

A가 "계좌에서 출금된 금액이 무엇이냐"고 묻자 이 남성은 "전산장애이니 30분 내로 돈이 다시 들어 올 것"이라고 말하고 전화를 끊었다. 30분 뒤 OTP 비밀번호만 입력하는 창이 다시 뜨자 A는 다시 비밀번호를 입력했고, 그 순간 A의 계좌에서 5회에 걸쳐 총 900만원이 출금됐다.


# 법원의 판단

A는 보이스피싱에 당한 것이라고 생각하고 사고 당시 공인인증서가 재발급된 사실이 없어 출금이 불가능한데도 돈이 빠져 나갔으며 B은행이 공지한 것과 달리 추가인증 절차도 없이 계좌에서 돈이 빠져 나갔다며 은행을 상대로 소송을 제기했다. B은행은 "A씨의 과실로 OTP 비밀번호가 노출돼 일어난 일"이라며 "책임이 없다"고 항변했다.

전자금융거래법 제9조는 공인인증서나 OTP 같은 접근매체의 위조나 변조로 발생한 사고 등으로 이용자에게 손해가 발생한 경우 은행 등 금융기관이 배상해야 한다고 규정하고 있다. 다만 사고 발생에 이용자의 고의나 제3자가 권한 없이 이용자의 접근매체를 이용해 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치하는 등 중대한 과실이 있는 경우에는 책임의 전부나 일부가 감경된다.

서울중앙지법은 A가 B은행을 상대로 낸 손해배상청구소송(2015가단5135685)에서 "B은행은 2,200여만원을 지급하라"며 최근 원고일부승소 판결했다.

재판부는

B은행이 홈페이지에 게시한 '전자금융사기 예방서비스 전면시행에 따른 추가인증' 공고에 따르면 '야간(21시~09시) 및 휴일 거래시 보안매체에 관계없이 1일 누적 100만원 이상 이체시 추가 인증이 있다'고 게재되어 있는 점,

사고 발생일이 휴일이었고 이체된 금액이 100만원을 초과함에도 B은행이 공고한 추가인증 절차는 이뤄지지 않은 점,

A는 '금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기를 이용하라'는 B은행의 권유에 따라 즐겨찾기에 등록해 놓은 홈페이지로 접속했고, B은행은 사고 당시까지 비밀번호 30~35개 중 일부를 입력하도록 하는 기존의 보안카드와 달리 OTP 방식은 외부노출과 해킹으로부터 안전한 것으로 홍보하기도 한 점 등

이같은 사실에 비추어 보이스피싱에 대한 일반인의 인식이 높은 상황에서 A의 나이와 직업, 인터넷 금융거래 이용 경력 등을 고려하더라도 1차로 출금된 2,100만원에 대해 A에게 중대한 과실이 있다고 볼 수 없어 은행의 배상책임이 100% 인정되고, 다만, 2차로 출금된 900만원에 대해서는 A가 공인인증서 인증과 추가인증절차가 없이도 계좌이체가 된다는 점을 의심하지 못한 과실이 인정돼 은행의 배상 책임을 10%로 제한한다고 판시했다.


*상담 1599-9462