2. OTP 1심 판결
사실관계
(서울중앙지방법원 2011가단468047)
• 성명불상자가 검찰청 수사관을 사칭하면서 원고에게 전화, 원고의 개인정보가 유
출되어 국제금융사기단의 범행에 이용된 것 같으니 피싱사이트에 신고하라고 함
• 이에 속은 원고는 계좌번호, 계좌비밀번호, 원고가 보유하고 있던 신용카드의 카
드번호와 CVC번호 등을 입력
• 위 성명불상자는 원고가 입력한 위 정보를 이용하여 ARS 카드론 및 ARS 현금서
비스를 신청하여 합계 35,500,000원을 계좌로 입금 받은 후, 같은 날 인터넷뱅킹
서비스를 이용하여 위 계좌에 있던 원고의 돈을 포함한 합계 37,420,000원을 이
체 받음
3. OTP 1심 판결
결론 : 원고 전부 승소
(서울중앙지방법원 2011가단468047)
① 해커들이 OTP 단말기를 소지하지 않고도 그 비밀번호를 알아낼 가능성이 전혀
없다고 단정하기 어려운 점
② 공인인증서에 대한 해킹사고가 빈번하게 발생되어 온 점
③ 원고가 공인인증서를 누출하지 않았고 OTP 단말기 역시 분실 또는 도난당하지
아니하였다고 분명하게 진술한 점
④ 이 사건 계좌번호 및 비밀번호 유출은 관련 법령에서 규정한 고의 또는 중대한 과
실의 유형에 해당하지 아니함이 해석상 명백한 점
• ①②③④를 종합하면 보이스피싱 범죄는 접근매체의 위조나 변조로 발생한 사고, 또는 계약
체결 또는 거래지시의 전자적 전송이나 처리과정에 발생한 것으로 봄이 상당하다.
• 피고는 원고에게 원고의 피해금액 전액을 보상하여야!
4. OTP 2심 판결
결론 : 원고 전부 패소
(서울중앙지방법원 2012나42481)
①
제3자에게 접근매체인 공인인증서를 발급받음에 있어서 필수적으로 필요한 계좌번호, 계
좌비밀번호, 주민등록번호 등을 알려준 점
②
개인정보를 탈취한 공격자라 하더라도 OTP 단말기를 소지하지 않은 이상 OTP단말기 비
밀번호의 조합 값 중 정확한 요청 값을 알아내기는 거의 불가능한 점
③
OTP비밀번호를 보관하고 있는 각 서버에 해킹한 흔적이나 OTP 단말기 비밀번호 유출로
인한 피해사례가 드러나지 않은 점
④
원고가 알려주지 않았음에도 OTP 단말기 비밀번호가 해킹되어 사고가 발생한 것이라면
OTP 단말기를 폐기 혹은 교체하였으리라고 봄이 상당함에도 그대로 계속 사용한 점 등에
비추어 원고는 위 성명불상자에게 OTP 단말기 비밀번호를 알려준 것으로 보이는 점
• 제3자가 권한 없이 자신의 접근매체인 공인인증서와 OTP 단말기 비밀번호를 가지고 전자금
융거래를 할 수 있음을 쉽게 알 수 있었음에도 이를 누설·노출한 경우에 해당
• 피고는 이 사건 사고로 발생한 책임을 면함
5. 파밍 판결
사실관계
(의정부지방법원 2013. 7. 12. 선고 2012가단50032 판결)
• 원고, 성명불상자로부터 ‘국민은행, 인터넷 개인정보 유출 관련 보안을 위하여 보
안승급 요청, www.kbpwbank. com’이라는 문자를 받음
• 원고, 문자메세지에 나와 있는 인터넷 사이트에 접속하여 사이트에서 지시하는 대
로 원고 명의 공인인증서 비밀번호, 국민은행 보안카드 일련번호, 보안카드 번호
총 35개 입력.
• 성명불상자, 이를 통해 국민은행 인터넷뱅킹에 필요한 원고의 금융계좌정보를 알
아내어 원고 명의 공인인증서를 재발급받은 다음, 원고의 국민은행 계좌에서 다른
계좌로 돈을 이체하고, 이를 인출해감.
6. 파밍 판결
접근매체의 위조에 대한 판단
(의정부지방법원 2013. 7. 12. 선고 2012가단50032 판결)
① 전자금융거래법 제9조 제1항은 전자금융사고의 책임을 금융기관 또는 전자금융
업자로 하여금 그 고의·과실에 관계없이 부담하도록 함으로써 이용자 보호에 중
점을 두고 있는 점
② 특히 이는 민사상 책임에 대한 규정이므로 위조 또는 변조의 개념을 형법에서와
같이 엄격하게 해석할 필요는 없는 점
③ 더군다나 형법에서도 명의인을 기망하여 문서를 작성케 하는 경우는 서명, 날인
이 정당히 성립된 경우에도 기망자는 명의인을 이용하여 서명 날인자의 의사에
반하는 문서를 작성케 하는 것이므로 사문서위조죄가 성립한다고 보고 있는 점
(대법원 2000. 6. 13. 선고 2000도778 판결 등 참조)
7. 파밍 판결
접근매체의 위조에 대한 판단
(의정부지방법원 2013. 7. 12. 선고 2012가단50032 판결)
④ 2013. 5. 22. 법률제11814호로 개정되어 6개월 후부터 시행될 예정인 전자금
융거래법에서는 제9조 의 금융회사 또는 전자금융업자의 책임으로서 제1항상
접근매체의 위조나 변조로 발생한 사고(제1호) 이외에 새로, 부정한 방법으로 획
득한 접근매체의 이용으로 발생한 사고(제3호)를 적용대상으로 추가하여 금융기
관의 손해배상책임이 발생한다고 규정하고 있는 점
• 성명불상자가 원고의 개인정보를 불법적으로 획득하여 이를 이용하여 공인인증서를 재발급
받은 행위도 전자금융거래법 제9조 제1항 제1호 에 규정된 ‘접근매체의 위조’에 포함된다고
봄이 상당
8. 파밍 판결
은행에 30% 책임 인정
(의정부지방법원 2013. 7. 12. 선고 2012가단50032 판결)
• 성명불상자가 원고의 금융정보 이용, 공인인증기관을 속여 공인인증서를 재발급
= 전자금융거래법 제9조 제1항의 접근매체의 위조 => 은행이 배상책임
• 은행의 면책항변에 대해, 원고로서는 자신의 금융정보를 허위의 사이트에 그대로
누설한 중대한 과실이 있다고 판단, 은행의 손해배상책임을 30%로 제한
①
전자금융거래법 제9조 제2항 제1호, 전자금융거래 기본약관 제20조 제2항 제3호를
잘 살펴보면, 그 문언의 취지상 이용자의 고의로 인한 것이라면 피고 국민은행의 손해
배상책임이 면책되나, 이용자의 중과실로 인한 경우에는 피고 국민은행이 책임의 일부
를 지지 아니하는 것으로 해석되는 점
②
전자금융거래법 제9조 제1항 상의 금융기관의 손해배상책임이 금융기관의 고의·과
실 여부를 불문한 이용자의 보호에 중점을 둔 법정 손해배상책임이라는 점
9. 손해배상의 기본원칙
일반불법행위법의 기본원칙
• ‘자신’의 ‘고의·과실 있는’ 행위로 인한 손해에 대해서만 책임
– 과실책임주의 – 고의·과실 있는 행위
– 자기책임(개인책임)의 원칙 – 타인의 행위에 대해서는 책임지지 않음
• 불법행위에서의 행위의 의미
– ‘용태’에 불과. 의사표시일 필요까지는 없음
• 용태 : 사람의 의식이나 정신작용에 의한 법률사실
– ‘행위’가 없다면 불법행위는 성립할 수 없음
• 인과관계
– 행위가 결과를 발생하게 한 원인이어야 함
– 인과관계가 없다면 불법행위는 성립할 수 없음
10. 손해배상의 기본원칙
일반불법행위법의 기본원칙에 대한 예외
• 과실책임주의의 예외
– 실화책임법 : 중과실의 경우에만
– 증명책임의 완화 등
• 무과실책임(위험책임)
– 과실책임주의 및 자기책임의 원칙으로 피해자 구제가 불충분·부적절한 경우, 위험원
지배라는 미약한 인과관계와 관계 있는 타인의 행위를 구성요건으로 인정함으로써 결
과적 정의를 보장하는 예외적인 규정
– 민법상 사용자책임, 동물관리자의 책임, 미성년자의 보호자의 책임 등
– 형사상으로는 양벌규정이 이에 유사(다만, 상당한 주의와 감독을 게을리 하지 않았음
을 입증하여 면책 가능)
11. 전자금융거래법 제9조의 손해배상
금융회사 또는 전자금융업자의 손해배상책임 근거 조항
제9조(금융기관 또는 전자금융업자의 책임)
① 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사고로 인하
여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다.
1. 접근매체의 위조나 변조로 발생한 사고
2. 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고
3. 전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한
법률」 제2조제1항제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방
법으로 획득한 접근매체의 이용으로 발생한 사고
12. 전자금융거래법 제9조의 손해배상
금융회사 또는 전자금융업자의 면책 또는 감경 조항
제9조(금융기관 또는 전자금융업자의 책임)
② 제1항의 규정에 불구하고 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나
에 해당하는 경우에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다.
1. 사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또
는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우
2. 법인(「중소기업기본법」제2조제2항에 의한 소기업을 제외한다)인 이용자에게 손해가 발생한 경우
로 금융회사 또는 전자금융업자가 사고를 방지하기 위하여 보안절차를 수립하고 이를
철저히 준수하는 등 합리적으로 요구되는 충분한 주의의무를 다한 경우
③ 제2항 제1호의 규정에 따른 이용자의 고의나 중대한 과실은 대통령령이 정하는
범위 안에서 전자금융거래에 관한 약관(이하 "약관"이라 한다)에 기재된 것에 한한다.
13. 전자금융거래법 제9조의 손해배상
금융회사 또는 전자금융업자의 면책 또는 감경 조항
시행령 제8조(고의나 중대한 과실의 범위) 법 제9조제3항에 따른 고의나 중대한 과실
의 범위는 다음 각 호와 같다.
1.
이용자가 접근매체를 제3자에게 대여하거나 그 사용을 위임한 경우 또는 양도나 담보
의 목적으로 제공한 경우
2.
제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 알았
거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치한 경우
14. 전자금융거래법 제9조의 손해배상
금융회사 또는 전자금융업자의 면책 또는 감경 조항
시행령 제8조(고의나 중대한 과실의 범위)
3.
금융회사 또는 전자금융업자가 법 제6조제1항에 따른 확인 외에 보안강화를 위하여
전자금융거래시 요구하는 추가적인 보안조치를 이용자가 정당한 사유 없이 거부하여
법 제9조제1항제3호에 따른 사고가 발생한 경우 <신설 규정>
4.
이용자가 제3호에 따른 추가적인 보안조치에 사용되는 매체ㆍ수단 또는 정보에 대하
여 다음 각 목의 어느 하나에 해당하는 행위를 하여 법 제9조제1항제3호에 따른 사고
가 발생한 경우
가. 누설ㆍ노출 또는 방치한 행위
나. 제3자에게 대여하거나 그 사용을 위임한 행위 또는 양도나 담보의 목적으로 제공한 행위
15. 전자금융거래법 제10조의 손해배상
접근매체 분실·도난
제10조(접근매체의 분실과 도난 책임)
① 금융회사 또는 전자금융업자는 이용자로부터 접근매체의 분실이나 도난 등의 통
지를 받은 때에는 그 때부터 제3자가 그 접근매체를 사용함으로 인하여 이용자에
게 발생한 손해를 배상할 책임을 진다. 다만, 선불전자지급수단이나 전자화폐의
분실 또는 도난 등으로 발생하는 손해로서 대통령령이 정하는 경우에는 그러하
지 아니하다.
② 제1항 및 제9조의 규정에 불구하고 다른 법령에 이용자에게 유리하게 적용될 수
있는 규정이 있는 경우에는 그 법령을 우선 적용한다.
16. 무과실 손해배상 규정의 도입배경
제정법률안 의안 심사보고서
•
현재 금융회사의 시스템 장애 등으로 인한 금융사고 발생시 책임분담문제에 관한 명시적인 법률규정이 없어
‘전자금융거래 기본약관’에 의하여 해결하고 있으나 동 약관에 따르면 접근수단의 위․변조에 따른 피해를 모
두 이용자가 부담하도록 하는 등 은행의 면책범위가 지나치게 광범위하여 이용자에게 상당한 불이익이 초래되
므로,
•
따라서 제정안과 같이 금융사고 발생시 금융기관 등에 과실이 없더라도 원칙적으로 책임을 부담하도록 한 것
은 상대적으로 약자의 위치에 있는 금융소비자를 두텁게 보호하기 위한 입법조치로서 일응 타당하다고 사료됨
•
다만, 제정안과 같이 규정할 경우에는 이용자의 고의 또는 중대한 과실에 대한 입증책임을 금융기관에서 부담
하게 되어 과다하게 금융기관 책임이 커질 우려가 있을 뿐 아니라 전자금융거래과정에서 자칫 이용자 측의 도
덕적 해이를 야기할 수 있는 문제점이 있음.
•
따라서 접근매체의 위․변조 사고로 인하여 손해가 발생한 경우에는 원칙적으로 금융기관 또는 전자금융업자
가 책임을 부담하도록 하되, 금융기관 등이 사고 방지를 위한 보안절차 수립 등 합리적으로 요구되는 수준의
충분한 주의의무를 다하였음을 입증하는 경우 등에는 그 책임을 경감할 수 있는 규정을 둠으로서 금융기관과
소비자 간에 적절한 수준에서 책임을 분담하도록 하는 것이 타당하다고 사료됨
17. 전자금융거래와 위험지배영역
전자금융거래법상 이해당사자의 지배관리 영역
금융회사/전금업자 영역
전자금융거래 이용자 영역
은행의 지배 관리하에 있는 정보시스템
의 해킹을 통해 금융정보, ID/비밀번호
등 개인정보를 위조하거나, 부정한 방
법으로 획득해 사고가 발생한 경우
이용자 PC와 스마트폰이 악성코드에
감염되어 금융정보, 공인인증서, ID/비
밀번호 등 개인정보를 부정한 방법으로
획득해 사고가 발생한 경우
공인인증서 등 제3의 매체 발행기관
공인인증서 발급기관 또는 OTP 인증기
관의 지배 관리하에 있는 서버의 해킹
을 통해 공인인증서를 위조하거나, 부
정한 방법으로 획득해 사고가 발생한
경우
•
미국 통일 상법전(4A-202)에
따르면 (ⅰ) 보안절차가 상업적
으로 합리적인 수준에서 마련
되어 있고 (ⅱ) 은행이 동 보안
절차를 준수하였음을 입증하
는 경우에는 그 고객명의에 의
한 은행의 자금이체가 유효함
을 규정하고 있음.
18. 손해배상 규정의 분석과 해석론
규정의 분석
•
경과실의 무과실책임 및 고의·중과실의 범위 한정
– 원칙적으로 일정 사유로 인한 사고에 의한 손해발생시 금융회사 등이 책임을 짐
• 접근매체 위변조, 거래지시, 접근매체 획득 등
• 발생영역을 불문함
– 이용자가 그 사고 발생에 기여하였을 때(고의·중과실) 금융회사 등의 책임 경감
• 접근매체의 대여·위임·양도·담보 등 제공
, 제3자 무단사용을 알거나 알 수 있었음에도 누설
·노출·방치
, 추가적 보안조치 거부, 그 접근매체 누설 등·제공 등
• 그것도 책임부담에 관한 계약
이 있을 때에만 면제됨
)령행시(
)등 관약본기래거융금자전(
)등 설누(
증명책임의 전환 규정
)등 여대(
•
– 고의 또는 중과실에 대한 증명책임을 금융회사 등이 부담
– 사실상 입증 곤란한 경우가 대부분
•
접근매체 분실·도난 신고 이후부터 책임은 금융회사로 이전
– 제2항 : 유리한 규정을 우선 적용하는 경우는 신용카드 분실·도난의 경우를 의미함 (여신전문
금융업법상 분실 통지 전 발생한 신용카드 사용에 대하여도 일부 책임을 지는 경우, 의안심사보고서)
19. 손해배상 규정의 분석과 해석론
규정의 문제점 및 해석론
•
접근매체의 의의
– 원격지에서의 본인확인을 위하여 금융소비자에게 부여되는 본인확인수단
– 물리적 접근매체(OTP, 자물쇠카드), 전자적 접근매체(공인인증서, SMS, 비밀번호 등)
•
이용자에게 부여된 접근매체에 대한 보안은 이용자의 책임영역(위험영역)
– 물리적 접근매체는 은행에서 발급한 이후 이용자가 소지
– 전자적 접근매체는 인증기관에서 발급한 이후 이용자의 매체에 보관
•
•
이용자의 책임영역 내에서 발생한 사고에 대하여까지 은행에 책임을 지우는 것은 무과실책임의
전제를 넘어선 것으로서, 재산권에 대한 중대한 제약에 해당하므로 합리적인 위험의 분배라고 보
기 어려움
시행령상 ‘이용자의 고의, 중과실‘에 관한 규정을 적극적으로 해석하여 합리적인 위험을 분배할
필요
– 이용자의 위험영역에서 발생한 사고의 경우에 금융회사 등의 책임 면제
– 금융회사의 책임을 일부라도 인정할 경우에 추가 인증수단을 도입하게 되어 결국 악순환에 빠질 뿐만 아
니라 대다수 이용자들의 불편만 초래
– OTP 2심 판결(은행 책임 면제), 파밍판결(은행 책임 30%)
20. 법률 개정 필요
이해당사자의 자기책임 원칙에 따라 전자금융거래법 제9조 개정
해석 원칙
이해당사자가 지배 관리하는 영역에서
발생한 사고에 대해서 과실책임의 원칙
적용
• 금융회사 또는 전자금융업자는 자
신이 관리하는 정보통신망 내에서
발생한 접근매체의 위변조 및 획득
으로 인한 사고에 대해 책임
• 이용자는 자신이 전자금융거래에
제공한 PC, 스마트폰의 악성코드
감염으로 인한 사고에 대해 책임
• 공인인증서 등 제3의 접근매체 발
행기관은 그가 관리하는 정보통신
망 내에서 발생한 접근매체의 위변
조 및 획득으로 인한 사고에 대해
책임
기대 효과
•
•
•
•
헌법상 기본 원칙인 자기책임의 원
칙 구현
금융회사 등에 무과실 책임을 지울
합리적 근거가 없는 위헌성 문제 등
해결
이해당사자가 각자 정보보안을 위
해 노력할 책임 부여
자작극 등 도덕성해이 예방