[판례평석] 전자금융거래상 금융회사의 책임

전자금융거래상 금융회사의 책임

- 서울중앙지방법원 2013가합70571등 판결 -

1. 사안과 쟁점

가. 사실관계

금융기관 고객인 원고들(피해자들)은 인터넷뱅킹 또는 스마트폰뱅킹을 이용하기 위하여, 성명불상자에 의해 악성코드에 감염된 컴퓨터나 스마트폰을 통해 피고들(금융회사들)이 운영하는 인터넷 홈페이지에 접속하려고 하였다. 그 순간 악성코드에 감염된 컴퓨터 또는 스마트폰이 원고들을 허위의 사이트로 유도?접속시켰고, 위 사이트에서는 ‘보안승급 또는 보안 관련 확인이 필요하다’는 메시지와 함께 원고들의 계좌번호 및 비밀번호, 보안카드 번호 등의 입력을 요구하였다. 이에 따라 원고들은 자신들의 주민번호, 계좌번호와 그 비밀번호, 공인인증서 비밀번호, 보안카드 번호 등을 입력하였고, 위와 같은 방법으로 금융거래정보를 획득한 성명불상자는 위 정보를 이용하여 컴퓨터 또는 스마트폰을 통해 피고들이 운영하는 인터넷 홈페이지에 접속하여 원고들 명의의 공인인증서를 발급 또는 재발급받아 이로써 원고들의 계좌에서 제3자 명의의 계좌로 자금(예금)을 이체하여 돈을 빼돌렸다.

원고들은, 본 사안이 구 전자금융거래법(이하 “법”이라고 함) 제9조 제1항 전단의 ‘접근매체의 위조’에 해당하므로, 이로 인해 발생한 원고들의 손해에 대해서는 동조에 따라 원고들에게 손해를 배상할 책임이 있다”고 주장하였다. 이에 피고들은 이미 2012년부터 전자금융사기에 대한 경고안내 등을 충실히 하여왔음에도 불구하고 피해자들이 보안카드의 번호 전부를 입력하는 등 자신의 금융거래정보를 노출시킨 것은 중과실에 해당하여 금융기관의 책임이 면책된다고 항변하였다.

나. 법원의 판단

법원은 우선, 법 제9조의 입법취지는 ‘복잡하고 전문적인 특성을 지녀 원인규명이 어려운 전자금융사고에 대한 책임부담 원칙을 명확히 하고 이용자의 고의?중과실에 의하지 않은 전자금융사고로 인하여 이용자에게 손해가 발생한 경우 금융회사 또는 전자금융업자가 책임을 부담하도록 하기 위한 것’이라며 결국 위 규정이 금융회사 등의 법정 무과실책임을 인정한 것이라고 밝혔다. 그리고 타인의 정보를 부정하게 이용하여 공인인증서를 발급 또는 재발급받은 경우도 접근매체의 위조에 해당하거나 적어도 이에 관한 규정을 유추적용할 수 있다며 피고들에게 법 제9조에 따른 손해배상의무를 일응 인정하였으나, 원고들의 나이나 사회경험, 인터넷뱅킹 이용경력이나 그 빈도, 피고들의 전자금융사기에 대한 경고나 안내문 게시 현황 등에 비추어 보면, 원고들이 보안카드 번호 전체를 입력하는 것은 매우 이례적인 일이고, 통상의 거래에서 금융기관이 보안카드 번호 전체를 요구하지 않는다는 사정을 충분히 인식하고 있었던 것으로 보여 원고들의 중과실이 인정된다고 하였다.

다만, 법에서는 이용자에게 중대한 과실이 있는 경우 그에게 손해배상책임의 ‘전부 또는 일부’를 지울 수 있음을 규정하고 있으므로 원고들의 중과실을 이유로 곧바로 피고들의 전부면책을 인정하긴 어렵고, 원고들도 어디까지나 정상적인 방법으로 홈페이지 접근을 시도하였다가 허위의 사이트로 유도된 점 등을 감안하면, 전화를 통해 기망 당하여 스스로 허위 사이트에 접속한 보이스피싱 사례 등과 동일하게 보기 어려워, 결국 이 사건에서는 금융회사들이 손해의 일부에 대한 책임을 부담하여야 한다고 판단하였다{서울중앙지방법원 2015. 1. 15. 선고 2013가합70571, 61065, 52696, 82574, 72102 판결(이하 “대상판결”)}.

본 평석은, 필자가 서울지방변호사회 판례연구회에서 2015. 6. 24.에 발표한 발표문을 일부 발췌?요약한 것이다. 위 발표시점과 본 평석 게재 시기 사이인 2015. 9. 9. 대상판결에 관한 항소심판결이 선고되었으며, 원심과 달리 원고들이 전부패소하여 현재 상고 중이다.

대상판결이 있기 전 2014년 1월에는 ‘보이스피싱’ 사례에 관한 대법원판결(대법원 2014. 1. 29. 선고 2013다86489 판결; 이하 “관련 대법원판례”)이 내려진 바 있고, 그 내용은 아래와 같다.
<사실관계> “피해자(원고)는 피고들(금융회사들)에서 각 예금계좌를 개설하여 금융거래를 하면서 인터넷뱅킹서비스를 이용하여 왔는데, 성명불상자가 2012. 3. 30. 원고에게 전화를 걸어 자신을 서울지방검찰청 검사라고 속이고 원고로 하여금 허위 대검찰청 인터넷사이트에 접속하게 한 후 원고의 주민등록번호, 휴대전화번호, 신용카드번호, 예금계좌번호, 각 비밀번호, 보안카드 번호, 보안카드 비밀번호를 입력하게 하였다. 그리고 위 성명불상자는 같은 날 위와 같이 피해자가 입력한 금융거래정보를 이용하여 공인인증서를 재발급받은 후 현대카드 주식회사 등으로부터 대출서비스 등을 받아 그 자금을 다시 제3자 명의의 예금계좌로 송금하였다.”
<대법원의 판단> 원심은, “① 이 사건 금융사고 당시에는 전화금융사기(보이스피싱)가 빈발하여 사회적인 경각심이 높은 상태였던 점, ② 피해자가 금융사고 당시 33세로서 공부방을 운영하는 등 사회경험이 있었고 1년 이상 인터넷뱅킹서비스를 이용하여 왔던 점, ③ 피해자도 성명불상자로부터 001로 시작되는 국제전화를 받아 이상하였다고 생각한 점, ④ 공인인증서 발급에 필수적인 계좌번호, 계좌비밀번호, 주민등록번호, 보안카드 번호, 보안카드 비밀번호를 제3자에게 모두 알려준 점 등”을 들어 피해자의 ‘중과실’을 인정하였다. 대법원도, “전자금융거래법 제9조 등에서 말하는 (피해자의) ‘고의 또는 중대한 과실’이 있는지 여부는 접근매체의 위조 등 금융사고가 일어난 구체적 경위, 그 위조 등 수법의 내용 및 그 수법에 대한 일반인의 인식 정도, 금융거래 이용자의 직업 및 금융거래 이용경력 기타 제반 사정을 고려하여 판단할 것”이라고 하며, 원심의 결론을 수긍하였다.

2. 전자금융사기와 전자금융거래법 제9조

‘전자금융거래’란 금융회사 또는 전자금융업자(이하, “금융회사 등”이라 함)가 전자적 장치를 통하여 금융상품 및 서비스를 제공하고, 이용자가 금융회사 등의 종사자와 직접 대면하거나 의사소통을 하지 아니하고 자동화된 방식으로 이를 이용하는 거래를 말한다(전자금융거래법 제2조 제1호). 전자금융거래는 금융거래의 간편성과 신속성을 도모하고, 저비용으로 금융소비자의 접근성을 제고시킨다는 점에서 새로운 금융패러다임으로 발전할 가능성이 매우 높은 영역이지만, 그 이면에는 피싱, 해킹 등 다양한 전자금융사기?사고에 노출될 위험도 다분하며, 실제로 그간 많은 피해 사례들이 발생해 오고 있다.

이에 전자금융거래의 안전성과 신뢰성을 확보하고자, 2006. 4. 28. 전자금융거래법이 공포되고 다음해인 2007. 1. 1.부터 시행되었는데, 동법은 그 제정 시부터 금융기관 등의 책임 조항을 두어 금융회사 등과 이용자(금융소비자)의 위험분배원칙에 관하여 정하고 있었다.

(구)전자금융거래법 제9조(금융기관 또는 전자금융업자의 책임) [개정전 법률 제11461호]
① 금융기관 또는 전자금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다.
② 제1항의 규정에 불구하고 금융기관 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 경우에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다.
1. 사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우
2. (생략)

다만, 기존 규정에 의할 때에는 다양한 전자금융사기에 대한 법적용에 있어 미흡한 부분이 지적되어, 2013. 11. 23. 개정 이후로 현행 전자금융거래법에서는 해킹과 관련된 책임을 명확히 하고자, ‘전자금융거래를 위한 전자적 장치 또는 정보통신망이용촉진및정보보호등에관한법률 제2조 제1항 제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고’로 인한 손해배상책임을 금융회사 등이 부담하도록 추가로 규정했다.

3. 판결의 평석

본 평석에서는 대상판결에서 최대 쟁점이 된 ‘피해자들의 중과실 여부’를 주로 살펴보기로 한다. 일반적으로 ‘중과실’이란 ‘주의를 위반한 정도가 거의 고의에 가까울 정도로 중대한 경우’라고 설명된다. 대법원판례에서도, 어음의 선의취득에 있어 중과실을 인정한 판례가 몇 건 발견될 뿐, 실제 재판에서 중과실을 인정받는 것은 특별한 사정이 없는 이상 거의 불가능할 정도로 어려운 일이라 여겨지고 있다. 그래서 필자 개인적으로는 중과실을, 그것이 중과실이라는 점에 관하여 누구나 이의 없이 의견이 일치할 정도이거나, 여러 정황상 고의라는 강력한 심증이 있으나 본증에 이를 정도의 결정적인 증거가 없을 경우 부득이 선택하는 개념이라는 정도로 관념하고 있다. 결국, 법 취지만을 따진다면, 이 사건에 사용된 범죄수단의 전문성, 피해자들의 경험 및 금융기관에 대한 사회 일반의 높은 신뢰도, 공인인증서 재발급 절차의 허술함 등을 고려할 때, 대상판결뿐만 아니라 관련 대법원판례의 중과실 인정 부분은 재고의 여지가 있어 보인다.

물론, 법에서 금융회사 등의 면책사유를 피해자의 고의, 중과실로 엄격하게 제한함으로써 전자금융거래 이용자들의 도덕적 해이에 대한 조정 수단을 충분히 확보하지 못한 측면도 있다는 점을 유의해 보면, 법원의 입장에서는 사회적 통념이나 형평의 관점에서 부득이 정책적 고려를 하여 그 결론을 도출할 수밖에 없었던 것이 아닌가 하는 추측도 드나, 적어도 파밍사기에 있어서는 이에 이용되는 고도의 사기수법, 즉, 이용자 모르게 악성코드를 PC나 핸드폰에 심고 피해자들이 눈치 채지 못하는 가운데 그들을 허위사이트에 유도한다는 점 등을 감안해 보면, 이 사건에서 아마추어에 불과한 피해자들에게 중과실 자체를 인정한 것은 법문상 중과실이라는 개념을 다른 경우보다 훨씬 완화하여 해석한 사례가 아닌가 생각된다.

한편, 대상판결에서는 피해자의 중과실이 인정될 경우 그 정도를 살펴서 전부면책 내지 일부면책의 범위를 개별적으로 결정해야 하는 것으로 판시하고 있다. 이와 관련하여 법 제9조 제2항의 면책범위를 정함에 관한 몇 가지 견해가 있는데, (i) 고의전부면책설, (ii) 악의전부면책설, (iii) 면책약관기준설 등이 그것이다. 이와 같은 견해들과 비교하여 대상판결은 개개 사안마다 개별적으로 면책의 범위를 결정한 것으로서, ‘개별적 검토설’ 정도로 지칭할 수 있지 않을까 생각되는데, 앞서 본 관련 대법원판례의 경우에는 피해자의 중과실이 인정되는 사안에서 금융기관의 전부면책을 인정한 바 있다.

(i) 고의전부면책설
의정부지방법원 2013. 7. 12. 선고 2012가단50032 판결에서 명시적으로 밝힌 내용으로, 이용자의 고의가 인정될 때에는 금융기관이 전부면책되나, 중과실의 경우에는 일부면책만이 허용된다는 견해이다.

(ii) 악의전부면책설
서울동부지방법원 2013. 9. 27. 선고 2012가단24812 판결에서는, 피해자의 과실이 악의에 준할 정도인 경우 금융기관이 전부면책된다는 견해를 취하였다.

(iii) 면책약관기준설
금융회사 등과 피해자가 미리 체결한 약정에 따라 면책범위를 결정해야 한다는 견해로서, 전자금융거래기본약관 등에 피해자의 고의?중과실이 있는 때에는 금융기관 등의 책임이 면제된다고 규정되었으면 금융기관 등의 책임이 일부만 감경되는 것이 아니라 전부면제되는 것이고, 약정에서 일부감경의 가능성을 열어 두고 있으면 일부면책이 인정된다는 내용이다.

결론적으로, 대상판결은 ‘파밍사기’에 관한 최초 판결로서 보이스피싱에 관한 최근 대법원판례의 취지를 충실히 좇아 피해자들의 중과실을 인정하는 한편, 파밍 사기의 고도의 기술적 측면에 주목하여 금융회사 등의 일부면책만을 허용함으로써 피해자들의 구제를 일정 부분 도모하는 모습을 보여 주었다. 하지만, 전자금융거래 이용자의 도덕적 해이에 대한 입법적 대책은 별론, 중과실 개념에 대한 기존 해석론과의 균형, 다양하고도 전문적인 전자금융사기의 특성, 피해자들의 구체적 사정 및 법 제9조의 근본취지를 좀 더 고려하여, 대법원판례와는 또 다른 관점에서 보다 과감한 판단을 해 주었더라면 하는 아쉬움이 남는다.

임 철 현 변호사

사법시험 제42회(연수원 32기)

트윗하기

임철현의 다른기사 보기