'계좌인증+폰 확인'으로 피싱범에 비번 내준 은행... 법원 "피해 40% 책임"

입력
2023.10.26 04:30
법원 "휴대폰 본인 확인은 보조수단 불과"
비대면인증 많지만 명확한 법원판례 없어
전문가 "은행이 보안수단 개발해야" 지적

은행의 스마트폰 애플리케이션(앱)을 통해 비대면으로 간편비밀번호를 받을 때, 당사자 확인 절차가 소홀해 메신저 피싱(문자메시지나 메신저를 이용한 금융사기)이 발생했다면 은행도 일부 책임을 분담해야 한다는 법원 판단이 나왔다.

25일 법조계에 따르면 서울중앙지법 민사90단독 손성희 판사는 50대 자영업자 A씨가 신한은행을 상대로 낸 손해배상 청구 소송에서 지난달 21일 원고 일부 승소 판결했다.

피싱 피해자 A씨는 “신한은행이 비대면 거래 시 실명 확인 의무를 다하지 않았다”며 소송을 제기했다. A씨는 메신저 피싱 수법에 당해 1억5,100여만 원 피해를 입었다. 메신저 피싱은 보통 메신저나 사회관계망서비스(SNS) 등을 통해 신분증 사본, 계좌 비밀번호 등을 요구하거나, 악성 앱 설치를 유도하는 수법이다.

A씨는 2021년 7월 딸을 사칭한 범인에게 속아 휴대폰에 악성 앱을 설치했고, 주민등록증 촬영본과 은행계좌 비밀번호를 넘겼다. 범인은 이를 이용해 A씨 휴대폰에 설치된 신한은행 앱에 원격 접속해 간편비밀번호를 바꾸고 모바일 일회용비밀번호생성기(OTP)를 재발급 받아 돈을 빼갔다.

당시 범인은 △휴대폰 본인 확인과 △당행 계좌 비밀번호 입력을 통해 간편비밀번호를 변경했고, △신분증 촬영본의 재촬영본 △계좌 비밀번호 입력 △휴대폰 본인 확인을 통해 본인 인증을 거쳐 OTP를 다시 발급 받았다.

법원은 두 절차 중 '간편비밀번호 발급' 과정에서 은행의 책임이 있다고 판단했다. 전국은행연합회와 금융투자협회가 만든 ‘비대면 거래 실명 확인 방안’에 따르면 은행은 △신분증 원본 촬영본 제출 △영상통화 △당행ㆍ타행 계좌 인증 등 5개 방법 중 2개 이상을 사용해 본인 인증을 해야 하는데, 신한은행은 계좌 인증만 요구했다는 게 재판부 판단이다. 재판부는 “보완적으로 활용된 휴대폰 본인 확인 등은 분실 등으로 타인이 조작할 가능성이 있다”고 지적했다.

다만 '모바일 OTP 발급' 과정에선 은행의 책임을 묻긴 어렵다고 봤다. 재판부는 “사건 당시엔 신분증 원본과 사본의 재촬영본을 완벽하게 구별하는 기술이 구현되기 어려웠다”면서 “신종 수법이 등장하기 때문에 완전무결한 시스템을 구동하긴 어렵다”고 설명했다. 게다가 A씨가 상대방을 제대로 확인하지 않고 개인정보를 넘긴 책임도 있다고 보아 은행의 배상책임을 피해금액의 40%로 제한했다.

신분증 사본인증 피해자모임 박정경 공동대책위(공대위) 대표는 “은행이 비용을 아끼고자 기술적으로 무력한 방식을 고집했다”며 “사법부가 철저한 본인 인증 시스템을 갖추지 않은 은행을 두둔해줬다”고 반발했다. 신한은행 측은 “재판이 진행 중인 사안”이라며 말을 아꼈다.

일각에선 비대면 거래 시 은행의 본인 확인 의무를 강화하도록 법원이 힘을 실어줘야 한다고 주장한다. 지금까진 비대면 거래 본인 확인 책임에 관한 명시적 판례가 나온 적은 없다. 김기창 고려대 법학전문대학원 교수는 “이용자한테 책임을 지우게 되면, 은행은 더 나은 보안 수단을 열심히 개발하고 도입할 이유가 없어진다”며 “전자거래 체계 운영에서 누구에게 책임을 물릴지에 대해 법원 역할이 중요하다”고 주장했다.

박준규 기자
세상을 보는 균형, 한국일보 Copyright © Hankookilbo