스미싱(문자메시지 이용 해킹)에 당해 자신도 모르는 새 빚을 떠안게 됐다면 그 돈을 갚아야 할까. 법원은 고객 본인 확인절차를 꼼꼼히 하지 않았다면 금융기관이 책임을 져야 한다고 판단했다.
8일 법조계에 따르면, 서울중앙지법 민사83단독 한나라 판사는 A씨가 케이뱅크·미래에셋생명보험·농협은행을 상대로 낸 채무 부존재 확인 소송에서 최근 원고 승소 판결했다. 재판부는 "케이뱅크와 미래에셋에 대한 채무는 존재하지 않고, 농협은행은 A씨의 예금채권을 반환하라"고 밝혔다.
A씨는 지난해 3월 30일 받은 모바일 청첩장 내 인터넷주소(URL)를 눌러 접속했다. 그러나 사실 악성코드가 내장된 스미싱이었고, URL 클릭과 동시에 휴대폰엔 원격제어 애플리케이션(앱)이 깔렸다. A씨의 개인정보를 빼돌린 스미싱 조직은 A씨 명의의 새 휴대폰을 개통했다.
A씨가 모르는 새 피해는 순식간에 생겨났다. 스미싱 조직은 A씨의 운전면허증 사본, 휴대폰 인증 등을 이용해 4월 1일 케이뱅크에서 8,150만 원을 대출받았다. 보험사에선 958만 원을 대출받아 챙긴 스미싱 조직은 농협은행에 가입된 A씨의 주택청약종합저축까지 해지해 1,100여만 원을 더 빼돌렸다.
이틀 뒤에서야 이 사실을 알게 된 A씨는 경찰에 신고했으나, 수천만 원의 피해금을 떠안게 됐다. A씨는 "각 금융기관이 본인확인조치 및 피해방지를 위한 노력을 다하지 않았으므로, 이 사건 대출거래약정과 보험약관 대출, 저축 해지의 효력을 인정할 수 없다"며 소송을 걸었다.
재판 과정에서 은행과 보험사는 "이 사건 거래엔 금융실명법상 본인확인조치를 이행할 의무가 없고, 설령 있더라도 충분한 조치를 취했다"고 맞섰다. A씨 명의의 휴대폰 본인인증, 운전면허증 촬영본 송부, 타행계좌 인증 등 사칭 피해를 막기 위해 할 수 있는 본인 인증 단계가 있었다는 주장이다.
법원은 A씨 손을 들어줬다. 전자금융사기 범행이 지능화되고 있는 환경에서는 전자금융거래업자로 하여금 엄격한 본인확인의무를 부과할 필요가 있다는 취지다. 이 사건에서 금융기관들이 복수의 필수적 실명 확인 검증방법을 실시하지 않았고, 신분증 '사본'을 걸러내지 못한 점도 지적했다.
재판부는 "비대면 금융거래를 주된 업으로 하는 금융기관으로서 신분증의 원본 촬영을 확신할 수 없는 경우라면, 고객 얼굴이 직접 노출되도록 신분증을 촬영하도록 하거나 '영상통화'를 추가로 요구하는 등의 방식을 택해 본인확인조치 방법을 보강했어야 한다"고 강조했다.