신종 보이스피싱에 속은 고객이 일회용 비밀번호(OTP, one-time password)를 입력했다가 손해를 입은 경우 은행도 일부 책임이 있다는 판결이 나왔다. OTP란 인터넷뱅킹에 사용되는 보안카드 대신 모바일 프로그램이나 전용 단말기를 이용해 일회용 비밀번호를 생성하는 방식을 말한다.
서울중앙지법 민사4부(재판장 이대연 부장판사)는 A씨(소송대리인 법무법인 지향)가 신한은행을 상대로 낸 손해배상청구소송(2016나46160)에서 "은행은 1700여만원을 지급하라"며 최근 원고일부승소 판결했다.
학원강사인 A씨는 2014년 9월 마이너스 통장으로 지방세를 납부하려고 신한은행 사이트에 접속했다가 사기를 당했다. '금융감독원 사기예방 계좌등록 서비스'라는 팝업창에 OTP 비밀번호를 입력했다가 2100만원이 인출된 것이다. 금감원 직원을 사칭하는 남성이 A씨에게 전화해 "전산장애로 인출됐으며 30분 안에 돈이 다시 들어올 것"이라고 안심시켰으나 돈은 들어오지 않았다. 이에 A씨는 30분 뒤 또다시 팝업창에 OTP 비밀번호를 입력했다가 900만원이 인출됐다.
뒤늦게 사기를 당했다는 사실을 알게 된 A씨는 "사고 당시 공인인증서가 재발급된 사실이 없어 출금이 불가능한데도 돈이 빠져 나갔으며 신한은행이 공지한 것과 달리 추가인증 절차도 없이 계좌에서 돈이 빠져 나갔다"며 소송을 냈다. 신한은행은 "A씨의 과실로 OTP 비밀번호가 노출돼 일어난 일"이라며 "책임이 없다"고 맞섰다.
전자금융거래법 제9조는 공인인증서나 OTP 같은 접근매체의 위조나 변조로 발생한 사고 등으로 이용자에게 손해가 발생한 경우 은행 등 금융기관이 배상해야 한다고 규정하고 있다. 다만 사고 발생에 이용자의 고의나 제3자가 권한 없이 이용자의 접근매체를 이용해 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치하는 등 중대한 과실이 있는 경우에는 책임의 전부나 일부가 감경된다.
재판부는 "OTP 번호는 전자금융거래에서 이용자 본인임을 확인하는 수단으로 널리 쓰이고 있어 전자금융거래법상 '접근매체'에 해당한다"며 "신한은행은 A씨의 손해를 배상할 책임이 있다"고 밝혔다.
다만 신한은행이 평소 전자금융사기 예방을 위해 기울인 노력 등을 고려해 첫 번째 계좌이체 금액 중 80%와 이에 따른 이자 합계 1700여만원만 배상하도록 했다. 두 번째 계좌이체는 A씨의 부주의로 벌어진 일이어서 은행이 배상할 필요가 없다고 판단했다.
앞서 1심도 은행에 책임이 있다고 판단했지만, 은행의 책임범위를 더 넓게 봤다. 1심은 "A씨의 나이와 직업, 인터넷 금융거래 이용 경력 등을 고려하더라도 1차로 출금된 2100만원에 대해서는 A씨에게 중대한 과실이 있다고 볼 수 없어 은행의 배상책임이 100% 인정된다"고 밝혔다. 2차로 출금된 900만원에 대해서는 "A씨가 공인인증서 인증과 추가인증절차가 없이도 계좌이체가 된다는 점을 의심하지 못한 과실이 인정된다"면서도 은행의 책임을 10% 인정해, 신한은행이 총 2200여만원을 배상하라고 판시했다.