공인인증서가 폐지된 후 '공동인증서'에 의한 비대면 대출에서 금융사는 금융실명법 등에 따라 대출신청자의 본인여부를 엄격히 확인할 의무가 있다는 판결이 나왔다. 법원은 특히 금융사가 본인확인 의무를 이행했는지 판단하는 기준으로 금융위원회의 '비대면 실명확인 방안'을 제시했는데, 향후 보이스피싱 사건 뿐만 아니라 금융기관의 비대면 전자금융거래 분야에도 적잖은 영향을 미칠 것으로 보인다. 서울중앙지법 민사86단독 김상근 판사는 A씨가 B캐피탈과 C저축은행을 상대로 낸 채무부존재 확인소송(2021가단16087)에서 최근 "B캐피탈과 체결된 신용대출 약정에 따른 채무는 존재하지 않는다"고 판결했다. A씨는 지난해 3월 보이스피싱범에게 개인정보 도용 피해를 당했다. 보이스피싱범은 A씨의 딸로 가장해 문자메시지를 보내왔고, A씨는 별다른 의심 없이 신분증과 신용카드 사진, 계좌번호와 비밀번호를 핸드폰으로 전송했다. 이 과정에서 A씨의 핸드폰에는 원격제어 프로그램이 설치됐다. 공인인증서 폐지 후 전자서명 효력 더 이상 인정 안 돼 보이스피싱범은 A씨로부터 빼낸 개인정보를 이용해 곧바로 A씨 명의의 공동인증서를 발급받은 다음 비대면 전자금융거래 방식으로 B캐피탈에서 3500만원을, C저축은행에서 500만원을 대출받았다. 뒤늦게 보이스피싱임을 알아차린 A씨는 경찰에 신고했다. 이후 보이스피싱범이 가로챈 대출금을 갚아야 할 처지에 놓이자 A씨는 소송을 냈다. 김 판사는 "공인인증기관이 발급하는 공인인증서 제도가 2020년 12월 폐지되면서, 전자서명 수단이 국가 위주의 공인인증서에서 민간 위주의 다양한 전자서명 수단(금융인증서·공동인증서·블록체인 등)으로 변경됐다"며 "옛 전자서명법상 공인인증서와 공인인증서로 작성된 전자문서에 인정되던 효력은 더 이상 인정될 수 없고, 따라서 대법원 판결(2017다257395)의 법리도 공인인증서가 아닌 전자서명 수단을 사용한 사건에는 더 이상 적용될 수 없다"고 밝혔다. 앞서 대법원은 2018년 3월 보이스피싱 사기단이 개인정보를 빼돌려 피해자들 몰래 휴대폰을 신규 개통하고 공인인증서를 재발급 받은 뒤 대출금을 편취한 사건에서 "전자서명법에 따라 공인인증기관에서 발급된 공인인증서로 비대면 전자금융거래가 체결된 경우, 특별한 사정이 없는 한 전화통화나 면담 등 추가 본인확인 절차 없이도 그 전자문서에 의한 거래는 유효하게 성립하고 명의자에게 효력이 미친다"고 판시한 바 있다. 서울중앙지법 “피해자에 신용대출 약정 따른 채무 존재 않아” 김 판사는 "개정 전자서명법이 시행된 2020년 12월 이후 발급된 공동인증서, 금융인증서를 통해 작성된 전자문서에 기초해 비대면 전자금융거래가 이뤄진 경우 금융사 등은 금융실명법 또는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법에 따라 부과된 본인확인 의무를 이행해야 한다"고 설명했다. 김 판사는 특히 "은행연합회와 금융투자협회가 마련하고 금융위가 유권해석한 비대면 실명확인 방안이 현재로서는 가장 합리적인 본인확인 방법"이라며 "금융사 등이 이를 기준으로 본인확인 의무와 피해방지 의무를 이행했는지 여부를 살펴야 한다"고 강조했다. 금융위 비대면 실명확인 방안에는 '실명확인증표 사본 제출'과 '영상통화' 등 7가지 방법이 규정돼 있다. 그러면서 "C저축은행은 비대면 실명확인 방안에 따른 필수적 본인확인 조치를 제대로 이행한 반면, B캐피탈은 이를 이행하지 않았다"며 "C저축은행에는 손해를 분담할 정도의 주의의무 위반이 있다고 보기 어렵고, A씨는 C저축은행과의 여신거래 약정에 따른 대출원리금은 지급해야 한다"고 판시했다.

자본시장법(자본시장과 금융투자업에 관한 법률)에 따라 작성되는 실질주주명부도 상법상의 주주명부와 동일한 효력이 있으므로, 실질주주가 사측에 명부 열람을 청구할 수 있다는 대법원 판결이 나왔다. 실질주주명부에 대해서도 상법 제396조 2항을 유추적용해 열람등사권이 허용된다고 본 대법원 첫 판결이다. 상법 제396조 2항은 '주주와 회사채권자는 영업시간 내에 언제든지 주주명부 서류의 열람 또는 등사를 청구할 수 있다'고 규정하고 있다. 대법원 민사3부(주심 김창석 대법관)는 경제개혁연대가 GS건설과 삼성물산을 상대로 낸 주주명부 열람등사 청구소송(2015다246780)에서 원고일부승소 판결한 원심을 최근 확정했다. 재판부는 "상법상 주주가 영업시간 내에 언제든지 주주명부의 열람 또는 등사를 청구할 수 있도록 한 것은 주주가 주주권을 효과적으로 행사할 수 있게 함으로써 주주를 보호함과 동시에 회사의 이익을 보호하고, 소수주주로 하여금 다른 주주들과의 주주권 공동행사나 의결권 대리행사 권유 등을 할 수 있게 해 지배주주의 주주권 남용을 방지하는 데 목적이 있다"고 밝혔다. 이어 "자본시장법에 따라 예탁결제원에 예탁된 상장주식 등에 관해 작성되는 실질주주명부는 상법상 주주명부와 동일한 효력이 있으므로 열람·등사청구권의 인정 여부와 필요성 판단에서 주주명부와 달리 취급할 이유가 없다"며 "따라서 실질주주가 실질주주명부의 열람 또는 등사를 청구하는 경우에도 상법 제396조 제2항이 유추적용된다"고 설명했다. 그러면서 "열람 또는 등사청구가 허용되는 범위도 이 같은 유추적용에 따라 '실질주주명부상의 기재사항 전부'가 아니라 그 중 실질주주의 성명 및 주소, 실질주주별 주식의 종류 및 수와 같이 '주주명부의 기재사항'에 해당하는 것에 한정되므로, 이러한 범위 내에서 행해지는 실질주주명부의 열람 또는 등사가 개인정보의 수집 또는 제3자 제공을 제한하고 있는 개인정보 보호법에 위반된다고 볼 수도 없다"고 판시했다. 경제개혁연대는 2013년 7월 4대강 사업담합으로 과징금 처분을 받은 GS건설 등 대기업에 대해 주주대표소송을 추진하겠다는 계획을 밝히면서, 소송에 참여할 원고인 주주 모집을 위해 해당 건설사들에 대해 주주명부 열람 및 등사 청구를 했으나 건설사들이 개인정보 보호법 위반 등을 이유로 거절하자 소송을 냈다. 1,2심도 "상법상 열람등사청구권을 실질주주명부에도 유추적용할 수 있다"며 경제개혁연대의 손을 들어줬다. 다만 "개인정보로 보호해야 할 사항이 있다"면서 "실질주주의 명칭과 주소, 주식의 종류와 수 등으로 제한해 열람등사를 허용하라"는 제한만 붙였다.

예금주가 평소 통장 비밀번호 등을 지인에게 알려주고 예금 인출 심부름을 시키다 예금인출 사기 사고가 발생했어도 은행이 모두 책임져야 한다는 대법원 판결이 나왔다. 본인 확인을 제대로 하지 않았기 때문이라는 이유에서다. 대법원 민사3부(주심 권순일 대법관)는 김모(84·여)씨가 "은행이 신원확인을 철저히 하지 않아 나를 사칭한 사람이 통장에서 6억4000여만원을 인출해 갔으니 물어내라"며 NH농협은행을 상대로 낸 예금청구소송 상고심(2014다231224)에서 원심을 깨고 지난달 24일 원고전부승소 취지로 사건을 서울고법에 돌려보냈다. 재판부는 판결문에서 "노령인 김씨가 다른 사람에게 예금인출 심부름을 시킨 일이 있고 인감도장에 통장 비밀번호를 표시해 두는 행위를 했더라도 이로 인해 누군가가 자신의 주민등록증을 위조하고 자신을 사칭해 인감 분실신고를 한 뒤 거액의 예금을 인출할 것까지 예상했다고 보기 어렵다"고 밝혔다. 이어"예금주가 인감을 변경하고 통장을 재발급 받자마자 당일 거액의 예금을 인출했는데도 은행은 거래상대방이 본인인지 제대로 확인하지 않았다"며 "은행이 이같은 의무를 다하지 않았음에도 개인정보관리 부실을 이유로 김씨의 과실과 상계하도록 해 예금액의 일부만 받게 하는 것은 부당하다"고 설명했다. 김씨는 자신의 기억력 감퇴를 우려해 인감도장에 예금계좌 비밀번호를 표시해두고, 평소 잘 알던 신모씨 등에게 이 사실을 알려주고 예금 인출 심부름을 시켜왔다. 그러던 중 2012년 4월 김씨 계좌에 수억원이 예치돼 있다는 사실을 알게 된 이모씨가 신씨에게 접근해 돈을 가로채자고 꼬드겼다. 두 사람은 김씨와 나이가 비슷한 노파를 고용한 다음 김씨 명의의 위조 주민등록증으로 휴대전화를 개통해 주고 통장과 인감을 재발급 받도록 해 김씨 계좌에서 6억4000여만원을 인출했다. 뒤늦게 이 사실을 안 김씨가 은행에 따지자 은행은 "평소 개인정보 관리를 제대로 하지 못했다"며 오히려 타박했고 김씨는 결국 소송을 냈다. 1심은 "김씨가 자신의 예금통장과 인감·비밀번호 등의 관리를 소홀히 하는 바람에 사고가 난 만큼 은행은 인출액 가운데 4억5200여만원만 김씨에게 지급하라"고 판결했다. 항소심은 김씨의 과실 비율을 더 높게 인정해 "3억2300만원만 물어주라"고 원고일부승소 판결했다. 김씨를 대리한 이충훈(44·사법연수원 36기) 법무법인 씨엠 변호사는 "예금주에게 다소 부주의가 있었다고 하더라도 금융사기와 인과관계가 없는 경우에는 은행이 예금주에게 책임을 물을 수 없고 상계항변을 할 수 없다는 취지의 획기적인 판결"이라고 말했다.

법원이 일명 '파밍(Pharming)' 피해 사례에 대해 처음으로 은행의 책임을 인정했다. 파밍은 금융기관의 정식 공지사항인 것처럼 문자메시지를 보내거나 가짜 인터넷 홈페이지로 유인해 개인정보 유출을 유도한 뒤 돈을 빼돌리는 수법이다. 그동안 법원은 파밍에 속아 개인정보를 유출하면 고객에게 중과실이 있다고 봐 금융기관의 책임을 면제하는 판결을 해왔다. 의정부지법 민사4단독 임수연 판사는 12일 정모(48)씨가 국민은행을 상대로 낸 부당이득금반환 청구소송(2012가단50032)에서 "은행은 정씨에게 청구액의 30%인 538만2000원을 지급하라"며 원고일부승소 판결을 했다. 재판부는 판결문에서 "정씨가 공인인증서 비밀번호와 보안카드 일련번호 등 개인정보를 유출한 중과실이 있긴 하지만 은행이 공인인증서 재발급 시에 본인확인을 휴대전화로 인증하는 절차 등을 거치기만 했어도 사고를 방지할 수 있었다"며 "전자금융거래법상의 금융기관의 손해배상책임이 이용자 보호에 중점을 둔 법정 손해배상책임이라는 것을 보아도 은행의 손해배상책임이 면책의 정도에까지 이르렀다고 보기 어렵다"고 밝혔다. 다만 "정씨 역시 접근매체를 누설하거나 노출, 방치한 중대한 과실이 있기 때문에 피고의 책임 비율을 30%로 제한한다"고 설명했다. 현행 전자금융거래법은 금융기관 접근 매체의 위조·변조 사고로 고객에게 손해가 생겼을 때에만 금융기관이 책임지도록 정하고 있다. 국민은행은 이 규정을 근거로 들어 파밍 등 부정한 방법으로 개인정보를 빼낸 뒤 재발급한 행위는 '위조'가 아니라고 주장했으나 재판부는 이것도 '위조'로 봐야 한다고 판단했다. 재판부는 "피싱사이트로 알아낸 금융정보로 공인인증서를 재발급받은 것도 전자금융거래법이 정하는 '접근매체의 위조'에 해당한다"며 "특히 이는 민사상 책임에 대한 규정이므로 위조 또는 변조의 개념을 형법처럼 엄격하게 해석할 필요는 없다"고 밝혔다. 정씨는 지난해 9월 11일 '국민은행, 인터넷 개인정보 유출 관련 보안을 위해 보안승급 요청'이라는 문자메시지를 받고 문자에 은행사이트로 표시된 주소에 접속, 공인인증서와 보안카드 일련번호 등을 입력했다. 이틀 뒤 정씨가 이상한 느낌에 계좌를 확인했지만 이미 7번에 걸쳐서 2000여만원이 빠져나간 상태였다. 홍은표 의정부지법 공보판사는 "이번 판결은 고객의 중과실이 은행의 책임이 감경 사유일 뿐 면책 사유가 아니라고 본 첫 판결"이라고 말했다. 한편 오는 11월 시행되는 개정 전자금융거래법은 부정한 방법으로 공인인증서를 만들어 고객이 손해를 보면 금융기관이 책임을 져야 한다는 내용을 명문화하고 있다.

사기범이 보이스피싱(전화금융사기·Voice Phishing)으로 알게 된 개인정보를 이용, 피해자와 거래가 없는 다른 금융기관에서 인터넷 대출을 받았다면 피해자는 대출계약이 무효이므로 갚지 않아도 된다는 판결이 나왔다. 하지만 피해자는 불법 행위를 방조한 과실이 있으므로 대출금의 40%를 배상해야 한다고 판단했다. 전모(27)씨는 지난해 3월 자신을 금융범죄 수사검사라고 밝힌 사기범으로부터 전화를 받았다. 금융사기단을 잡고 조사 중인데 전씨 명의의 계좌가 2개 발견돼 전씨가 공범인지 피해자인지 조사가 필요하다는 내용이었다. 사기범은 만약 전씨가 피해자라면 구제확인서를 받아야 한다고 하면서 성명, 주민 번호, 공인인증서 비밀번호, 신용카드 번호 등 개인정보를 특정 인터넷 사이트에 입력하게 했다. 사기범은 이어 금융감독원에 금융거래 조회를 보내 조사할테니 휴대폰으로 인증번호가 오면 알려달라고 했다. 사기범은 전씨가 인증번호를 알려주자 전씨의 예금을 전씨의 또 다른 명의의 계좌로 송금하라고 다시 요구했다. 전씨는 뭔가 이상한 낌새를 느끼고 검찰에 출두하겠다고 하자 사기범은 급히 전화를 끊었다. 하지만 전씨는 이미 보이스피싱 범죄에 걸려들고 말았다. 사기범은 전씨가 입력한 개인정보 등을 이용해 전씨 명의의 공인인증서를 재발급받아 전씨가 거래한 적이 없는 H저축은행에서 600만원을 인터넷 대출받아 전씨 명의의 계좌로 입금한 후 대포통장으로 이체시키는 수법으로 가로챘다. 전씨가 당한 보이스피싱은 피해자의 계좌에서 출금하는 수법이 아니라 피해자의 명의로 대출을 받아 가로채는 신종 수법이다. 사기범이 금융감독원에 조회하는 데 필요하다고 말한 인증번호는 H저축은행에 대출을 신청하기 위해 필요한 인증번호였던 것이다. 사기범이 전씨 명의로 인터넷 대출을 받을 수 있었던 이유는 H저축은행은 다른 금융기관과 달리 대출신청사실을 고지하지 않기 때문이었다. 은행은 'H저축은행[인증번호]인증바랍니다'라는 내용만 메시지로 전송하기 때문에 전씨는 대출을 신청했다는 사실을 알 수 없었다. 전씨는 H저축은행으로부터 대출금을 갚으라는 요구를 받자 자신과 비슷한 수법으로 사기를 당한 피해자 5명과 함께 "대출계약 자체가 성립하지 않았다"며 H저축은행을 상대로 지난해 8월 소송을 냈다. 서울중앙지법 민사49단독 안희길 판사는 최근 15일 전씨 등이 낸 채무부존재 확인소송(2012가단5088900)에서 원고승소 판결을 내렸다. 안 판사는 판결문에서 "보이스피싱 사기범이 피해자들을 속여 개인정보를 얻은 후 피해자 명의를 도용해 종전에 거래한 적이 없던 H저축은행과 대출계약을 맺었다"며 "사기범에게 피해자들을 대리할 기본 대리권이 없을 뿐만 아니라 사기범이 피해자들의 권한을 행사하는 것으로 믿은 데 정당한 사유가 있다고 보기 인정할 수 없어 대출계약은 무효"라고 밝혔다. 안 판사는 "H저축은행은 대출계약 신청서에 입력된 피해자들의 집 주소가 XXX-XXXXXX-XX번지라는 식으로 통상적이지 않고, 직장전화번호의 지역번호도 일치하지 않는 점을 보면 제3자에 의한 행위임을 의심하고 본인 확인을 위한 절차를 취했어야 했다"며 "금융감독원과 금융위원회가 2011년 5월 신종 수법으로 인터넷 대출상품을 이용한 보이스피싱이 늘어남에 따라 금융기관에 대출 절차를 엄격히 운영하도록 했음에도 H저축은행은 확인절차를 제대로 마쳤다고 보기 어렵다"고 설명했다. 하지만 안 판사는 H저축은행의 반소에서는 은행이 예비적 청구로 주장한 손해배상 책임을 일부 받아들였다. 안 판사는 "그동안 보이스피싱 대비에 많은 홍보가 있었던 점 등을 감안하면 전씨 등은 사기범이 H저축은행에 저지른 불법행위를 방조한 과실을 인정된다"며 "대출금액에서 40% 부분에 대해 손해를 배상할 책임이 있으므로 각 160만~400만원씩을 지급하라"고 밝혔다.

SK브로드밴드(옛 하나로텔레콤) 고객정보유출 사건에서 항소심 재판부가 무죄를 선고한 1심 판단을 뒤집고 유죄를 인정해 벌금형을 선고했다. 서울중앙지법 형사1부(재판장 한정규 부장판사)는 27일 고객정보를 불법으로 이용한 혐의로 기소된 SK브로드밴드(주)와 이 회사 부사장이었던 최모씨에게 무죄를 선고한 원심을 파기하고 각각 벌금 1,500만원과 500만원을 선고했다(2010노2850). 재판부는 판결문에서 "피고인 회사가 가입신청서 또는 개통확인서에 포함된 안내문에서 '고객만족프로그램(서비스만족도 조사, 상품소개 등)' 등의 목적으로 개인정보를 수집 및 이용하겠다는 점을 기재해 가입 고객들로부터 이에 대한 동의를 받긴 했지만 이후 SC제일은행과의 업무제휴계약에 대한 법률자문결과 '제공한 개인정보를 신용카드 회원모집에 활용한다는 데에 대한 동의' 등의 추가로 필요하다는 것을 알게 되자 비로소 홈페이지를 통해 '하나포스멤버스카드 소개'등의 내용을 추가해 고지한 점, 멤버스카드에는 하나TV, 전화가입이나 요금 할인 등 고객 혜택에 관련된 내용이 포함돼 있지만 기본적으로는 신용카드에 해당해 당초 개인정보제공에 대한 동의 당시 고객들이 예상한 목적범위를 넘어서는 것으로 보이는 점 등을 고려할 때 피고인 회사가 고객들로부터 가입신청을 받을 당시 개인정보의 수집 및 이용 목적으로 고지하거나 정보통신서비스이용약관에 명시한 '고객만족프로그램'에 '하나포스멤버스카드 소개'가 당연히 포함되는 것으로 보기 어렵다"고 밝혔다. 재판부는 이어 "고객들의 개인정보를 멤버스카드 회원모집에 활용한 것은 정보통신망이용촉진및정보보호등에관한법률(정통망법) 제22조2항의 규정에 의한 고지의 범위 또는 정보통신서비스이용약관에 명시한 범위를 넘어 이용한 것에 해당한다"고 판단했다. SK브로드밴드는 자사 고객의 정보를 볼 수 있는 프로그램을 텔레마케팅업체에 설치해 줘 2006∼2007년 이모씨 등 고객 51만여명의 성명과 주민등록번호 등 개인정보를 유출한 혐의(정통망법상 개인정보누설 등)로 약식기소됐다가 정식재판에 회부됐다. 1심 재판부는 "피고인 회사가 홈페이지 등을 통해 텔레마케팅업체인 Y사를 정보활용대상으로 명기했으며 Y사가 하나포스SC멤버스 카드소개 등을 위탁받았지만 이는 단순한 신용카드가 아니라 멤버십카드의 성격을 지닌 점을 감안할 때 법에 정해진 범위를 넘어 개인정보를 이용한 것으로 볼 수 없다"며 지난해 7월 무죄를 선고했다(2009고단1864).