금융기관에 계좌 개설을 신청하면서 예금거래신청서 등에 허위사실을 기재했더라도 금융기관 담당 직원의 부실한 심사로 계좌가 개설된 경우에는 업무방해죄로 처벌할 수 없다는 대법원 첫 판단이 나왔다. 대법원 형사2부(주심 이동원 대법관)는 8월 31일 업무방해, 전자금융거래법 위반 혐의로 기소된 A 씨에게 징역 1년을 선고한 원심을 파기하고 사건을 인천지법에 돌려보냈다(2021도17151). A 씨는 2020년 8월 성명불상자와 공모해 2개의 유한회사를 설립한 뒤 금융기관에 허위로 법인 명의 계좌를 신청해 업무를 방해한 혐의를 받았다. A 씨는 회사가 정상적으로 운영되는 것처럼 가장해 사업자등록증 등 계좌 개설에 필요한 서류를 제출하고, 금융기관 직원으로부터 '카드 등 접근매체를 다른 사람에게 양도하면 처벌받을 수 있다'는 등의 안내를 받고도 이를 준수할 것처럼 행세한 것으로 조사됐다. A 씨는 또한 보이스피싱 범죄에 이용될 것을 알면서도 2020년 12월부터 2021년 4월까지 법인 명의 계좌에 연결된 현금카드와 OTP기기를 성명불상자에게 대여하거나 성명불상자의 지시를 받아 타인의 체크카드를 수거 및 보관해 전자금융거래법을 위반한 혐의도 받았다. 1심은 A 씨의 혐의를 모두 유죄로 판단해 징역 1년 2개월을 선고했다. 하지만 2심은 "피고인이 피해 금융기관들의 직원에게 금융거래의 목적이나 접근매체의 양도의사 등에 관해 서면으로 허위 답변을 기재하고 관련 서류를 제출해 이를 믿은 직원들이 회사 명의로 계좌를 개설해줬다 하더라도, 이 같은 행위로 인해 금융기관들의 계좌 개설 업무가 방해됐다고 볼 수 없다"며 업무방해 혐의를 무죄로 판단했다. 또 전자금융거래법 위반 혐의와 관련해선 '대가를 약속받고' 접근매체를 대여·보관한 부분은 유죄로 판단했지만, '범죄에 이용될 것을 알면서' 접근매체를 대여·보관한 부분에 대해선 "피고인이 인식한 이용될 범죄에 관한 내용이 구체적으로 특정되지 않았다"며 무죄로 판단했다. 대법원은 A 씨의 업무방해 혐의를 무죄로 본 원심이 타당하고 판단했다. 재판부는 "계좌 개설 신청인이 예금거래신청서 등에 금융거래의 목적이나 접근매체의 양도의사 유무 등에 관한 사실을 허위로 기재했으나, 계좌 개설 심사업무를 담당하는 금융기관의 업무담당자가 단순히 예금거래신청서 등에 기재된 계좌 개설 신청인의 허위 답변만을 그대로 믿고 그 내용의 진실 여부를 확인할 수 있는 증빙자료의 요구 등 추가적인 확인조치 없이 계좌를 개설해 준 경우, 그 계좌 개설은 금융기관 업무담당자의 불충분한 심사에 기인한 것이므로 계좌 개설 신청인의 위계가 업무방해의 위험성을 발생시켰다고 할 수 없어 위계에 의한 업무방해죄를 구성하지 않는다고 봐야 한다"고 설명했다. 다만 전자금융거래법 위반 혐의에 관해선 일부 무죄를 선고한 원심을 유죄 부분과 함께 파기·환송했다. 재판부는 "접근매체가 형사처벌의 대상이 되는 행위에 이용될 것을 인식했다면 전자금융거래법 제6조 제3항 제3호의 '범죄에 이용될 것을 알았다'고 볼 수 있고, 접근매체를 이용해 저질러지는 범죄의 내용이나 저촉되는 형벌 법규, 죄명을 구체적으로 알아야 하는 것은 아니며 이러한 인식은 미필적 인식으로 충분하다"고 밝혔다. 또 "범죄에 이용될 것을 알았는지는 접근매체를 대여하는 등의 행위를 할 당시 피고인이 가지고 있던 주관적 인식을 기준으로 판단하면 되고, 거래 상대방이 접근매체를 범죄에 이용할 의사가 있었는지 또는 피고인이 인식한 것과 같은 범죄를 저질렀는지를 고려할 필요는 없다"고 설명했다. 그러면서 "공소사실에 전자금융거래법 제6조 제3항 제3호에서 정한 '범죄'에 관해 범죄 유형이나 종류가 개괄적으로라도 특정돼야 하나, 실행하려는 범죄의 내용이 구체적으로 특정되지 않았다고 해서 공소사실이 특정되지 않았다고 볼 것은 아니다"라고 판단했다.

은행고객이 신종 보이스피싱에 속아 일회용 비밀번호(OTP, one-time password)를 유출해 돈이 이체됐어도 은행이 고객에게 공지한 추가인증 절차를 진행하지 않은 등의 과실이 있다면 은행이 책임을 져야 한다는 판결이 나왔다. OTP란 인터넷뱅킹에 사용되는 보안카드 대신 모바일 프로그램이나 전용 단말기를 이용해 일회용 비밀번호를 생성하는 방식을 말한다. 학원강사 A(43·여)씨는 2014년 9월 지방세를 납부하기 위해 B은행 인터넷뱅킹 홈페이지에 접속했다. 그런데 갑자기 화면에 '금융감독원 사기예방 계좌등록 서비스'라는 팝업창이 떴다. A씨는 보안강화를 위한 것이라 생각하고 팝업창 안내문에 따라 계좌번호와 비밀번호, 공인인증서 비밀번호, OTP 비밀번호를 입력했다. 그러자 화면에 '등록중'이라는 표시가 떴고 곧바로 A씨의 휴대전화로 전화가 걸려왔다. 금융감독원 직원이라고 밝힌 남성은 "화면에 등록 중이라는 내용이 보이느냐, 계좌가 안전하게 등록되고 있다"고 설명했는데 이 와중에 A씨의 휴대폰 문자메시지로 A씨의 계좌에서 2100만원이 출금됐다는 내용이 전송됐다. 놀란 A씨가 "계좌에서 출금된 금액이 무엇이냐"고 묻자 이 남성은 "전산장애이니 30분 내로 돈이 다시 들어 올 것"이라고 말하고 전화를 끊었다. 30분 뒤 OTP 비밀번호만 입력하는 창이 다시 뜨자 A씨는 다시 비밀번호를 입력했고, 그 순간 A씨의 계좌에서 5회에 걸쳐 총 900만원이 출금됐다. 보이스피싱에 당했다는 사실을 알게 된 A씨는 사고 당시 공인인증서가 재발급된 사실이 없어 출금이 불가능한데도 돈이 빠져 나갔으며 B은행이 공지한 것과 달리 추가인증 절차도 없이 계좌에서 돈이 빠져 나갔다며 은행을 상대로 소송을 제기했다. B은행은 "A씨의 과실로 OTP 비밀번호가 노출돼 일어난 일"이라며 "책임이 없다"고 맞섰다. 전자금융거래법 제9조는 공인인증서나 OTP 같은 접근매체의 위조나 변조로 발생한 사고 등으로 이용자에게 손해가 발생한 경우 은행 등 금융기관이 배상해야 한다고 규정하고 있다. 다만 사고 발생에 이용자의 고의나 제3자가 권한 없이 이용자의 접근매체를 이용해 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치하는 등 중대한 과실이 있는 경우에는 책임의 전부나 일부가 감경된다. 서울중앙지법 민사96 단독 이규홍 부장판사는 A씨(소송대리인 법무법인 지향)가 B은행을 상대로 낸 손해배상청구소송(2015가단5135685)에서 "B은행은 2200여만원을 지급하라"며 최근 원고일부승소 판결했다. 재판부는 "B은행이 홈페이지에 게시한 '전자금융사기 예방서비스 전면시행에 따른 추가인증' 공고에 따르면 '야간(21시~09시) 및 휴일 거래시 보안매체에 관계없이 1일 누적 100만원 이상 이체시 추가 인증이 있다'고 돼 있다"며 "사고 발생일이 휴일이었고 이체된 금액이 100만원을 초과함에도 B은행이 공고한 추가인증 절차는 이뤄지지 않았다"고 밝혔다. 이어 "A씨는 '금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기를 이용하라'는 B은행의 권유에 따라 즐겨찾기에 등록해 놓은 홈페이지로 접속했다"며 "B은행은 사고 당시까지 비밀번호 30~35개 중 일부를 입력하도록 하는 기존의 보안카드와 달리 OTP 방식은 외부노출과 해킹으로부터 안전한 것으로 홍보하기도 했다"고 설명했다. 재판부는 "보이스피싱에 대한 일반인의 인식이 높은 상황에서 A씨의 나이와 직업, 인터넷 금융거래 이용 경력 등을 고려하더라도 1차로 출금된 2100만원에 대해 A씨에게 중대한 과실이 있다고 볼 수 없어 은행의 배상책임이 100% 인정된다"고 했다. 하지만 2차로 출금된 900만원에 대해서는 "A씨가 공인인증서 인증과 추가인증절차가 없이도 계좌이체가 된다는 점을 의심하지 못한 과실이 인정돼 은행의 배상 책임을 10%로 제한한다"고 판시했다.

고객이 전화금융사기(보이스피싱)에 속아 은행 계좌번호와 비밀번호를 유출했어도 인터넷뱅킹으로 이체된 피해는 금융기관이 책임져야 한다는 판결이 나왔다. 인터넷뱅킹에 필요한 공인인증서나 일회용 비밀번호(OTP, one-time password)를 유출하지 않은 이상 고객에게 책임이 없다는 취지다. OTP란 인터넷뱅킹에 사용되는 보안카드 대신 모바일 프로그램이나 전용 단말기를 이용해 일회용 비밀번호를 생성하는 방식을 말한다. 서울중앙지법 민사37단독 조중래 판사는 최근 우모씨가 "전자금융거래법에 따라 보이스피싱 피해액을 배상하라"며 우리은행을 상대로 낸 손해배상소송(2011가단468047)에서 "우리은행은 3700여만원을 지급하라"며 원고승소 판결을 내렸다. 조 판사는 판결문에서 "우씨는 이체 사실을 알게된 직후 경찰에 피해신고를 하면서 자신은 공인인증서를 누출하지 않았고 OTP 단말기 역시 분실 또는 도난당하지 않았다고 분명하게 진술했다"며 "우리은행은 전자금융거래법에 따라 손해를 배상할 책임이 있다"고 밝혔다. 재판부는 "국내에 사용되는 OTP 단말기 일부를 생산하는 미국 RSA사의 시스템이 2011년 3월 해킹당한 사실이 있고, 노트북에 저장된 공인인증서를 해킹한 사고 역시 빈번하게 발생됐다"고 이유를 설명했다. 우씨의 피해를 전자금융거래법 제9조가 금융기관의 책임으로 정한 '접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고'로 해석한 것이다. 우리은행은 우씨가 계좌번호와 비밀번호를 사기단에 알려주는 등 중대한 과실이 있으므로 배상액을 감면해야 한다고 주장했다. 하지만 재판부는 "전자금융거래의 안전성과 신뢰성을 확보하려는 전자금융거래법의 입법 목적에 비춰보면 금융기관의 책임을 감면하는 요건은 엄격히 해석해야 한다"며 "계좌번호와 비밀번호 유출은 법령에서 규정한 고의 또는 중대한 과실의 유형에 해당하지 않는다"며 받아들이지 않았다. 전자금융거래법 시행령 제8조는 금융기관 등이 책임 감면을 주장할 수 있는 이용자의 고의 또는 중대한 과실의 유형으로 접근매체를 대여하거나 담보로 제공한 경우, 누설 또는 방치한 경우 등으로 한정하고 있다. 우씨는 지난해 11월 자신을 검찰청 수사관이라 사칭한 보이스피싱사기단에 속아 우리은행 계좌번호와 비밀번호, 신용카드 카드번호와 유효성 검사 코드(CVC)를 'www.policeseoul.com'이라는 사이트에 입력했다. 사기단은 이 정보를 이용해 롯데, 신한, KB국민카드로부터 자동응답시스템(ARS) 카드론과 ARS 현금서비스로 합계 3550만원을 우씨의 계좌로 입금받은 후 통장잔액까지 포함해 모두 3742만원을 인터넷뱅킹으로 이체해 빼내갔다. 속은 사실을 알게된 우씨는 경찰에 피해를 신고하고 카드회사 대출금을 상환한 후 12월 소송을 냈다. 우씨는 사기단이 해킹을 통해 공인인증서를 재발급받고 OTP 단말기 비밀번호를 알아내 발생한 사고라고 주장했으나, 우리은행은 우씨가 OTP 단말기 등 접근매체를 도난 또는 분실해 발생했다며 배상을 거절했다.