보이스피싱범이 피해자 명의를 도용해 할부거래를 한 경우 피해자는 할부거래법에 따라 거래 업체에 청약 철회를 할 수 있다는 판결이 나왔다. 서울중앙지법 민사86단독 김상근 판사는 지난 9일 A 씨가 엘지유플러스와 서울보증보험을 상대로 낸 채무부존재 확인 등 소송(2021가단16544)에서 "A 씨에게 모든 채무가 존재하지 않는다"며 원고일부승소 판결했다. A 씨는 2019년 8월 "태블릿PC를 저렴하게 구매해 주겠다"는 보이스피싱범의 제안에 속아 주민등록증 사진과 통장 사본 등을 제공했다. 보이스피싱범은 이를 이용해 휴대전화를 신규 개설하고 엘지유플러스 온라인몰을 통해 태블릿PC 2대를 구매한 뒤 단말기 할부 구매 및 이동통신 서비스 이용계약을 체결했다. 하지만 가입신청서에 쓰인 가입자 주소와 연락처 등은 A 씨와는 상관없는 허위 정보였다. 엘지유플러스는 신용카드 본인인증을 전자서명으로 갈음해 할부 구매계약 체결을 승인했다. 태블릿PC가 보이스피싱범이 쓴 주소로 배송된 이후 엘지유플러스 등에 대금을 지급할 처지에 놓인 A 씨는 "명의가 도용돼 할부 구매계약이 체결된 것"이라며 소송을 냈다. 서울중앙지법 “할부계약서 또는 전자문서 도달된 사실 없어” 김 판사는 "엘지유플러스가 성명불상자를 A 씨로 믿은 데 정당한 사유가 있었다고 보기 어렵다"며 "설령 엘지유플러스가 할부 구매계약을 A 씨 본인의 의사에 따른 것으로 믿은 데 정당한 사유가 있더라도 할부거래에 관한 법률 제8조에 따라 적법하게 할부 구매계약의 청약이 철회됐다"고 밝혔다. 할부거래법 제8조 제1항 제2호 가목에 따르면 소비자는 제6조 제1항에 따른 계약서를 받지 않은 경우 그 주소를 안 날 또는 알 수 있었던 날 등 청약을 철회할 수 있는 날부터 7일 이내에 할부계약 청약을 철회할 수 있다. 같은 법 제6조 제1항은 할부계약의 서면주의를 정하고 있는데 제2항에서는 '할부거래업자는 할부계약을 체결할 경우 제1항에 따른 계약서를 소비자에게 발급해야 한다'고 규정한다. 김 판사는 "엘지유플러스는 비대면 거래방식이 대면 거래보다 거래상대방 측 명의도용의 위험이 높다는 점을 인식하면서도 온라인 비대면 거래방식을 허용했고 비대면 거래방식의 본인인증 방법인 영상통화 또는 생체정보·공인인증서 등과 비교할 때 신뢰성과 안전성이 떨어지는 신용카드 본인인증 방식을 통한 확인방법만을 사용했다"며 "성명불상자는 당일 개통시킨 휴대전화를 이용해 전자문서 형태의 할부 구매 신청서를 보내면서 대금결제 수단으로서 신용카드 정보를 기재했을 뿐 공인인증서 정보 등 전자서명을 하기 위해 필요한 추가적 전자서명생성정보를 보낸 사실이 없다. 엘지유플러스는 신용카드 본인인증 절차를 거친 것을 곧바로 전자서명 정보로 대체할 수 없다"고 설명했다. 그러면서 "할부거래법 제6조 제2항에 따른 할부계약서 또는 그 전자문서는 모두 성명불상자가 당일 개통시킨 휴대전화나 허위로 기재한 이메일 주소로 보내졌을 뿐 A 씨에게 도달된 사실이 없다"며 "A 씨는 할부 구매계약에 따른 대금 채무 및 이를 전제로 한 구상금 채무를 부담하지 않는다"고 판시했다.

렌탈업체가 온라인 비대면 렌탈계약을 체결할 때 고객의 휴대전화를 이용한 본인인증 절차를 거친 사실만으로는 명의도용을 당했다고 주장하는 고객에게 대항할 수 없다는 판결이 나왔다. 서울중앙지법 민사97단독 김재은 판사는 8일 A씨가 렌탈업체인 B사를 상대로 낸 채무부존재 확인소송(2020가단5294595)에서 "A씨에게 B사와의 렌탈계약에 따른 250여만 원의 물품대금 채무는 존재하지 않는다"며 원고승소 판결했다. A씨는 2019년 12월 대부업체 상담원이라는 사람으로부터 대출 제안을 받고, 신분증과 통장사본을 제공했다. 이후 B사는 온라인을 통해 A씨 명의로 된 에어드레서 렌탈신청을 받았다. B사 직원은 신청 당시 제공된 휴대전화 번호로 전화를 걸었는데, 통화에서 자신을 A씨로 소개한 사람으로부터 신용카드 정보 등을 받아 전자문서인 렌탈약정서를 작성해 계약을 체결했다. 이 직원은 당시 통화 내용을 녹취했다. B사는 휴대전화를 이용한 본인인증 절차인 '세이프키 발급절차'를 거쳐 자칭 A씨라는 사람이 알려준 주소로 물품을 배송했다. 이후 A씨는 "명의가 도용돼 렌탈계약이 체결됐고, 나를 가장한 사람이 렌탈제품을 수령했다"며 소송을 냈다. 성명 불상자를 본인 권한 행사로 믿은 정당한 사유없어 김 판사는 "제출된 증거들만으로는 렌탈계약 체결 당시 A씨로 행세한 성명불상자가 A씨 본인이라거나 A씨를 대행할 권한이 있었다고 보기 어렵다"고 밝혔다. 이어 "A씨가 자신을 대부업체 상담원으로 소개한 사람에게 신분증 사진과 계좌번호 등 정보를 제공한 것은 적어도 금융기관에 A씨 명의로 대출을 신청할 권한을 수여한 것으로 볼 여지는 있다"면서도 "B사가 렌탈계약을 비대면 거래방식으로 맺으며 거래 상대방의 본인인증 절차로 실시한 것은 실질적으로 A씨 명의 휴대전화를 이용한 세이프키 발급절차가 전부인데, 이때 사용된 A씨 명의 휴대전화가 A씨 본인이 사용 중인 것 또는 A씨 본인의 의사에 따라 개통된 것임을 인정할 증거가 없다"고 설명했다. 서울중앙지법 원고승소 판결 또 "휴대전화는 금융거래에 이용되는 공인인증서나 보안카드 등에 비해 제3자에 의해 악용될 위험이 상대적으로 크고, 최근 타인 명의 휴대전화를 이용한 범죄가 비교적 빈번하게 발생하고 있어, B사가 성명불상자를 A씨 자신으로서 본인 권한을 행사하는 것으로 믿은 데 정당한 사유가 있었다고 보기 어렵다"고 했다. 그러면서 "B사는 렌탈 영업을 하며 비대면 거래방식이 대면거래보다 거래상대방의 명의도용 위험이 높다는 점을 인식하면서도 비대면 거래방식을 허용했다"며 "B사는 비대면 거래방식의 본인인증 방법인 영상통화 또는 생체정보, 공인인증서 등과 비교할 때 신뢰성과 안전성이 떨어진다고 볼 수 있는 본인 명의 휴대전화를 이용한 인증번호 확인 방법을 선택했다. 결국 계약 효력은 A씨에게 미치지 않으므로, A씨는 B사에 대해 렌탈계약에 따른 렌탈비 채무를 부담하지 않는다"고 판시했다.

공인인증서가 폐지된 후 '공동인증서'에 의한 비대면 대출에서 금융사는 금융실명법 등에 따라 대출신청자의 본인여부를 엄격히 확인할 의무가 있다는 판결이 나왔다. 법원은 특히 금융사가 본인확인 의무를 이행했는지 판단하는 기준으로 금융위원회의 '비대면 실명확인 방안'을 제시했는데, 향후 보이스피싱 사건 뿐만 아니라 금융기관의 비대면 전자금융거래 분야에도 적잖은 영향을 미칠 것으로 보인다. 서울중앙지법 민사86단독 김상근 판사는 A씨가 B캐피탈과 C저축은행을 상대로 낸 채무부존재 확인소송(2021가단16087)에서 최근 "B캐피탈과 체결된 신용대출 약정에 따른 채무는 존재하지 않는다"고 판결했다. A씨는 지난해 3월 보이스피싱범에게 개인정보 도용 피해를 당했다. 보이스피싱범은 A씨의 딸로 가장해 문자메시지를 보내왔고, A씨는 별다른 의심 없이 신분증과 신용카드 사진, 계좌번호와 비밀번호를 핸드폰으로 전송했다. 이 과정에서 A씨의 핸드폰에는 원격제어 프로그램이 설치됐다. 공인인증서 폐지 후 전자서명 효력 더 이상 인정 안 돼 보이스피싱범은 A씨로부터 빼낸 개인정보를 이용해 곧바로 A씨 명의의 공동인증서를 발급받은 다음 비대면 전자금융거래 방식으로 B캐피탈에서 3500만원을, C저축은행에서 500만원을 대출받았다. 뒤늦게 보이스피싱임을 알아차린 A씨는 경찰에 신고했다. 이후 보이스피싱범이 가로챈 대출금을 갚아야 할 처지에 놓이자 A씨는 소송을 냈다. 김 판사는 "공인인증기관이 발급하는 공인인증서 제도가 2020년 12월 폐지되면서, 전자서명 수단이 국가 위주의 공인인증서에서 민간 위주의 다양한 전자서명 수단(금융인증서·공동인증서·블록체인 등)으로 변경됐다"며 "옛 전자서명법상 공인인증서와 공인인증서로 작성된 전자문서에 인정되던 효력은 더 이상 인정될 수 없고, 따라서 대법원 판결(2017다257395)의 법리도 공인인증서가 아닌 전자서명 수단을 사용한 사건에는 더 이상 적용될 수 없다"고 밝혔다. 앞서 대법원은 2018년 3월 보이스피싱 사기단이 개인정보를 빼돌려 피해자들 몰래 휴대폰을 신규 개통하고 공인인증서를 재발급 받은 뒤 대출금을 편취한 사건에서 "전자서명법에 따라 공인인증기관에서 발급된 공인인증서로 비대면 전자금융거래가 체결된 경우, 특별한 사정이 없는 한 전화통화나 면담 등 추가 본인확인 절차 없이도 그 전자문서에 의한 거래는 유효하게 성립하고 명의자에게 효력이 미친다"고 판시한 바 있다. 서울중앙지법 “피해자에 신용대출 약정 따른 채무 존재 않아” 김 판사는 "개정 전자서명법이 시행된 2020년 12월 이후 발급된 공동인증서, 금융인증서를 통해 작성된 전자문서에 기초해 비대면 전자금융거래가 이뤄진 경우 금융사 등은 금융실명법 또는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법에 따라 부과된 본인확인 의무를 이행해야 한다"고 설명했다. 김 판사는 특히 "은행연합회와 금융투자협회가 마련하고 금융위가 유권해석한 비대면 실명확인 방안이 현재로서는 가장 합리적인 본인확인 방법"이라며 "금융사 등이 이를 기준으로 본인확인 의무와 피해방지 의무를 이행했는지 여부를 살펴야 한다"고 강조했다. 금융위 비대면 실명확인 방안에는 '실명확인증표 사본 제출'과 '영상통화' 등 7가지 방법이 규정돼 있다. 그러면서 "C저축은행은 비대면 실명확인 방안에 따른 필수적 본인확인 조치를 제대로 이행한 반면, B캐피탈은 이를 이행하지 않았다"며 "C저축은행에는 손해를 분담할 정도의 주의의무 위반이 있다고 보기 어렵고, A씨는 C저축은행과의 여신거래 약정에 따른 대출원리금은 지급해야 한다"고 판시했다.

금융사기 조직에 공인인증서를 도용당해 대출 피해를 입었어도 대출원리금을 모두 상환할 의무가 있다는 판결이 나왔다. 은행이 공인인증서로 본인확인 절차를 거쳤다면 은행에 책임을 물을 수 없는 만큼 대출약정은 유효하다는 취지이다. 서울중앙지법 민사37부(재판장 박석근 부장판사)는 A씨가 금융회사인 B사와 C사를 상대로 낸 채무부존재확인소송(2019가합580780)에서 최근 원고패소 판결했다. A씨는 2019년 경찰 등을 사칭한 전화금융사기 범죄조직에 속아 휴대전화에 악성코드가 저장된 어플리케이션을 설치하게 됐다. 이후 범죄조직은 공인인증서가 저장된 A씨의 휴대전화를 원격제어해 A씨와 보험계약을 체결한 B사, 투자신탁계약을 개설한 C사를 상대로 대출 신청을 해 B사로부터 1억9000만원을, C사로부터 1400여만원의 대출을 받았다. 이에 A씨는 "나는 대출약정에 관한 의사표시를 한 적이 없다"며 "성명불상자가 개인정보를 탈취해 공인인증서상 전자서명을 위조하는 등의 방법으로 대출을 신청한 것이므로 대출약정이 성립하지 않아 대출금 채무가 존재하지 않는다"며 소송을 냈다. “대출약정은 전자문서의 작성 명의인에 귀속” 재판부는 "공인인증기관이 발급한 공인인증서에 의해 본인임이 확인된 사람에 의해 송신된 전자문서는 설령 본인 의사에 반해 작성·송신됐다고 하더라도 전자문서 및 전자거래 기본법 제7조에 규정된 '수신된 전자문서가 작성자 또는 그 대리인과의 관계에 의해 수신자가 그것이 작성자 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있는 자에 의해 송신된 경우'에 해당한다"면서 "해당 전자문서의 수신자는 전화 통화나 면담 등의 추가적인 본인확인 절차 없이도 전자문서에 포함된 의사표시를 작성자의 것으로 봐 법률행위를 할 수 있다"고 밝혔다. 서울중앙지법 원고패소 판결 이어 "대출 신청이 모바일기기를 통해 A씨 명의로 전자문서를 작성해 B사 등에게 송신하는 형태로 이뤄진 사실, B사 등이 A씨의 공인인증서로 본인확인 절차를 거쳐 대출을 실행한 사실이 인정되고, 이는 전자문서법 제7조에 규정된 경우로 볼 수 있다"며 "대출 실행 직후 입금사실을 알리는 문자메시지를 발송하는 등 추가적인 본인 절차까지 거친 B사 등이 대출 신청을 A씨의 의사에 기한 것이 아니라고 의심할 만한 근거는 찾아볼 수 없다"고 설명했다. 그러면서 "설령 성명불상자에 의해 대출 신청이 행해졌더라도 B사 등이 이를 A씨의 의사표시로 봐 승낙해 체결한 대출약정은 유효하므로, 그 효력은 전자문서의 작성명의인인 A씨에게 귀속된다"며 "따라서 A씨는 각 대출약정에 따른 대출원리금을 상환할 의무가 있다"고 판시했다.

신종 보이스피싱에 속은 고객이 일회용 비밀번호(OTP, one-time password)를 입력했다가 손해를 입은 경우 은행도 일부 책임이 있다는 판결이 나왔다. OTP란 인터넷뱅킹에 사용되는 보안카드 대신 모바일 프로그램이나 전용 단말기를 이용해 일회용 비밀번호를 생성하는 방식을 말한다. 서울중앙지법 민사4부(재판장 이대연 부장판사)는 A씨(소송대리인 법무법인 지향)가 신한은행을 상대로 낸 손해배상청구소송(2016나46160)에서 "은행은 1700여만원을 지급하라"며 최근 원고일부승소 판결했다. 학원강사인 A씨는 2014년 9월 마이너스 통장으로 지방세를 납부하려고 신한은행 사이트에 접속했다가 사기를 당했다. '금융감독원 사기예방 계좌등록 서비스'라는 팝업창에 OTP 비밀번호를 입력했다가 2100만원이 인출된 것이다. 금감원 직원을 사칭하는 남성이 A씨에게 전화해 "전산장애로 인출됐으며 30분 안에 돈이 다시 들어올 것"이라고 안심시켰으나 돈은 들어오지 않았다. 이에 A씨는 30분 뒤 또다시 팝업창에 OTP 비밀번호를 입력했다가 900만원이 인출됐다. 뒤늦게 사기를 당했다는 사실을 알게 된 A씨는 "사고 당시 공인인증서가 재발급된 사실이 없어 출금이 불가능한데도 돈이 빠져 나갔으며 신한은행이 공지한 것과 달리 추가인증 절차도 없이 계좌에서 돈이 빠져 나갔다"며 소송을 냈다. 신한은행은 "A씨의 과실로 OTP 비밀번호가 노출돼 일어난 일"이라며 "책임이 없다"고 맞섰다. 전자금융거래법 제9조는 공인인증서나 OTP 같은 접근매체의 위조나 변조로 발생한 사고 등으로 이용자에게 손해가 발생한 경우 은행 등 금융기관이 배상해야 한다고 규정하고 있다. 다만 사고 발생에 이용자의 고의나 제3자가 권한 없이 이용자의 접근매체를 이용해 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치하는 등 중대한 과실이 있는 경우에는 책임의 전부나 일부가 감경된다. 재판부는 "OTP 번호는 전자금융거래에서 이용자 본인임을 확인하는 수단으로 널리 쓰이고 있어 전자금융거래법상 '접근매체'에 해당한다"며 "신한은행은 A씨의 손해를 배상할 책임이 있다"고 밝혔다. 다만 신한은행이 평소 전자금융사기 예방을 위해 기울인 노력 등을 고려해 첫 번째 계좌이체 금액 중 80%와 이에 따른 이자 합계 1700여만원만 배상하도록 했다. 두 번째 계좌이체는 A씨의 부주의로 벌어진 일이어서 은행이 배상할 필요가 없다고 판단했다. 앞서 1심도 은행에 책임이 있다고 판단했지만, 은행의 책임범위를 더 넓게 봤다. 1심은 "A씨의 나이와 직업, 인터넷 금융거래 이용 경력 등을 고려하더라도 1차로 출금된 2100만원에 대해서는 A씨에게 중대한 과실이 있다고 볼 수 없어 은행의 배상책임이 100% 인정된다"고 밝혔다. 2차로 출금된 900만원에 대해서는 "A씨가 공인인증서 인증과 추가인증절차가 없이도 계좌이체가 된다는 점을 의심하지 못한 과실이 인정된다"면서도 은행의 책임을 10% 인정해, 신한은행이 총 2200여만원을 배상하라고 판시했다.

은행고객이 신종 보이스피싱에 속아 일회용 비밀번호(OTP, one-time password)를 유출해 돈이 이체됐어도 은행이 고객에게 공지한 추가인증 절차를 진행하지 않은 등의 과실이 있다면 은행이 책임을 져야 한다는 판결이 나왔다. OTP란 인터넷뱅킹에 사용되는 보안카드 대신 모바일 프로그램이나 전용 단말기를 이용해 일회용 비밀번호를 생성하는 방식을 말한다. 학원강사 A(43·여)씨는 2014년 9월 지방세를 납부하기 위해 B은행 인터넷뱅킹 홈페이지에 접속했다. 그런데 갑자기 화면에 '금융감독원 사기예방 계좌등록 서비스'라는 팝업창이 떴다. A씨는 보안강화를 위한 것이라 생각하고 팝업창 안내문에 따라 계좌번호와 비밀번호, 공인인증서 비밀번호, OTP 비밀번호를 입력했다. 그러자 화면에 '등록중'이라는 표시가 떴고 곧바로 A씨의 휴대전화로 전화가 걸려왔다. 금융감독원 직원이라고 밝힌 남성은 "화면에 등록 중이라는 내용이 보이느냐, 계좌가 안전하게 등록되고 있다"고 설명했는데 이 와중에 A씨의 휴대폰 문자메시지로 A씨의 계좌에서 2100만원이 출금됐다는 내용이 전송됐다. 놀란 A씨가 "계좌에서 출금된 금액이 무엇이냐"고 묻자 이 남성은 "전산장애이니 30분 내로 돈이 다시 들어 올 것"이라고 말하고 전화를 끊었다. 30분 뒤 OTP 비밀번호만 입력하는 창이 다시 뜨자 A씨는 다시 비밀번호를 입력했고, 그 순간 A씨의 계좌에서 5회에 걸쳐 총 900만원이 출금됐다. 보이스피싱에 당했다는 사실을 알게 된 A씨는 사고 당시 공인인증서가 재발급된 사실이 없어 출금이 불가능한데도 돈이 빠져 나갔으며 B은행이 공지한 것과 달리 추가인증 절차도 없이 계좌에서 돈이 빠져 나갔다며 은행을 상대로 소송을 제기했다. B은행은 "A씨의 과실로 OTP 비밀번호가 노출돼 일어난 일"이라며 "책임이 없다"고 맞섰다. 전자금융거래법 제9조는 공인인증서나 OTP 같은 접근매체의 위조나 변조로 발생한 사고 등으로 이용자에게 손해가 발생한 경우 은행 등 금융기관이 배상해야 한다고 규정하고 있다. 다만 사고 발생에 이용자의 고의나 제3자가 권한 없이 이용자의 접근매체를 이용해 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치하는 등 중대한 과실이 있는 경우에는 책임의 전부나 일부가 감경된다. 서울중앙지법 민사96 단독 이규홍 부장판사는 A씨(소송대리인 법무법인 지향)가 B은행을 상대로 낸 손해배상청구소송(2015가단5135685)에서 "B은행은 2200여만원을 지급하라"며 최근 원고일부승소 판결했다. 재판부는 "B은행이 홈페이지에 게시한 '전자금융사기 예방서비스 전면시행에 따른 추가인증' 공고에 따르면 '야간(21시~09시) 및 휴일 거래시 보안매체에 관계없이 1일 누적 100만원 이상 이체시 추가 인증이 있다'고 돼 있다"며 "사고 발생일이 휴일이었고 이체된 금액이 100만원을 초과함에도 B은행이 공고한 추가인증 절차는 이뤄지지 않았다"고 밝혔다. 이어 "A씨는 '금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기를 이용하라'는 B은행의 권유에 따라 즐겨찾기에 등록해 놓은 홈페이지로 접속했다"며 "B은행은 사고 당시까지 비밀번호 30~35개 중 일부를 입력하도록 하는 기존의 보안카드와 달리 OTP 방식은 외부노출과 해킹으로부터 안전한 것으로 홍보하기도 했다"고 설명했다. 재판부는 "보이스피싱에 대한 일반인의 인식이 높은 상황에서 A씨의 나이와 직업, 인터넷 금융거래 이용 경력 등을 고려하더라도 1차로 출금된 2100만원에 대해 A씨에게 중대한 과실이 있다고 볼 수 없어 은행의 배상책임이 100% 인정된다"고 했다. 하지만 2차로 출금된 900만원에 대해서는 "A씨가 공인인증서 인증과 추가인증절차가 없이도 계좌이체가 된다는 점을 의심하지 못한 과실이 인정돼 은행의 배상 책임을 10%로 제한한다"고 판시했다.

다른 사람의 주민등록증과 공인인증서, 통장을 갖고 보험가입자 행세를 한 사람에게 대출을 해주고 보험해지환급금을 지급했더라도 보험사는 면책될 수 없다는 판결이 나왔다. 경기도 포천의 한 병원에서 근무하던 간호사 A씨는 2010년 같은 병원에서 친하게 지내던 간호조무사 B씨에게 자신의 주민등록증과 공인인증서, 통장을 맡겼다. 함께 돈을 모아 여행을 가기로 했는데 계획이 무산되자 돈을 정산해 달라며 믿고 맡긴 것이다. 하지만 B씨는 딴 생각을 품었다. 그는 2013년 6~9월 3차례에 걸쳐 A씨가 가입한 삼성생명보험 콜센터에 전화를 걸고, 포천 지점을 방문해 자신이 A씨인척 하며 A씨가 가입한 보험계약을 담보로 1920만원을 대출받았다. B씨는 한발 더 나아가 2013년 10월에는 A씨가 가입한 보험 두 개를 해지하고 환급금 870만원을 받아가기도 했다. 뒤늦게 사실을 알게 된 A씨는 2014년 2월 "보험계약 대출과 보험해지는 무효"라며 삼성생명보험을 대상으로 보험계약해지무효소송(2014가합9316)을 제기했다. 서울중앙지법 민사46부(재판장 지영난 부장판사)는 2년의 심리 끝에 최근 최씨의 손을 들어줬다. 삼성생명은 "B씨가 A씨의 통장과 신분증 등을 제시해 B씨에게 보험계약 대출이나 보험해지를 할 권한이 있었다고 믿을 수 밖에 없었다"며 "민법 제125조, 제126조에 따라 A씨에게 표현대리의 책임이 있다"고 주장했지만, 재판부는 받아들이지 않았다. 민법 제125조는 '제3자에 대하여 타인에게 대리권을 수여함을 표시한 자는 그 대리권의 범위내에서 행한 그 타인과 그 제3자간의 법률행위에 대하여 책임이 있다. 그러나 제3자가 대리권 없음을 알았거나 알 수 있었을 때에는 그러하지 아니하다'고 규정하고 있다. 제126조는 '대리인이 그 권한외의 법률행위를 한 경우에 제3자가 그 권한이 있다고 믿을 만한 정당한 이유가 있는 때에는 본인은 그 행위에 대하여 책임이 있다'고 규정돼 있다. 재판부는 "A씨가 B씨에게 주민등록증, 공인인증서, 통장을 교부하고 통장의 관리를 맡겼다고 해도 보험계약에 관한 해지 권한을 수여했다고 표시했다고는 볼 수 없다"고 밝혔다. 이어 "콜센터에서는 휴대폰 번호 확인과 자녀 정보만 확인한 뒤 추가로 주민등록증의 진위 확인만 했고, 지점에서 대면 확인을 할 때도 주민등록증의 사진과 이씨의 얼굴이 많이 다르고 통장 서명란의 필체가 많이 틀린데도 제대로 확인하지 않은 점을 감안할 때 표현대리가 성립되지 않는다"고 설명했다.

법원이 일명 '파밍(Pharming)' 피해 사례에 대해 처음으로 은행의 책임을 인정했다. 파밍은 금융기관의 정식 공지사항인 것처럼 문자메시지를 보내거나 가짜 인터넷 홈페이지로 유인해 개인정보 유출을 유도한 뒤 돈을 빼돌리는 수법이다. 그동안 법원은 파밍에 속아 개인정보를 유출하면 고객에게 중과실이 있다고 봐 금융기관의 책임을 면제하는 판결을 해왔다. 의정부지법 민사4단독 임수연 판사는 12일 정모(48)씨가 국민은행을 상대로 낸 부당이득금반환 청구소송(2012가단50032)에서 "은행은 정씨에게 청구액의 30%인 538만2000원을 지급하라"며 원고일부승소 판결을 했다. 재판부는 판결문에서 "정씨가 공인인증서 비밀번호와 보안카드 일련번호 등 개인정보를 유출한 중과실이 있긴 하지만 은행이 공인인증서 재발급 시에 본인확인을 휴대전화로 인증하는 절차 등을 거치기만 했어도 사고를 방지할 수 있었다"며 "전자금융거래법상의 금융기관의 손해배상책임이 이용자 보호에 중점을 둔 법정 손해배상책임이라는 것을 보아도 은행의 손해배상책임이 면책의 정도에까지 이르렀다고 보기 어렵다"고 밝혔다. 다만 "정씨 역시 접근매체를 누설하거나 노출, 방치한 중대한 과실이 있기 때문에 피고의 책임 비율을 30%로 제한한다"고 설명했다. 현행 전자금융거래법은 금융기관 접근 매체의 위조·변조 사고로 고객에게 손해가 생겼을 때에만 금융기관이 책임지도록 정하고 있다. 국민은행은 이 규정을 근거로 들어 파밍 등 부정한 방법으로 개인정보를 빼낸 뒤 재발급한 행위는 '위조'가 아니라고 주장했으나 재판부는 이것도 '위조'로 봐야 한다고 판단했다. 재판부는 "피싱사이트로 알아낸 금융정보로 공인인증서를 재발급받은 것도 전자금융거래법이 정하는 '접근매체의 위조'에 해당한다"며 "특히 이는 민사상 책임에 대한 규정이므로 위조 또는 변조의 개념을 형법처럼 엄격하게 해석할 필요는 없다"고 밝혔다. 정씨는 지난해 9월 11일 '국민은행, 인터넷 개인정보 유출 관련 보안을 위해 보안승급 요청'이라는 문자메시지를 받고 문자에 은행사이트로 표시된 주소에 접속, 공인인증서와 보안카드 일련번호 등을 입력했다. 이틀 뒤 정씨가 이상한 느낌에 계좌를 확인했지만 이미 7번에 걸쳐서 2000여만원이 빠져나간 상태였다. 홍은표 의정부지법 공보판사는 "이번 판결은 고객의 중과실이 은행의 책임이 감경 사유일 뿐 면책 사유가 아니라고 본 첫 판결"이라고 말했다. 한편 오는 11월 시행되는 개정 전자금융거래법은 부정한 방법으로 공인인증서를 만들어 고객이 손해를 보면 금융기관이 책임을 져야 한다는 내용을 명문화하고 있다.

사기범이 보이스피싱(전화금융사기·Voice Phishing)으로 알게 된 개인정보를 이용, 피해자와 거래가 없는 다른 금융기관에서 인터넷 대출을 받았다면 피해자는 대출계약이 무효이므로 갚지 않아도 된다는 판결이 나왔다. 하지만 피해자는 불법 행위를 방조한 과실이 있으므로 대출금의 40%를 배상해야 한다고 판단했다. 전모(27)씨는 지난해 3월 자신을 금융범죄 수사검사라고 밝힌 사기범으로부터 전화를 받았다. 금융사기단을 잡고 조사 중인데 전씨 명의의 계좌가 2개 발견돼 전씨가 공범인지 피해자인지 조사가 필요하다는 내용이었다. 사기범은 만약 전씨가 피해자라면 구제확인서를 받아야 한다고 하면서 성명, 주민 번호, 공인인증서 비밀번호, 신용카드 번호 등 개인정보를 특정 인터넷 사이트에 입력하게 했다. 사기범은 이어 금융감독원에 금융거래 조회를 보내 조사할테니 휴대폰으로 인증번호가 오면 알려달라고 했다. 사기범은 전씨가 인증번호를 알려주자 전씨의 예금을 전씨의 또 다른 명의의 계좌로 송금하라고 다시 요구했다. 전씨는 뭔가 이상한 낌새를 느끼고 검찰에 출두하겠다고 하자 사기범은 급히 전화를 끊었다. 하지만 전씨는 이미 보이스피싱 범죄에 걸려들고 말았다. 사기범은 전씨가 입력한 개인정보 등을 이용해 전씨 명의의 공인인증서를 재발급받아 전씨가 거래한 적이 없는 H저축은행에서 600만원을 인터넷 대출받아 전씨 명의의 계좌로 입금한 후 대포통장으로 이체시키는 수법으로 가로챘다. 전씨가 당한 보이스피싱은 피해자의 계좌에서 출금하는 수법이 아니라 피해자의 명의로 대출을 받아 가로채는 신종 수법이다. 사기범이 금융감독원에 조회하는 데 필요하다고 말한 인증번호는 H저축은행에 대출을 신청하기 위해 필요한 인증번호였던 것이다. 사기범이 전씨 명의로 인터넷 대출을 받을 수 있었던 이유는 H저축은행은 다른 금융기관과 달리 대출신청사실을 고지하지 않기 때문이었다. 은행은 'H저축은행[인증번호]인증바랍니다'라는 내용만 메시지로 전송하기 때문에 전씨는 대출을 신청했다는 사실을 알 수 없었다. 전씨는 H저축은행으로부터 대출금을 갚으라는 요구를 받자 자신과 비슷한 수법으로 사기를 당한 피해자 5명과 함께 "대출계약 자체가 성립하지 않았다"며 H저축은행을 상대로 지난해 8월 소송을 냈다. 서울중앙지법 민사49단독 안희길 판사는 최근 15일 전씨 등이 낸 채무부존재 확인소송(2012가단5088900)에서 원고승소 판결을 내렸다. 안 판사는 판결문에서 "보이스피싱 사기범이 피해자들을 속여 개인정보를 얻은 후 피해자 명의를 도용해 종전에 거래한 적이 없던 H저축은행과 대출계약을 맺었다"며 "사기범에게 피해자들을 대리할 기본 대리권이 없을 뿐만 아니라 사기범이 피해자들의 권한을 행사하는 것으로 믿은 데 정당한 사유가 있다고 보기 인정할 수 없어 대출계약은 무효"라고 밝혔다. 안 판사는 "H저축은행은 대출계약 신청서에 입력된 피해자들의 집 주소가 XXX-XXXXXX-XX번지라는 식으로 통상적이지 않고, 직장전화번호의 지역번호도 일치하지 않는 점을 보면 제3자에 의한 행위임을 의심하고 본인 확인을 위한 절차를 취했어야 했다"며 "금융감독원과 금융위원회가 2011년 5월 신종 수법으로 인터넷 대출상품을 이용한 보이스피싱이 늘어남에 따라 금융기관에 대출 절차를 엄격히 운영하도록 했음에도 H저축은행은 확인절차를 제대로 마쳤다고 보기 어렵다"고 설명했다. 하지만 안 판사는 H저축은행의 반소에서는 은행이 예비적 청구로 주장한 손해배상 책임을 일부 받아들였다. 안 판사는 "그동안 보이스피싱 대비에 많은 홍보가 있었던 점 등을 감안하면 전씨 등은 사기범이 H저축은행에 저지른 불법행위를 방조한 과실을 인정된다"며 "대출금액에서 40% 부분에 대해 손해를 배상할 책임이 있으므로 각 160만~400만원씩을 지급하라"고 밝혔다.

타인이 예금주의 공인인증서를 발급받아 예금을 인출해갔다면 금융기관이 예금주에게 배상해야 한다는 판결이 나왔다. 이번 판결은 공인인증서 등 접근매체의 위조와 변조의 경우에만 금융기관 등이 손해를 배상하게 돼 있는 전자금융거래법 제9조를 넓게 해석한 첫 판결로 상급심의 판단이 주목된다. 서울중앙지법 민사34단독 전기철 판사는 최근 유모씨가 H투자증권을 상대로 낸 손해배상소송(☞2011가단105339)에서 "H투자증권은 3400만원을 지급하라"며 원고승소 판결을 내렸다. 소송 과정에서 H투자증권 측을 보조한 공인인증서 관리업체인 코스콤은 이번 판결로 H투자증권으로부터 구상권을 행사당할 위기에 처하게 됐다. 전 판사는 판결문에서 "전자금융거래법 제9조의 입법 취지는 복잡하고 전문적인 특성을 지녀 원인 규명이 어려운 전자금융사고에 관한 책임부담 원칙을 명확히 규정하려는 것"이라며 "해킹·전산장애 등 이용자의 고의·중과실에 의하지 않은 전자금융사고로 인해 이용자에게 손해가 발생하면 금융기관 또는 전자금융업자가 책임을 부담해야 한다"고 밝혔다. 재판부는 "공인인증서와 같은 특수매체의 경우 시스템 운영주체의 의사에 반해 권한 없이 전자기록을 작성하거나 허위내용의 전자기록을 만드는 경우도 '접근매체의 위조'에 포함된다"며 "권한 없는 성명불상자에 의해 접근매체인 공인인증서가 부정하게 발급된 것은 시스템 운영주체의 의사에 반하는 '접근매체의 위조'에 해당한다"고 지적했다. H투자증권은 유씨가 공인인증서 보관상 중대한 과실이 있다고 주장했지만, 재판부는 "유씨가 컴퓨터를 사용해 보안카드 코드표를 만들어 출력해 소지한 사실은 인정되지만, 별도의 코드표를 만들어 소지했다는 사정만으로 유씨가 접근매체를 노출 또는 방치한 경우에 해당한다고 보기는 어렵다"며 받아들이지 않았다. 전자금융거래법 시행령 제8조는 이용자의 고의나 중대한 과실에 관해 접근매체를 제3자에게 대여·위임·양도하거나 담보의 목적으로 제공한 경우, 접근매체를 누설·노출·방치한 경우로 규정하고 있다. H투자증권에 CMA 계좌를 개설한 후 코스콤으로부터 발급받은 공인인증서를 사용해 금융거래를 해오던 유씨는 2010년 8월 계좌에서 3400만원이 인출된 것을 발견하고 지난해 3월 소송을 냈다.