휴대전화로 모바일 청첩장 문자를 받고 URL을 눌렀다가 스미싱(문자메시지 이용 해킹)에 당해 자신도 모르게 은행 대출이 진행되었다. 대출금을 갚아야 할까. 법원은 은행이 본인확인을 제대로 하지 않았다면 갚을 필요가 없다고 판결했다.
A씨는 2023년 3월 30일 모바일 청첩장 문자메시지를 받고 URL을 눌렀다가 자신의 휴대전화에 악성 애플리케이션이 설치되는 스미싱 범행을 당했다. 스미싱 조직은 A씨의 휴대전화에 있던 개인정보와 금융정보 등을 취득해 A씨의 종전 휴대전화번호와 같은 전화번호로 새 휴대전화를 개통하고 A씨 명의의 계좌를 개설했다. 이후 스미싱 조직은 새 휴대전화에 케이뱅크 애플리케이션을 설치한 뒤 모바일 휴대전화 본인인증 등을 거쳐 8,150만원을 대출받았다. 또 A씨가 2009년경 가입한 미래에셋생명보험의 종신보험으로 대출을 신청해 958만원을 지급받고, 농협은행에 있던 A씨의 주택청약종합저축를 해지해 1,179만여원을 지급받아 다른 계좌로 보냈다.
A씨는 케이뱅크와 미래에셋생명보험, 농협은행을 상대로 대출금 채무 부존재 확인소송을, 농협은행을 상대로는 주택청약종합저축에 들어있던 1,179만여원의 지급을 요구하는 소송(2023가단5175275)을 냈다. A는 피해금 일부를 반환받아 케이뱅크 대출금을 상환, 케이뱅크 대출금은 3,900여만원이 남아 있다. A씨는 스미싱을 당한 후 4일 지난 4월 3일 피해 사실을 경찰에 신고, 스미싱 범행 인출책이 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 위반 등 혐의로 기소되어 1심에서 징역 4년이 선고된 가운데 항소심 진행 중에 있다.
서울중앙지법 한나라 판사는 5월 22일 "피고들이 본인확인조치와 피해방지를 위한 노력을 다하지 않았다"며 "원고의 케이뱅크와 미래에셋생명보험에 대한 대출금 채무는 존재하지 아니함을 확인하고, 농협은행은 원고에게 1,179만여원을 지급하라"고 원고 승소 판결했다.
한 판사는 먼저 "이 사건과 같이 '전자문서'에 의해 이루어지는 '전자금융거래'이면서 '비대면'으로 이루어지는 경우, 금융회사로서는 주의의무를 다하고 사고를 방지하는 행위를 다함으로써 책임에서 벗어나기 위한 적극적인 조치를 취할 필요가 있다"고 지적하고, "전자문서법 제7조 제2항 제2호에서 말하는 '정당한 이유'가 있는지 여부를 판단함에 있어서는 금융기관이 적어도 '비대명 실명확인방안'에서 정한 절차를 제대로 거쳤는지 여부가 일응의 기준이 될 수 있다"고 밝혔다. 전자문서법 제7조 제2항 제2호는 수신된 전자문서가 작성자 또는 그 대리인과의 관계에 의하여 수신자가 그것이 작성자 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있는 자에 의하여 송신된 경우에는 전자문서의 수신자는 전자문서에 포함된 의사표시를 작성자의 것으로 보아 행위할 수 있다고 규정하고 있다.
한 판사는 또 "이 사건에서 금융기관 등이 '비대명 실명확인방안'의 절차를 준수하였는지를 판단함에 있어서는 비대면 금융거래 활성화로 인한 금융기관의 금융수익, 본인확인절차 이행으로 인한 금융기관의 비용, 금융소비자의 부주의 정도와 피해 회피 가능성, 고도화된 금융거래사기 범행 및 기존 비대면 본인확인 절차의 허점 등을 감안하여 엄격한 기준이 적용되어야 한다"고 밝혔다.
한 판사는 케이뱅크에 대해, "케이뱅크는 새로운 휴대전화 기기에 앱을 등록하는 단계에서는 원고 명의의 운전면허증 사본 제출 및 기존계좌 입금 절차를 거쳤으나, 이 사건 대출거래약정 단계에서는 바이오인증과 휴대전화 본인인증을 거쳤을 뿐"이라며 "대출약정 체결과 앱 등록 절차는 별개의 행위이고, 휴대전화 본인인증은 은행연합회와 금융투자협회가 마련한 '비대면 실명확인방안' 중 권고사항인 '⑥타 기관 확인결과 활용'에 불과하므로 케이뱅크가 이 사건 대출거래약정을 체결하면서 '비대면 실명확인방안'의 필수적인 검증방법 중 2가지 이상을 거쳤다고 볼 수 없다"고 밝혔다.
은행연합회와 금융투자협회가 공동으로 마련한 '비대면 실명확인 관련 구체적 적용방안'(비대면 실명확인방안)에 따르면, 비대면 금융거래를 하는 금융회사 등은 필수적으로 ①실명확인증표 사본 제출 ②영상통화 ③접근매체 전달 과정에서 신분확인증표 확인 ④기존 계좌 활용 ⑤기타 이에 준하는 방법 중 두 가지 이상을 중첩 · 적용하여 비대면 실명확인을 해야 하고(① 내지 ⑤는 의무사항), 이를 보완하기 위해 ⑥타 기관 확인결과 활용 ⑦다수 고객정보 검증의 방법을 추가적으로 적용하여 비대면 실명확인을 할 수 있으며(⑥, ⑦은 권고사항), 위와 같은 절차를 거친 경우 금융실명법 3조 1항의 본인확인의무를 준수한 것으로 보게 된다. 이에 대해 금융위원회도 위와 같은 절차와 방법을 금융회사 등이 준수해야 할 실명확인 방법인 것으로 유권해석하기도 했다.
한 판사는 "비대면 금융거래를 주된 업으로 하는 케이뱅크로서는 기술적으로 실명확인증표의 원본 촬영을 확신할 수 없는 경우라면, 고객의 얼굴이 직접 노출되도록 실명확인증표를 촬영하도록 하거나, '비대면 실명확인방안' 중 '②영상통화'를 추가로 요구하는 등의 방식을 택하여 본인확인조치 방법을 보강하였어야 하고, 이는 기술적으로 현저히 어려운 조치도 아니다"고 지적했다.
한 판사는 미래에셋생명보험에 대해서도, "미래에셋생명보험이 '비대면 실명확인방안' 중 '①실명확인증표 사본 제출'과 관련하여 단순히 원고의 운전면허증에 기재된 발행기관, 면허번호 등의 정보를 입력하게 하고 외부기관을 통해 그 정보가 일치하는지 여부를 비교하는 신분증 정보 스크래핑 방식을 거친 사실은 당사자 사이에 다툼이 없고, 이를 미래에셋생명보험이 '실명확인증표 사본 제출'에 의한 본인확인의무를 제대로 이행한 것으로 보기 어렵다"고 밝혔다.
또 농협은행에 대한 청구와 관련, "피고 농협은행이 이 사건 저축 해지와 관련하여 거친 계좌비밀번호 확인은 '비대면 본인인증절차'에서 요구되는 절차에 해당하지 않고, 휴대전화 문자메시지로 인증번호를 보내는 방법은 '비대명 실명확인방안' 중 권고사항인 '⑥타 기관 확인결과 활용'에 불과해 결국 농협은행이 저축 해지 절차를 처리하면서 '비대면 본인인증절차'의 필수적인 검증방법 중 2가지 이상을 거쳤다고 볼 수 없고, 이에 더하여 농협은행은 원고의 기존 전자금융거래와 상이한 환경에서 접속한 것을 확인하였음에도 스미싱 범행의 경우 명의자의 휴대전화 제어권을 범인이 확보하고 있어 인증의 실효성이 적은 ARS 추가 인증 절차만을 추가로 진행하였을 뿐"이라며 "이를 종합하면 농협은행이 저축 해지 과정에서 당시 전자금융거래 이용자가 본인인지 확인하는 조치를 다할 의무를 제대로 이행하였다고 보기 어렵다"고 밝혔다. 저축 해지가 전자문서법 제7조 제2항 제2호에 규정된 '수신된 전자문서가 작성자 또는 그 대리인과의 관계에 의하여 수신자가 그것이 작성자 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있는 자에 의하여 송신된 경우'에 해당한다고 보기 어렵다는 것이다.
법무법인 지정이 A씨를 대리했다. 케이뱅크는 법무법인 오름, 미래에셋생명보험은 법무법인 민주가 각각 대리했다.
리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)
