-파밍 피해자 36명 소송, 첫 금융기관 책임 인정
-해커가 동일 PC로 중국 일본 한국 IP로 몇분 만에 접속했는데 알아내지 못해
- 3개월전 해커 접속해 사고난 IP도 방치한 금융 기관 책임 법원이 인정
- 명백한 이상 징후에도 금융기관은 아무런 조치도 안 해
- IP 분석이나 통제로 충분히 감지 할 수 있는데 조치 안 해
- 파밍 등 해커에 의한 피해에 대해 미국은 금융기관이 책임지도록 해
- 배상 위험 때문에 미 금융 기관은 보안 조치 강화 할 수 밖에
- 한국 법, 이용자들에게만 너무 엄격
[CBS 라디오 '시사자키 정관용입니다']
■ 방 송 : FM 98.1 (18:00~20:00)
■ 방송일 : 2015년 1월 15일 (목) 오후 7시
■ 진 행 : 정관용 (한림국제대학원대학교 교수)
■ 출 연 : 김경환(법무법인 민후 변호사)
◇ 정관용> 파밍사기, 가짜 금융기관 사이트를 통한 사기죠. ‘여기서 소비자들이 피해를 봤다면 범행에 쓰인 공인인증서 위조 등을 방치한 금융기관에도 손해를 배상할 책임이 있다’ 이런 첫 번째 판결이 나왔네요. 이 판결의 의미, 이번에 그 소송을 맡았던 법무법인 민후의 김경환 변호사 연결합니다. 김 변호사님, 나와 계시죠?
◆ 김경환> 네, 안녕하세요?
◇ 정관용> ‘파밍(Pharming)’이라고 하는 게 그러니까 무슨 은행 사이트를 찾아갔는데 알고 보니 비슷하게 생긴 가짜 사이트, 이런 거죠?
◆ 김경환> 네, 맞습니다.
◇ 정관용> 그 가짜 사이트를 들어가서 구체적으로 어떻게 피해를 보는 겁니까?
◆ 김경환> 해커가 악성코드를 배포해서요, 이용자들을 자기가 만든 가짜 사이트에 접속하게 한 다음에 금융정보를 입력하게 만들고 해커가 그 금융정보를 통해서 스스로 그 사람인양 해서 전자금융 사기를 하는 경우가 파밍입니다.
◇ 정관용> 금융정보라고 하면 무엇 무엇을 빼내는 거예요? 뭐 계좌번호, 비밀번호 이런 겁니까?
◆ 김경환> 네, 전자금융거래를 할 때 쓰이는 금융정보 예컨대 계좌번호, 비밀번호, 공인인증서 비밀번호, 보안카드 번호 이런 것들이 전형적인 금융정보입니다.
◇ 정관용> 이런 것을 입력하시오, 뭐 이렇게 이제 요구를 하는군요, 가짜 사이트에서.
◆ 김경환> 네, 맞습니다.
◇ 정관용> 이번에 소송된 분들이 모두 몇 분이었어요?
◆ 김경환> 2013년 당시 피해자 36명이 이번에 소송을 제기했습니다.
◇ 정관용> 이분들은 피해를 대체로 어느 정도의 액수를 본 겁니까?
◆ 김경환> 적게는 수백만원이고요. 많게는 1억원 넘은 사람도 있습니다. 평균적으로는 수천만원 정도 됩니다.
◇ 정관용> 이분들이 금융기관에게는 어떤 책임이 있다고 주장하신 거죠?
◆ 김경환> 우리나라 전자금융거래법에 의하면 전자금융거래 사고가 발생한 경우는 금융기관이 원칙적으로 손해배상 책임을 부담하도록 되어 있고요. 다만 예외적으로 이용자가 과정에서 중대한 과실이 있는 경우는 이용자가 일부 또는 전부 책임을 부담할 수 있도록 되어 있는데요. 이용자들이 금융정보를 입력한 게 중대한 과실로서 이용자들이 그 책임을 부담해야 되는 것인가 아니면 원칙적으로 금융기관, 은행이 책임을 부담해야 되는가가 쟁점이었습니다.
◇ 정관용> 그러니까 ‘가짜 사이트에 접속해서 그들이 요구하는 대로 정보를 이용자들이 그냥 다 입력을 한 것이니까 이용자 책임이다’ 이게 이제 금융기관의 논리였겠군요,
◆ 김경환> 네, 맞습니다.
◇ 정관용> 그러면 소송을 제기한 측은 금융기관이 어떤 책임이 있다고 한 겁니까?
◆ 김경환> 물론 이용자들이 파밍 사이트에서 자신의 금융정보를 입력한 것은 중대한 과실이지만 중대한 과실이 있다고 그래서 전액 책임을 부담하는 것은 아니고 그 정도에 따라서 일부 금융기관이 책임을 부담할 수 있도록 했고요. 평균적으로 한 20% 정도 배상을 명했습니다.
◇ 정관용> 20%? 그러니까 법원은 금융기관에 어떤 책임을 인정한 겁니까?
◆ 김경환> 금융기관에 대해서 전자금융거래법의 원칙적인 모습으로 갔고요. 그래서 ‘금융기관이 손해배상 책임을 부담하도록 할 수 했고 이용자의 과실이 인정되지만 이용자가 전적으로 그 사고에 대해서 기여했다고 보기는 좀 어렵다’ 이런 취지입니다.
◇ 정관용> 금융기관이 이런 공인인증서 비밀번호, 보안카드 번호 이런 것을 유출되지 못하도록 막았어야 된다, 이건가요?
◆ 김경환> 그런 내용도 일부 들어 있는데요. 실제로 소송 중간에 밝혀진 사실로는 해커가 실제로 동일한 컴퓨터에서 수분 만에 중국, 한국, 일본 등의 IP로 바꾸어 접속했음에도 불구하고 은행에서 이를 탐지하지 못했고요. 한 세 달 전에 해커가 접속을 해서 사고가 난 IP가 있었음에도 불구하고 은행이 그대로 방치해서 또 다른 피해자가 양산되는 경우가 있었습니다. 이런 사실에 대해서 은행이 좀 과실을 인정했고 그래서 20%의 배상을 인정했는데요. 개인적으로는 수적으로 좀 아쉬운 면이 있습니다만 어쨌든 이게 최초 승소판결이라는 점에서는 좀 의미가 있다고 생각합니다.
◇ 정관용> 방금 언급하셨던 그러니까 해커가 개인정보, 계좌번호, 비밀번호, 공인인증서 번호 같은 것을 빼냈다는 말이에요. 그걸 이용해서 금융기관에 정식으로 접속해서 돈을 인출할 것 아닙니까?
◆ 김경환> 네, 맞습니다.
◇ 정관용> 인출할 때 한 번은 중국에서, 한 번은 일본에서 이런 식으로 IP를 막 바꿨다, 이거죠?
◆ 김경환> 네, 그것도 수분 만에...
◇ 정관용> 몇 분 사이에?
◆ 김경환> 네. 그렇게 하면 통상적으로 IP 검색을 하게 되면 그게 물리적으로 불가능하니까 이게 좀 어떤 전자금융 사기 의도가 있다라고 해서 차단을 시킨 다음에 이용자한테 확인을 한 다음에 다시 IP를 열어준다든지 이런 조치가 있어야 되는데요. 이런 명백한 그 이상 징후에 대해서도 전혀 아무런 조치를 취하지 않았습니다.
◇ 정관용> 그런 이상거래 징후를 차단할 수 있는 시스템이 금융기관에 있기는 있었습니까?
◆ 김경환> 현재 그것만 전문적으로 처리하는 FDS라는 시스템을 도입하고 있는데요. 2013년 당시에는 그런 시스템이 도입되지 않았더라도 IP 분석이나 IP 통제로써 충분히 그 목적을 달성할 수 있었습니다.
◇ 정관용> 있었는데도 안 했다?
◆ 김경환> 네, 맞습니다.
◇ 정관용> 외국은 이런 경우는 어떻습니까?
◆ 김경환> 외국의 경우는 기본적으로 미국 같은 경우는 실제로 전자금융거래 사건이 발생하면 은행이 전적으로 책임을 부담하도록 하고 있고 이용자 같은 경우는 단순히 정해진 기간 안에 어떤 사고에 대해서 통제만 해 주면 전부 보상을 받도록 되어 있는데요. 실제 그렇게 또 적용되고 있고요. 그런데 우리나라 같은 경우는 보상이 거의 안 되고 있고 특히 보이스피싱 같은 경우는 전혀 보상이 안 되어 있고 파밍도 이번에 최초로 은행들이 계속 보상을 거부했기 때문에 소송에 들어간 거고 법원에서 20% 명령이 내려진 것입니다.
◇ 정관용> 그러니까 미국 같은 경우도 이런 파밍사기가 있기는 있습니까?
◆ 김경환> 네, 파밍사기 같은 경우는 미국은 우리보다 훨씬 전에 있었던 그런 사기 형태고요. 우리나라 같은 경우는 조금 시차를 두고 적용되는 것입니다.
◇ 정관용> 그러니까 미국에는 과거이기는 하지만 가짜 사이트를 만들어서 거기에 이용자가 접속해서 그들의 요구대로 이런저런 개인정보를 입력했어요. 그 정보를 빼간 해커가 돈을 인출해가더라도 그 액수 전액을 금융기관이 책임집니까?
◆ 김경환> 네, 법적으로 그렇게 되어 있고 실제로 그렇게 운영하고 있습니다.
◇ 정관용> 아... 그런 것을 금융기관이 차단할 수 있는 시스템이 있었나보죠?
◆ 김경환> 네, 그러니까 은행 입장에서는 책임을 져야 되기 때문에 보안에 좀더 투자를 하는 거고 그래서 좀 불편하더라도 안전하게 운영을 하고 있는데요. 우리나라 같은 경우는 그간에 은행이 전혀 책임을 거의 안 졌기 때문에 은행 입장에서는 불편함 또는 보안성보다는 편리함이나 수익성을 더 추구했던 것입니다.
◇ 정관용> 그러니까 보안을 강화할 필요를 못 느꼈던 거군요, 금융기관들이.
◆ 김경환> 네. 실질적으로 손해가 가지 않으니까 굳이 내가 보안을 해 가면서 할 필요가 있는가, 이런 좀 안일한 태도를 취했던 것입니다.
◇ 정관용> 반대로 미국 같은 경우는 전부 다 금융기관이 책임져야 되니까 조금만, 아주 조금만 이상한 거래라고 하더라도 즉각 차단하고 이렇게 하는 시스템들을 만들겠군요?
◆ 김경환> 네, 스스로 그렇게 만들어야만 현실적으로 손해가 발생하지 않기 때문에 그렇게 된 것입니다.
◇ 정관용> 그런데 이번에 그래서 ‘파밍에 대해서 금융기관에 책임이 있다’라는 중요한 판결을 얻어내기는 했습니다만 겨우 인정된 게 20%라고요?
◆ 김경환> 네, 20%인데요. 저 개인적으로도 좀 아쉬운 면이 있습니다만 20%도 쉽지 않았던 게 그간의 대부분의 소송, 거의 뭐 수백건의 소송에서 이용자, 피해자들이 졌기 때문에요. 저희가 소송 과정이 상대방인 은행에 대해서 다투는 게 아니라 실제로 그간 판결을 깨는 게 더 중요했거든요.
◇ 정관용> 그렇죠.
◆ 김경환> 그래서 그러한 판결을 깨고 그 판결에 배치되는 어떤 이용자한테 손해배상을 해 주라는 판결이 나왔기 때문에 그게 굉장히 힘들었었고...
◇ 정관용> 그동안 그 수백건 계속 패소했을 때와 이번에 결정적 차이는 뭐였습니까? 뭐 때문에 승소하게 된 건가요, 부분적으로 라도?
◆ 김경환> 일단 사안 자체가 파밍이라는 사안이었던 것이고요. 그리고 저희가 기존의 어떤 판결문을 답습하기보다는 새로운 법률을 많이 개발했고 그다음에 저희가 갖고 있는 보안 지식을 활용해서 어떤 보안의 허술한 점, 이런 점을 많이 부각시켰던 게 주요했던 것 같습니다.
◇ 정관용> ‘금융기관의 보안시스템이 우선 허술하다’ 아까 말씀하신 중국, 일본 이런 것을 아주 지적해내셨군요.
◆ 김경환> 네, 맞습니다.
◇ 정관용> 항소심 또 가야죠?
◆ 김경환> 네, 갈 것 같습니다.
◇ 정관용> 그렇게 되면 20%보다 좀더 올라갈 가능성도 있습니까?
◆ 김경환> 네, 저희는 1심에서는 은행들이 좀 로그 기록을 늦게 제출해서 저희가 분석이 늦어져서 보안의 허술한 점이 충분히 반영이 안 됐거든요. 그래서 항소심에서는 그 부분을 좀더 강화해서 저희 입장에서는 배상비를 더욱 올릴 수 있을 거라고 생각하고 있습니다.
◇ 정관용> 이게 이런 판결들이 쭉 쌓여서 금융기관의 보안을 강화시키는 그런 쪽으로 가는 게 맞습니까? 아니면 아예 법을 바꾸어야 됩니까?
◆ 김경환> 법적으로는 제가 봤을 때는 큰 하자는 없는데 법의 적용에서 너무 이용자들에게 엄격하게 적용하는 면이 있는데요.
◇ 정관용> 재판부가?
◆ 김경환> 그건 사회적 분위기라든지 재판부라든지 그건 여러 가지 원인이 있을 수가 있을 것입니다.
◇ 정관용> 물론 이용자들도 꼼꼼히 챙기고 조심해야 되지만 그동안 너무도 금융기관에 책임을 묻지 않았다, 이 점에서 아주 중요한 판결이군요.
◆ 김경환> 네, 맞습니다.
◇ 정관용> 말씀 잘 들었습니다.
◆ 김경환> 네, 감사합니다.
◇ 정관용> 법무법인 민후의 김경환 변호사였습니다.
▶시사자키 프로그램 바로가기