진 술 서

Transcription

1 진술서 사건 손해배상 ( 기 ) 원고 외 75 인 피고 은행주식회사외 14 인 진술인김기창 ( 金基昌 ) 주소서울종로구 ( 우편번호 : ) 진술인이력 1. 진술인은 1985 년서울대학교법과대학에서법학사학위를수여받고, 1986 년미국시카고로스쿨에서 LL.M. 학위를수여받은후, 1990 년부터 1994 년까지영국캠브리지대학교에서수학하여법학박사학위를취득한뒤, 1994 년부터 2002 년까지캠브리지대학교퀸즈칼리지, 셀윈칼리지와법과대학에서교수 (Lecturer) 로 8 년간근무하였고, 2003 년부터고려대학교법과대학에서민법, 전자금융거래법등의과목을강의하고있다. 2. 진술인은 1985 년제 27 회사법시험에합격하고, 사법연수원을수료 ( 제 19 기 ) 하였으며현재대한변호사협회에변호사로등록되어있다. 3. 진술인은 2006 년 5 월경부터오픈웹 ( 을운영하며, 웹표준, 암호및보안기술, 공인인증제도등과관련된기술및정부의규제에대하여지속적으로블로그를작성하여발표해왔으며, 현재는사단법인오픈넷 ( 의비상임이사로활동하고있다. 4. 진술인은이사건발생전부터, 이사건과는무관하게진술인자신의개인적용도로 ---- 은행, 은행, 은행의계좌를보유하고이용하고있다. 그러나진술인은이사건청구와는아무런이해관계가없고, 이사건피고은행들과의이해상충관계도없다. 1

2 진술요청사항 5. 진술인은다음사항에대하여진술하도록요청받았다 : i) 전자금융거래법제 2 조제 10 호에규정된 접근매체 의의미 ii) 공인인증서부정재발급이접근매체 위조 에해당하는지여부 iii) 전자금융거래법제 9 조및시행령제 8 조에규정된 이용자의중대한과실 iv) 이사건분쟁의전체적의미및간략한비교법적고찰 진술 (1) 접근매체 6. 접근매체 라는용어는미국전자자금이체법 (Electronic Fund Transfer Act) 등에서사용된 means of access 라는표현의한국어번역에서연유한것으로보인다. 그러나, 미국의해당법령에서는이용어를별도로정의하지아니하고고객이자신의계정 (account) 에접근하는데사용되는카드, 비밀번호등일체의수단 (... card, code, or other means of access ) 을모두지칭하는것임에반하여, 한국전자금융거래법제 2 조제 10 호는이와는전혀다르게접근매체를다음과같이매우제한적으로나열하고있다 : 접근매체 라함은전자금융거래에있어서거래지시를하거나이용자및거래내용의진실성과정확성을확보하기위하여사용되는다음각목의어느하나에해당하는수단또는정보를말한다. 가. 전자식카드및이에준하는전자적정보나. 전자서명법 제 2 조제 4 호의전자서명생성정보및같은조제 7 호의인증서다. 금융회사또는전자금융업자에등록된이용자번호라. 이용자의생체정보마. 가목또는나목의수단이나정보를사용하는데필요한비밀번호 7. 가 목의전자식카드는몇가지로나누어볼수있다. 첫째는국내신용카드등에흔히사 용되는자기 ( 磁氣 ) 테이프카드 (magnetic stripe card) 이다. 둘째는스마트카드라불리 우는것인데, IC 회로가내장되어있는카드이다. 셋째는국내에서교통카드등에사용되 2

3 는무접촉방식의 RFID 카드를예로들수있다. 이들카드는모두일정한데이터를저장하고, 거래가필요한시점에그데이터에접근하는단말기 ( 카드리더 ) 와의상호작용을통하여필요한거래가이루어지게된다고개략적으로설명할수있다. 8. 나 목의 전자서명생성정보 및 인증서 는이용자가전자서명을하는데사용되는데이터 ( 전자서명생성정보 ) 및그렇게생성된전자서명을검증하는데사용되는데이터 ( 인증서 ) 를말한다. 예를들면, 공인인증서및그것과쌍을이루는개인키가바로이것인데, 아래에서이를조금더자세히설명한다. 9. 흔히 공인인증서를발급받는다 라고말할때, 그것의정확한의미와실제로발급이이루어지는과정은다음과같다 i) 공인인증기관이지정하는등록대행기관 (Registration Agent; RA) 의면전에서대면확인등믿을만한방법으로신청자가자신의신원을확인받는다. 공인인증기관중시장점유율이가장큰업체인금융결제원은시중은행들을자신의등록대행기관으로지정하고있으므로시중은행에서인터넷뱅킹을신청할때은행직원이신청자의신원을직접확인하면이것이바로공인인증서발급의첫단계에서요구되는대면확인에해당된다. ii) 대면확인을거친신청자에게는온라인으로이루어지는인증서발급과정에서사용될임시접속코드 ( 임시비밀번호 ) 를등록대행기관이교부한다. 임시접속코드를교부받은신청자 ( 대면확인을거친신청자 ) 가등록대행기관 ( 은행, 증권사등 ) 이운영하는공인인증서발급용웹페이지 ( 흔히 공인인증센터 라고부르는페이지 ) 에접속하여자신이교부받은임시접속코드를입력하면, 그때부터공인인증서발급절차가다음과같이온라인상으로이루어진다. iii) 공인인증서발급에필요한프로그램을웹브라우저부가프로그램 ( 예를들어, ActiveX 콘트롤 ) 형태로등록대행기관이신청자에게내려주고, 신청자가이프로그램을자신의컴퓨터에설치한다. 공인인증기관의시설및장비등에관한규정 ( 행정안전부고시제 호 ) 은이프로그램을 가입자설비 또는 가입자소프트웨어 라부르고 3

4 있다. iv) 이프로그램은신청자에게고유한개인키와공개키한쌍 (key pair) 을신청자의컴퓨터에서생성하여이파일들을일단저장하고, 신청자의공개키를신청자의개인키로전자서명한인증서발급요청 (Certificate Signing Request; CSR) 파일을즉석에서만들어, 이것 (CSR) 을공인인증서버로전송한다. v) 공인인증기관은신청자가전송해온인증서발급요청파일에포함된신청자의전자서명을검증해보고오류가없으면인증서발급요청파일에포함된신청자의전자서명을삭제하고남은부분을공인인증기관이전자서명하여신청자의공인인증서파일을생성하고, 이파일을신청자에게전송한다. vi) 신청자가자신의컴퓨터에설치한가입자소프트웨어는신청자컴퓨터의저장장치에 NPKI 라는이름의폴더를만들고, 그하위에있는적절한곳에공인인증기관으로부터전달받은공인인증서파일을 signcert.der 이라는이름으로저장하고, 위 iv) 의단계에서생성해둔개인키는 signpri.key 라는이름으로저장한다. 공인인증서 또는 인증서 라는표현은, 다른특별한설명이없는한, 이렇게저장된두개의파일 ( 개인키와인증서 ) 을모두지칭하는것이다. 10. 공인인증서의 재발급 은인증서를분실한유저가기존의공인인증서를폐기함과동시에새로운공인인증서를발급받는것을말한다. 공인인증서재발급은공인인증서가현재자신의수중에없는자 ( 인증서를분실한정당한유저본인일수도있고, 공격자일수도있음 ) 가공인인증서를입수하게되는결과를낳는절차라는점을고려한다면, 매우큰공격가능성이있는단계임은분명하다. 공인인증서 발급 과정이아무리안전하게관리되더라도, 재발급 과정이허술하다면공격자는허술한재발급과정을공략하여타인의공인인증서를쉽게입수할수있게된다. 공인인증제도가안전하게유지되려면인증서 재발급 과정에서도최초발급에버금가는, 믿을만한본인확인절차가필요하다. 11. 그러나국내의현실은이와는다르게운영되고있다. 금융결제원, 코스콤 ( 주 ) 등공인인증기관들은유저의계좌번호, 계좌비밀번호, 보안카드번호 ( 또는 OTP 암호 ) 등이제대 4

5 로입력되기만하면어떠한대면확인도없이인터넷상에서공인인증서를즉시재발급해주고있다. 따라서누구든지, 그리고언제든지이러한정보만입수하면공인인증서는온라인상으로즉각재발급받아입수할수있으므로, 공인인증서는실제로는재발급에필요한정보 ( 계좌번호, 계좌비밀번호, 보안카드 /OTP 번호 ) 가제공하는수준의보안만을제공할뿐이고, 그이상의보안적가치가있다고보기는어렵다. 12. 최근미래창조과학부는전자서명법시행령을개정하여, 2014 년 6 월부터는공인인증서재발급과정에서의본인확인을보다강화하겠다고예고하고있다. 공인인증기관의등록대행기관역할을하는금융기관들은 2012 년 9 월부터공인인증서재발급과정에서의본인확인을일부강화하는조치를선별적으로취하고는있지만, 이사건발생시점에서는공인인증서재발급과정이상대적으로더욱허술하였던것으로평가할수있다. 13. 공인인증서재발급의 기술적 과정자체는최초발급과동일하다. 물론, 공인인증서의발급또는재발급을신청하는유저는인증서발급의기술적과정을소상히알필요는없고, 화면에나타나는안내에따라 확인, 계속 등의버튼을클릭하고, 인증서암호를정하는단계에서자신이원하는암호를입력하고, 마침 을클릭하게된다. 14. 공인인증서의발급또는재발급이이루어지고나면, 유저컴퓨터의저장장치 ( 하드디스크또는 USB 저장장치 ) 에는 NPKI 라는명칭의폴더가생성되고, 그하위에위치한유저의폴더안에는다음과같은두개의파일이저장되어있는것을확인할수있다. 15. 이두개의파일중, 유저의개인키파일 (signpri.key) 은공인인증기관이제작해주는것 이아니라, 인증서발급 / 재발급신청과정에서신청자가자신의컴퓨터에서직접생성한 5

6 것임을주목할필요가있다. 반면에, 유저의인증서파일 (signcert.der) 은유저가만드는것이아니라, 유저가공인인증기관에게보내온인증서발급요청 (CSR) 파일을이용하여공인인증기관이만들어서유저에게전달해준파일이다. 요컨대, 일반인들이 공인인증서 라고여기는것은실제로는유저가생성한개인키파일과공인인증기관이생성하여유저에게전달해준인증서파일을통털어지칭하는것이다. 전자금융거래법제 2 조제 10 호 나 목은이두개의파일이모두접근매체라는점을분명히하고있다. 전자서명생성정보는신청자의개인키파일 (signpri.key) 을말하고, 이것과쌍을이루는신청자의공개키를인증기관이전자서명한파일이바로인증서파일 (signcert.der) 이다. 16. 법제 2 조제 10 호 다 목에서말하는 이용자번호 가무엇인지분명하지는않으나, 각고객에게고유한 ID( 인터넷뱅킹 ID) 또는고객을특정할수있는중복됨이없는번호 ( 고객번호 ) 를뜻하는것으로보인다. 여기서말하는 번호 는아라비아숫자만으로이루어져있을필요는없고, 글자, 숫자, 부호등의조합으로구성될수있다고본다. 17. 라 목에언급된 생체정보 는지문정보, 홍체정보등을전자적데이터로변환하고이것을이용하여당사자확인절차를수행할경우에사용되는정보를말한다. 18. 마지막으로법제 2 조제 10 호 마 목에서말하는비밀번호 ( 가목또는나목의수단이나정보를사용하는데필요한비밀번호 ) 는신용카드, 직불카드, 현금인출카드등의비밀번호와공인인증서비밀번호 ( 개인키를암호화하는데사용한비밀번호 ) 만을지칭하는것이다. 이와는다른계좌이체비밀번호, 보안카드 ( 자물쇠카드 ) 에적힌숫자, OTP 생성기가그때그때표시하는비밀번호등은여기에해당되지않으므로이들정보는전자금융거래법제 2 조제 10 호에나열적으로정의된 접근매체 에는해당하지않는다. 19. 하지만, 입법론적으로는 접근매체 를이런식으로제한적으로열거하여정의해두는것이과연무슨도움이되는지는의문이다. 계정접근을어떤기술로통제할것인지는그때그때의기술진전상황에따라매우다르게구현될수있는것이므로, 접근매체 를현행규정처럼제한적으로나열하는것은현명하지못하다. 전자금융거래법이도입되는과정에서금융회사들은무과실책임의적용범위를가급적축소하기를원했고, 그러한금융 6

7 권의요구는접근매체를현행법에서처럼 매우제한적 으로나열하는자못이례적인결 과를낳은것으로짐작해볼수는있다. 하지만, 이러한입법론적쟁점에대한상세한논 의는본진술서의범위를넘어서는것이므로생략한다. (2) 공인인증서부정재발급이접근매체 위조 에해당하는지 20. 전자금융거래법제 9 조는민사상배상책임을규정하는조항이므로, 그조항에서말하는위조, 변조역시민사법적인맥락에서그의미를파악해야함은분명하다. 일반적으로 위조 라함은작성권한이없는자가타인명의의문서를함부로만들어내는행위를지칭하는것이다. 공인인증서의부정재발급이과연접근매체의위조에해당하는지는두가지로나누어살펴볼필요가있다. 21. 첫째, 인증서파일 (signcert.der) 자체는신청자가작성하는것이아니라, 공인인증기관이작성하는것이다. 비록신청자가타인행세를하면서그타인 ( 피해자 ) 명의인증서의재발급을신청한경우에도, 인증서파일자체는인증기관이작성권한을가지고만들어낸것이므로, 이것을두고 위조 라고단정짓기는어렵다고생각한다. 22. 둘째, 개인키파일 (signpri.key) 은인증기관이작성하는것이아니라, 신청자자신이작성하는것이다. 개인키파일은암호화에사용되는키 ( 특정한알고리즘에따라작성된난수열 ) 만으로이루어져있으므로 ( 오른쪽그림참조 ), 그파일자체에는그것이누구의개인키라는정보가포함되어있지않다. 그렇지만개인키는그에상응하는공개키와언제나쌍을이루어사용되는것이고, 해당공개키가누구의것인지 ( 누구의개인키와쌍을이루는공개키인지 ) 는인증서가인증하는것이므로, 개인키역시애초에누구의개인키로서생성된파일인지 7

8 가기술적으로특정된문서라는점은분명하다. 다시말하면, 개인키파일은그정체를가려낼수없거나, 누가작성하건상관없는파일이아니라, 오로지특정인에게귀속하는파일이며, 그정체 (identity) 가기술적으로명백히확인될수있는파일이다. 23. 공인인증서발급또는재발급과정에서원고의개인키파일을생성할정당할권한을가진자는원고자신또는그의적법한대리인에한할뿐, 공격자가원고의개인키를함부로생성할권한을가지는것은아니다. 따라서공격자가원고행세를하면서원고명의의인증서를재발급받았다면, 그과정에서공격자가함부로만들어낸원고의개인키 ( 전자서명생성정보 ) 는정당한권한없는자에의하여 유형위조 된접근매체에해당한다. 24. 요컨대, 공인인증서를 부정재발급 받는방법으로타인의인증서와개인키를공격자가입수할경우, 인증서자체는 무형위조 로생겨나지만, 개인키는공격자가작성권한없이함부로 유형위조 하여만들어내는것이다. 전자금융거래법제 9 조에서말하는 위조 를넓게해석하지않고, 유형위조 에만한정하더라도, 공인인증서의부정재발급은개인키파일의유형위조를필연적으로수반하고, 개인키파일은전자금융거래법제 2 조제 10 호 나 목에열거된접근매체이므로, 바로이접근매체가위조된경우임은분명하다. 따라서부정재발급된공인인증서를사용하여사고거래가이루어졌다면, 위조된접근매체 ( 개인키위조 ) 로인한손해가발생한것이고, 이손해는전자금융거래법제 9 조제 1 항제 1 호의요건을충족하므로금융회사가이를배상할책임이일단은있다고할것이다. (3) 이용자의중대한과실 25. 전자금융거래법제 9 조제 2 항은금융회사가면책될수있는경우를 ( 피해자가개인인지, 법인인지에따라 ) 두가지로나누어규정하고있다. 그중, 개인고객이피해자인경우에금융회사가면책을주장하기위하여입증해야할요건인 이용자의중대한과실 에대하여는다음사항들을고려할필요가있다. 가 에개정된시행령제 8 조가이사건에적용되는지여부 26. 전자금융거래법제 9 조제 3 항은이용자의고의나중대한과실을매우제한적으로파악 8

9 하여, 대통령령이정하는범위안에서전자금융거래에관한약관에기재된것에한한다 고규정하고있다. 이에따라종래전자금융거래법시행령제 8 조는고의나중대한과실에해당될수있는행위유형을다음두가지로만한정하고있었다 : 1. 이용자가접근매체를제 3 자에게대여하거나그사용을위임한경우또는양도나담보의목적으로제공한경우 ( 법제 18 조에따라선불전자지급수단이나전자화폐를양도하거나담보로제공한경우를제외한다 ) 2. 제 3 자가권한없이이용자의접근매체를이용하여전자금융거래를할수있음을알았거나쉽게알수있었음에도불구하고접근매체를누설하거나노출또는방치한경우 27. 그러나, 에시행령제 8 조는 ( 법제 9 조제 1 항제 3 호의신설을반영하기위하여 ) 다음과같이개정되어, 결과적으로이용자의고의나중대한과실의범위를상당히확장함으로써금융회사등이좀더쉽게면책될수있도록변경되었다 : 1. 이용자가접근매체를제 3 자에게대여하거나그사용을위임한경우또는양도나담보의목적으로제공한경우 ( 법제 18 조에따라선불전자지급수단이나전자화폐를양도하거나담보로제공한경우를제외한다 ) 2. 제 3 자가권한없이이용자의접근매체를이용하여전자금융거래를할수있음을알았거나쉽게알수있었음에도불구하고접근매체를누설하거나노출또는방치한경우 3. 금융회사또는전자금융업자가법제 6 조제 1 항에따른확인외에보안강화를위하여전자금융거래시요구하는추가적인보안조치를이용자가정당한사유없이거부하여법제 9 조제 1 항제 3 호에따른사고가발생한경우 4. 이용자가제 3 호에따른추가적인보안조치에사용되는매체 수단또는정보에대하여다음각목의어느하나에해당하는행위를하여법제 9 조제 1 항제 3 호에따른사고가발생한경우가. 누설 노출또는방치한행위나. 제 3 자에게대여하거나그사용을위임한행위또는양도나담보의목적으로제공한행위 28. 개정전의시행령제 8 조는오로지 접근매체 만을대상으로하고있었고, 계좌이체비밀번호, 보안카드 ( 자물쇠카드 ) 에적힌숫자조합, OTP 생성기가만들어내는비밀번호등은전자금융거래법상의 접근매체 는아니기때문에이런정보의노출, 누설은이용자의중대한과실여부판단에는아예고려될수없었다. 그러나 에개정된시행령제 8 조는접근매체뿐아니라 추가적인보안조치에사용되는매체 수단또는정보 ( 즉, 계좌이체비밀번호, 보안카드번호, OTP 생성기가만들어내는비밀번호등 ) 의 9

10 누설, 노출등도이용자의고의나중대한과실여부판단에고려할수있도록규정하고있다. 29. 그렇다면, 에개정된전자금융거래법시행령제 8 조가동조항개정전에이미발생한사고거래에대한금융회사의배상책임을면제하는용도로도적용될수있는지여부가문제된다. 우선, 전자금융거래법시행령부칙 ( 자 ) 제 1 조는 이영은 2013 년 11 월 23 일부터시행한다 고규정하고있으므로, 개정전에이미발생한사고거래및이용자의행위에대하여소급적용을시도하는것으로보이지는않는다. 행정처분의경우에는처분당시에시행되는개정법령을적용하여그에정한기준에따라처분이이루어지는것이일반적이라고볼여지가있겠지만 ( 대법원 선고 2008 두 9324 판결등참조 ), 민사관계를규율하는법규정의경우에는거래또는사고발생당시의법규정에따라청구권의존부와범위가이미확정되는경우가대부분이므로, 사후에법규정이개정되었다고해서개정된규정을소급적용할여지는없다. 해당시행령부칙자체도개정된조항을 전의사고거래에대해서까지 소급적용 하겠다는것이아니라, 2013 년 11 월 23 일부터적용하겠다는점을분명히하고있으므로, 그이전에발생한사고거래에대하여금융회사가부담하는배상책임을사후적으로면제할근거가된다고해석할여지는없다. 30. 또한, 시행령제 8 조제 3 호및제 4 호는전자금융거래법제 9 조제 1 항제 3 호의신설을반영하여개정된것임이규정상명백하다 (... 하여법제 9 조제 1 항제 3 호에따른사고가발생한경우 ). 신설된전자금융거래법제 9 조제 1 항제 3 호가소급적용 ( 개정전에발생한사고거래에까지적용 ) 되어금융회사의배상책임이사후적으로확장된다고볼여지가없는것과마찬가지로금융회사의면책을확대하는방향으로개정, 신설된동법시행령제 8 조제 3 호및제 4 호가소급적용된다고볼여지도없다. 만일이와달리해석하여, 금융회사의배상책임을확장하는취지로신설된법제 9 조제 1 항제 3 호는소급적용하지않는반면, 금융회사의면책을확대하는방향으로 에신설된시행령제 8 조제 3 호및제 4 호는이미발생하여완결된과거의사고거래에까지소급적용하여금융회사의배상책임을사후적으로면제한다면, 금융회사의이익만을편파적 10

11 으로옹호하게될뿐아니라, 헌법에규정된소급입법에의한재산권박탈금지원칙 ( 헌법제 13 조제 2 항 ) 에어긋날여지가크다고생각한다 ( 대법원 선고 2003 두 전원합의체판결참조 ). 31. 이상을모두고려할때, 이사건에적용될규정은 개정전의시행령제 8 조라고진술인은판단한다. 따라서 접근매체 가아닌정보 ( 즉, 추가적보안조치에사용되는계좌이체비밀번호, 보안카드에적힌번호, OTP 생성기가만들어내는숫자등 ) 의누설, 노출은 이용자의고의나중대한과실 여부를판단할때에는아예고려의대상이되어서는아니된다. 32. 전자금융거래법을원용하지아니하고, 민법상의손해배상청구가이루어진경우였다면, 이러한추가적정보의노출, 누설도법원이당연히고려할것이지만, 전자금융거래법상의배상책임의경우는이와는다르다. 본진술서는일반민법상의손해배상청구나일반민사법상의과실상계에관한것이아니라, 전자금융거래법제 9 조에특별히규정된배상책임과동법제 9 조제 3 항에특별히규정된면책요건과관련된진술인의견해만을담고있다. 나. 파밍 (Pharming) 피해자의행위가 접근매체 의누설, 노출, 방치에해당하는지여부 33. 파밍피해자들은공격자가동원하는교묘한기망수단에속아넘어가서, 예를들면, 다음과같은화면에서요구하는정보를모두입력하게된다 : 11

12 34. 피해자는이웹페이지가정당한금융회사의페이지라고오해하고있지만, 실제로이페이지는공격자가운영하는것이므로, 여기에피해자가입력하게되는정보는모두공격자에게고스란히 누설, 노출 된다. 이페이지 다음단계 에는보안카드에기재된모든숫자를빠짐없이입력하도록안내하는페이지가나타나고, 그단계에서도기망상태에서벗어나지못한피해자는자신이접속한웹사이트를여전히신뢰하고있으므로보안카드번호역시모두입력하게되고, 이렇게입력된정보역시공격자에게모두 누설, 노출 됨은물론이다. 35. 그러나, 피해자가이렇게입력하는정보가과연 접근매체 에해당하는지는보다면밀히검토할필요가있다. 앞서설명한바와같이, 계좌이체비밀번호, 계좌번호, 이름, 주민등록번호등은전자금융거래법상의 접근매체 가아니다. 그다음단계에서피해자가모두입력하게될보안카드번호역시전자금융거래법이정의하는 접근매체 는아니다. 12

13 36. 피해자가기망상태에서입력하게되는정보들중, 법령에규정된 접근매체 에해당하는것은 사용자아이디 뿐이다 ( 법제 2 조제 10 호 다 목에규정된 이용자번호 ). 37. 그러나, 사용자 ID 는이체거래에요구되는정보가아니다. 사용자 ID 와비밀번호로는계좌조회만가능할뿐이다. 사용자 ID 로는이체거래가불가능할뿐아니라, 사용자 ID 를전혀모르더라도피해자의공인인증서와보안카드번호만알고있으면이체거래를수행할수있도록국내의전자금융거래가설계되어있으므로, 사용자 ID 의노출, 누설은공격자가수행하는부당한이체거래및그로인한손해발생과는인과관계가없다. 38. 공격자가피해자의공인인증서를재발급받는과정에서도 사용자 ID 는아예필요가없거나, 최근들어인증서재발급절차가일부수정되어사용자 ID 입력이설사필요하더라도, 계좌번호와계좌비밀번호등의정보를알면해당금융회사의웹페이지에서 사용자 ID 조회 기능을사용하여공격자가스스로알아낼수있도록되어있다 ( 오른쪽그림은국민은행의경우를예시로든것임 ). 따라서기망상태에놓인피해자가자신의사용자 ID 를의도하지않게노출, 누설했다하더라도, 이것과공인인증서의부정재발급간에는법률상인정될만한인과관계는존재하지않는다. 39. 요컨대, 피해자가의도치않게노출, 누설하는 사용자 ID 는비록전자금융거래법상 접근매체 에해당하기는하지만, 사용자 ID 는공인인증서의부정재발급과도인과관계가없고, 공격자가수행하는이체거래와도인과관계가없으므로, 사용자 ID 를의도치않게 13

14 노출, 누설한피해자의행위를이유로금융회사가전자금융거래법상지게되는배상책임을면제또는감축하는것은타당하지않다. 다. 이용자의중대한과실 의해석및적용 40. 전자금융거래법제 9 조제 3 항에규정된 이용자의 중대한과실 의상세한의미를설명하는우리대법원판례는아직존재하지않는다. 1 그러나민법제 756 조에규정된사용자책임과관련된사건들에서우리대법원은 피해자의중대한과실 을이유로사용자의배상책임을면제하여결국피해자가배상받을수없게되는법리는어떤경우에적용될수있는지에대하여해석상지침을제공하고있다. 전자금융거래법제 9 조제 3 항역시, 사용자책임이예외적으로면제되는경우와유사하게, 비록자신이직접저지른행위는아니지만배상책임을지는자 ( 금융회사 ) 가배상책임을예외적으로감경또는면제받는요건으로서 이용자의 중대한과실 을규정하고있고, 이때이용자는바로피해자를말하는것이다. 따라서전자금융거래법제 9 조제 3 항에규정된 이용자의 중대한과실 을해석, 적용함에있어서는사용자책임의면제요건으로서 피해자의중대한과실 에대하여대법원이일관되게판시해온내용을참고할필요가있다. 41. 대법원 선고 2010 다 판결은 중대한과실이라함은, 거래의상대방이조금만주의를기울였더라면피용자의행위가그직무권한내에서적법하게행하여진것이아니라는사정을알수있었음에도, 만연히이를직무권한내의행위라고믿음으로써일반인에게요구되는주의의무에현저히위반하는것으로거의고의에가까운정도의주의를결여하고, 공평의관점에서상대방을구태여보호할필요가없다고봄이상당하다고인정되는상태를말한다 고판시하고있다 ( 밑줄은본진술인이추가함 ) 선고된 2003 다 판결에서도대법원은 이사건회원권매매계약이대단히이례적이고도이상한형태의계약이라는점을잘알고있었음에도불구하고, 비자금조성이라는불법적행위에편승하여이사건회원권의시세차익을노리려는욕심에서별다른주의를기울이지않은채소외인과이사건계약을체결하였다고보이므 1 본진술서초안이작성된이후에진술인에게제시된 2013 다 판결에대해서는진술서끝부분에서간략 히검토한다. 14

15 로, 원고들이조금만주의를기울였더라면소외인의이사건사기행각을알수있었음에도만연히이를직무권한내의행위라고믿음으로써일반인에게요구되는주의의무에현저히위반하였다고보아야할것이고, 공평의관점에서보더라도비자금조성이라는불법적행위에편승하여시세차익을노린원고들을구태여보호할필요가없다고봄이상당 할경우에피해자의중대한과실을인정하고사용자의배상책임을면제하고있다 ( 밑줄은본진술인이추가함 ). 43. 이러한대법원판시사항에서거듭드러나는 중대한과실 의핵심적요소들은다음과같다 : i) 거의고의에가까운정도로주의의무를결여한경우 ii) 가해자의행위에편승하여경제적이득을취하려는피해자의욕심이작용한경우 iii) 공평의관점에서종합적으로비교검토할때구태여피해자를보호할필요가없다고판단될경우 44. 피해자의중대한과실 을해석, 적용함에있어서우리대법원이제시하는이러한핵심적요소또는징표들이이사건피해자들에게도발견된다면, 이들의행위는전자금융거래법제 9 조제 3 항이규정하는 이용자의 중대한과실 에해당될여지가많을것이다. 따라서, 보이스피싱 / 파밍피해자가 (1) 실제로접근매체를노출, 누설하였고 (2) 그렇게노출, 누설된접근매체가사고거래발생과인과관계가있다면, (3) 법원은다음과같은사정들을검토하여 중대한과실 에해당하는지여부를판단해야할것이다. ( 이용자가 접근매체 를노출, 누설하였다고볼수없다거나, 해당접근매체의노출, 누설이사고발생과 인과관계 가없을경우에는전자금융거래법제 9 조에따른은행의면책을아예인정할수없기때문에이용자의중대한과실여부를고려할여지도없다.) 첫째, 고의에가까운정도로주의의무를결여했다고할수있는지 45. 피싱 / 파밍피해자들의경우, 공격자의기망수단에속아넘어간나머지공격자가운영하는웹사이트에접속하고, 해당웹사이트가지시하는대로여러항목의정보를열심히입력하게된다. 이과정중에조금이라도의심 ( 혹시내가속은것이아닐까?) 이생겨나는 15

16 이용자들은더이상진행하지않는것이보통이다. 끝까지모든정보를고분고분입력하는피해자들은 기망상태 가계속유지되었기때문에해당웹사이트의요구를모조리따르게되는것이고, 이러한피해자의심리상태를 고의 와동일시할수있다거나, 고의 에가깝다고보기는어렵다. 고의 와 기망상태 는양립불가능하다. 둘째, 경제적이득을취하려는욕심이작용했다고할수있는지 46. 사용자책임에관한사건에서우리대법원이피해자에게중대한과실이있었다고인정한 2010 다 판결의경우, 피해자는정상이율보다훨씬높은이율의이자를지급받으려는 욕심 에추동되어현저히주의의무를결여한채로함부로행동한경우였고 ( 은행지점장에게 4 억 8 천만원을맡겨운용하게하고월 3%-4% 의이례적고율의이자를받은경우 ), 2003 다 판결의경우, 피해자들은소외인이회사의불법비자금조성을위해서골프장회원권을시세보다훨씬저렴하게판매한다고하여소외인개인계좌로거액을직접송금하였고, 이러한피해자들의행위는비자금조성이라는불법적행위에가담하면서까지골프장회원권시세차익을챙겨보겠다는 욕심 에추동되어현저히주의의무를결여한행위를함부로한경우였다는점을고려하여대법원은피해자에게중대한과실이있었다고판단하였다. 47. 그러나, 보이스피싱 / 파밍피해자들의행동은이와는완연히다른동기와심리상태로이루어지는것이다. 계좌번호, 보안카드번호등정보를모두입력해주면무이자대출을특별히받게해주겠다거나, 비정상적으로높은예금이자를제공해주겠다는등의꾐에넘어가서해당정보를모두입력해줬다면, 재산적이득을챙기려는 욕심 에추동되어현저히주의를결여하였다고평가할여지가있겠지만, 피싱 / 파밍피해자들은그런욕심에추동되어행동하는것이아니다. 피싱 / 파밍피해자들은 보안강화를위하여은행이요구하는정당한조치를당연히취해야할의무가있다 고믿고, 그러한의무를다하겠다는심정으로행동 ( 웹사이트가요구하는정보를입력 ) 하는것이지, 그행동을통하여자신이무슨경제적이득을취하겠다는 욕심 이작용한경우가아니다. 피싱 / 파밍피해자의심리상태는 큰일났다 는낭패감과패닉 (panic) 으로촉발된황망함 ( 慌忙 : 마음이급하고당황하여어리둥절하거나허둥지둥하는상태 ) 인것이지, 탐욕 (greed) 에추동되 16

17 어고의에가까울정도로주의의무를현저히결여한경우라고판단할근거는없다. 48. 더욱이, 피싱 / 파밍피해자가수행하는행위자체도불법적이거나, 적법성이의문시되는행위가아니라, 은행이지시하는행위일뿐아니라반드시준수해야할정당한행위 ( 보안강화행위 ) 를한다는의무감에서그행위를하는것이므로 ( 물론, 이러한인식은기망상태로인하여그릇형성된것이지만 ), 욕심에눈이멀어적법성이의문시되거나떳떳하지못한행위인줄알면서도함부로편승하는상황과는성격이다르다. 셋째, 공평의관점에서피해자를보호할필요가없다고할수있는지 49. 보이스피싱 / 파밍피해자를보호할필요가없다고할수있는지를 공평의관점에서 판단하기위해서는금융회사의행위와피해자의행위를비교형량할필요가있다. 예를들어, (a) 이용자가공격자의속임수에속아넘어가기쉽도록금융회사가평소에기여한바크다거나, (b) 공격자가공인인증서를쉽게재발급받아입수할수있도록공인인증서재발급과정을허술하게운영해온책임이금융회사에게있다거나, (c) 피싱 / 파밍공격으로이루어지는이체거래라는점이정황상매우뚜렷하고, 사고거래일가능성이심각히높은거래라는점을뻔히알면서도그러한이체거래를은행이고의로허용하였다면, 그러한금융회사를두둔하고감싸주는한편피해자는보호할필요가없다는결론은 공평의관점 에서도저히지지되기어려울것이다. 이하에서이세가지논점을간략히살펴본다. (a) 이용자의행태및이용습관과금융회사의책임 50. 금융회사들은지난 10 여년동안이용자들에게다음과같이안내하고지시해왔다 : 보안경고를무시하라 웹사이트에적힌내용을믿으라 반드시 예 하라 그외에도웹사이트가지시하는내용 ( 브라우저종료, 컴퓨터재시작등 ) 은뭐든지시키는대로하라. 51. 예를들어, 국내의금융거래이용자는아래예로든것과유사한보안경고창을여러차례접하게된다. 이용자의화면에이런경고창이나타나면그것이무슨의미인지모르더 17

18 라도반드시 허용, 설치, 예 (Yes), OK, 계속, 진행 등을선택해야하며, 절대로컴퓨터화면에나타나는지시를 거부 하거나, 취소, 중단, 아니요 (No) 를선택해서는안된다고금융회사가이용자들에게반복해서지시하고, 교육하고, 사실상강요해왔다. 52. 보안경고창 이무슨의미인지, 얼마나위험한것인지를이용자가이해할수있는수준으로설명하거나, 이용자의주의를환기하는노력을하기는커녕, 아래그림에서보듯이, 금융회사는이용자들이보안경고창을습관적으로무시하도록안내하고 반드시예를선택하셔야합니다 는절대복종의메세지를반복하여주입해왔다. 53. 이런위험한지시를금융회사가이용자들에게오랫동안무수히반복해두면, 이용자들 18

19 은공격사이트가지시하는내용도절대복종하게될가능성이커진다. 더욱이, ( 외국과는달리 ) 국내금융회사들은웹서버아이덴티티 (identity) 를확인하는것이중요하다는점을그동안이용자들에게안내한바가없다. 오랫동안금융회사스스로가서버확인이아예불가능한 http 접속기능만을제공해왔고 ( 이경우, 웹브라우저주소창에는비록 이라고표시되어도, 과연 에실제로접속해있는지아니면공격자가그사이트행세를하면서중간에끼어들어있는지를이용자가확인할방법이전혀없다 ), 이런위험하기짝이없는무모한접속상황 ( 웹서버아이덴티티를전혀확인할수없는상황 ) 에서이용자들이무조건웹사이트를믿고그사이트가주는추가프로그램을반드시설치하도록했으며, 그과정에서이용자는웹사이트가지시하는내용은아무리위험하더라도 ( 실제로그행위가자신의 컴퓨터를변경할수있다 거나, 컴퓨터에해를가할수있다 는경고가뜨더라도 ) 하나도빠짐없이모두따르도록끊임없이반복해서안내받아왔다. 54. 최근에와서야일부금융회사들이서버인증접속 (https 접속 ) 기능을비로소제공하면서, 웹사이트주소를확인하고접속프로토콜이 https 인지를확인하라는안내를고객들에게하기시작하였지만, 아직도대다수이용자들에게는그중요성에대한인식이확산되지도않았고, 국내이용자들대부분은웹서버아이덴티티를전혀확인할수없는 http 접속상태에서도망설임없이비밀번호등민감한정보를함부로입력하는것을대수롭지않게생각하고있다. 이런불행한상황은전적으로금융회사에게책임이있는것이지, 이용자의잘못이라고할수는없다. 55. 그동안웹사이트정체를확인할수있는기술적수단 (https 접속 ) 도제공하지않으면서 일단웹사이트를무조건믿고, 우리가시키는대로절대복종하라 는위험한안내를반복해온금융회사가, 이제와서이용자들이웹사이트아이덴티티를꼼꼼히확인해보지않고그사이트의지시에복종했다는이유로 중대한과실 이있다고주장하는것은형평의견지에서허용되기어렵다고볼여지가많다. 금융회사자신이이용자들의행태를위험하게만들어놓고선, 이용자들이금융회사가지금껏반복지시한대로위험하게행위했다고비난하는격이되기때문이다. 19

20 (b) 공인인증서재발급과정의허술함 56. 피싱 / 파밍공격은공인인증서재발급과정이허술하게관리되고있기때문에이루어지는것이다. 온라인상에서몇가지정보만입력하면대면확인없이도공인인증서가즉시 재발급 되도록운영할경우, 공인인증서는보안수단으로서의기술적가치를거의대부분잃게된다. 재발급과정은최초발급과동일한수준으로엄격하게유지하고관리해야공인인증서의보안가치가유지될수있다는점을공인인증기관은적어도당위로서인식하고는있다. 하지만, 금융회사의입장에서는공인인증서를분실하거나, 의도하지않게삭제하거나, 인증서암호를기억하지못하게되어기존의인증서를폐기하고재발급받아야하는고객이적지않고, 이들을일일이다시대면확인하기가 귀찮다 는이유로재발급과정을가급적수월하게유지하기를원한다. 57. 이처럼인증서발급 / 재발급업무를관리할책임을지는인증기관과금융거래서비스를제공하는금융회사는서로그목표도다르고, 성향도다르고, 이해관계도다른것이정상이다. 그뿐아니라, 인증기관은원래거래의일방당사자로부터독립적인제 3 자적지위를유지해야한다. 그래야거래일방의이해관계나편익을감안하여, 인증서의보안가치를떨어뜨리는행위를하지않게되기때문이다. 공인인증제도의근거법인전자서명법시행령에도이점은다음과같이규정되어있다 : 제 4 조 ( 인증업무의독립성 ) 공인인증기관은인증업무를안전하고신뢰성있게수행하기위하여자신이발급한공인인증서를이용하는가입자와의관계에있어서독립성을유지하여야한다. 58. 그러나, 지금껏국내의금융회사들은인증제도신뢰성의근본전제를이루는이러한대원칙을무시해왔다. 은행, 보험거래용공인인증서발급을독점하는인증업체인금융결제원은금융회사들이설립한업체일뿐아니라, 이업체는아예은행을등록대행기관 (RA) 으로지정해서인증서발급, 재발급업무를은행들에게일임해왔다. 그결과은행들은그자신이금융거래의일방당사자이면서도등록대행기관 (= 공인인증기관의대리인 ) 의지위에놓이게되어공인인증서재발급과정을 ( 오로지은행의편의만을고려하여 ) 쉽게유지해왔고, 피싱 / 파밍공격은바로이렇게허술하게유지되는공인인증서재발급 20

21 과정을이용하여창궐하게되는것이다. 59. 은행들이오로지자신의편익을위하여인증서재발급과정을쉽게유지해놓고서는, 그결과로생겨나는피싱 / 파밍피해자들에게 중대한과실 이있다고주장하는것은공평의견지에서납득하기는어렵다. 공인인증서재발급과정을최초발급과대등한수준으로안전하게관리했다면, 피싱 / 파밍공격은성공하기매우어려웠을것이다. 전자서명법시행령제 4 조를어겨가면서까지인증업무의독립성을훼손하고, 자신들이설립한인증업체금결원이자신들을등록대행기관 (RA) 으로지정하게하여공인인증서발급 / 재발급과정을자신들이장악하게됨을기화로공인인증서재발급과정을 ( 자신의편의를고려하여 ) 허술하게해둠으로써공인인증서의보안기술적가치를거의파괴한은행이야말로고의에가까운중대한과실이있는것이고, 피싱 / 파밍피해자의잘못은여기에비할바가아니다. (c) 공격거래임을거의정확히알면서도이체를수행한은행의책임 60. 피싱 / 파밍공격은사실은행이원하기만하면, 거의대부분방지되고차단될수있다. 그이유는공격기법과패턴이이미알려져있기때문이다. 공격자들은대부분중국에위치하며, 중국에서 VPN 네트워크에접속하여마치한국내에서접속하는것처럼보이도록시도하고, 이체되는자금은신용불량자또는노숙자명의로개설된이른바대포통장 ( 타인의명의를도용또는차용하여개설한계좌 ) 으로입금된다. ** 은행이일부공개한온라인뱅킹거래의로그 (log) 를예로들어이점을간단히설명한다. 61. 이표는 2011 년 11 월 2 일부터 11 월 19 일까지피해자 (- - -) 의이름으로이루어진은 행거래에대하여 ** 은행이알고있던내용을보여주는것이다. 11 월 2 일부터 11 월 14 21

22 일까지이루어진거래는서울에위치한 IP 주소 (59.**.**.113) 에서이루어졌고, 이용 자가네트워크접속에사용하는하드웨어의고유번호 (MAC address) 는 B- BC-**-37 이었고, 이이용자는 VPN 망을사용하지도않았다 (VPN 망은공격자나범법 자들이자신의 IP 주소를숨기고다른 IP 주소에서접속하는듯한외관을만들어내기위 하여흔히동원되는기술이다 ). ** 은행스스로도이표에나타나는 11 월 2 일부터 14 일까지의거래는 정상 이라고평가하고있었고, 실제로도이기간중의거래는 이 용자가수행한정상적거래였다. 62. 그러나, 11 월 19 일에이루어진 3 건의거래는중국샨동성 ( 山東省 ) 지난시 ( 济南市 ) 에 위치한 IP 주소 ( ) 에서네트워크에접속한어떤자가 VPN 망을이용해서 한국서울에위치한 IP 주소 ( ) 에서 ** 은행에접속하는것처럼가장 하려하였으나, ** 은행은이자가 VPN 망을이용하여이런행위를하고있음을이미훤 히알고있었고, 그자가네트워크접속에사용한하드웨어고유번호 ( ) 역시실제로는존재하지않는 가짜번호 라는점도즉시파악가능한것이므로, ** 은행스스로도이런점을종합하여이거래는 심각 한위험이있는거래라고인식하고 있었다. 그러면서도 ** 은행은이들거래를모두허용하였는데, 이세건의거래는실제 로 이용자가한것이아니라, 보이스피싱공격자가수행한거래였다. 63. 국내금융회사들은이용자컴퓨터에여러프로그램을설치하고, 이런프로그램들은이 용자가 VPN 망을이용하는지, 이용자네트워크장비 ( 이더넷카드또는와이파이카드 ) 의하드웨어고유번호 (MAC address) 가무엇인지, 이용자가사용하는컴퓨터가위치 한집안또는사무실내부의사설 IP 주소가무엇인지, 이용자컴퓨터와인터넷이연결되 는지점의웹 IP 주소가무엇인지등에관한정보 ( 뿐아니라이용자의소프트웨어환경과 관련된여러정보 ) 를모두수집하고있다. 현재벌어지고있는보이스피싱 / 파밍공격은 이정도의자료와정보만확보되면은행이거의대부분실시간으로정확하게가려낼수 있다. 위자료에서도보이스피싱공격자가수행한 3 건의거래는 ** 은행스스로도 심 각 한위험이있는거래라고정확하게판단하였음을알수있고, 이러한분석이나판단 이그리대단한기술이나비용또는시간을요하는것도아니다 ( 자동으로걸러내는것이 22

23 충분히가능하다 ). 64. 이처럼, 사고거래일가능성이 심각 하게높은거래라는점을명백히알면서도그러한거래에대하여어떠한별도확인과정도없이무작정이체거래를수행하는은행이야말로 고의에가까운정도 로주의의무를 현저히 결여했다고평가받아마땅하다. 이러한은행을보호하고감싸주기위하여은행의배상책임을면제해주는한편, 피해자에게책임을물어야한다는주장은 공평의견지에서 도저히납득하기어려울것이다. 심각 한위험거래라는점을뻔히알고도이를함부로허용한은행의행위는고객과의예금계약관계에서은행이고객에게부담하는계약상의채무 ( 주의의무 ) 를명백하고노골적으로어긴것으로평가될여지도있다. (4) 전자금융거래법상무과실책임의정책적이유및비교법적고찰 65. 전자금융거래법제 9 조는금융회사의배상책임이예외적으로감경 / 면제될수있는경우를아래와같이두가지로나누어규정하고있다 : i) 개인이용자가피해를입은경우에는해당이용자 ( 즉, 피해자 ) 에게고의나중대한과실이있었음을금융회사가입증하면, 금융회사가예외적으로면책될여지가있는한편, 피해자의고의나중대한과실을금융회사가입증하지못하면비록금융회사가아무리잘못이없더라도배상책임을면하지못하도록하고 ( 무과실책임 ), ii) 법인이용자 ( 소기업을제외한기업고객 ) 에게피해가발생한경우에는금융회사가사고방지에필요한보안절차를수립하고합리적주의의무를다했음을스스로입증하면해당피해자 ( 기업고객 ) 에게아무리잘못이없었다하더라도금융회사가면책될수있도록규정되어있다. 즉, 기업고객과의관계에서는과실책임주의가지배하되, 입증의부담이금융회사에게로전환되어있을뿐이다 ( 피해를입은기업고객이금융회사의과실을입증해야하는것이아니라, 금융회사가자신의무과실을입증하도록함 ). 66. 이렇게개인고객과기업고객을나누어, 개인고객의경우에는금융회사에게무과실책임을지우는한편, 기업고객의경우에는과실책임주의에입각하여금융회사와기업고객간에적절한책임분담을규정하고있는현행전자금융거래법제 9 조의입장은미국법 23

24 의입장과대체로유사하다. 미국법의경우에도, i) Electronic Fund Transfer Act (EFTA; 15 U.S.C. 1693) 는 주로개인, 가족, 가구의용도에사용될목적으로개설된 (established primarily for personal, family, or household purposes) 계좌 와관련된전자자금이체사고에대하여소비자에게보호를제공한다. 2 EFTA 는피해자 ( 개인고객 ) 가카드, 비밀번호, OTP 등계정접근수단의분실도난을인지한날로부터이틀안에신고할경우, 피해자의과실여부를아예묻지않고금융회사에게거의무조건적인배상책임을지우고있다 ( 단, 50 달러는피해자부담, 나머지사고액전액은금융회사부담 ). 고객이카드등계정접근수단을분실하지않았음에도카드정보등이다른경로로유출되어이러한정보를이용하여사고거래가이루어진경우에는사고거래가표시된거래명세서가피해자에게배달된날로부터 60 일안에신고할경우 50 달러조차부담하지않아도된다 ( 고객부담 0 달러 ). 3 피해를입은개인고객에게 중대한과실 이있었는지여부는아예쟁점이되지아니한다. 개인고객의과실또는중대한과실이있었는지여부를묻지않고배상하도록규정되어있기때문이다. ii) UCC 4A (Fund Transfer ) 는 EFTA 가적용되지아니하는분야에서의온라인자금이체사고의책임을규정하는것이다 ( 4A-108; Exclusion of Consumer Transactions governed by Federal Law). 4 요컨대, 기업고객이전자자금이체사고로피해를입었을경우에금융회사의배상책임은 UCC 4A 편에따라규율되고, 개인고객이피해자일경우에는 EFTA 에따라서규율된다. UCC 4A202(b) 는금융회사가자신의보안절차가 무단이체방지를위한상업적으로합리적인수준의보안절차 (commercially reasonable method of providing security against unauthorized payment 2 EFTA, 903(2) (the term "account" means a demand deposit, savings deposit, or other asset account..., established primarily for personal, family, or household purposes,...) 참조. 3 간략한설명은 참조. 24

25 orders) 라는점을입증하면금융회사는면책되도록 ( 기업고객이피해를감수하도록 ) 규정하고있다. 67. 한국법과미국법의이러한 2 원적 ( 개인고객과기업고객을달리취급하는 ) 배상책임규정체제는타당한정책적이유에근거하고있다고생각한다. 개인고객은보안기술을잘이해할수도없고, 보안기술에투자하기를기대할수도없다. 특히개인고객은금융회사가제공하는거래솔루션및보안솔루션에전적으로의존하는수밖에없고, 금융회사가지시하는대로행동할수밖에없으므로, 사고거래의책임을개인고객에게지우는것은합리적이지못하다. 반면에기업고객은여러명의경리사원이해당기업의계정에접근할권한을가지는것이보통이고, 이들경리사원의관리는해당기업에게책임을지우는것이옳을뿐아니라, 기업자신의보안조치는해당기업이제대로구축하고관리하고투자하도록하는것이옳다. 사고거래의책임을금융회사와기업고객간에적절히분담하도록해야기업고객들이제각각보안전문가도고용하고, 사내전산망보안에도투자할인센티브가생기게된다. 68. 전자금융사고거래책임을개인고객에게지우겠다는발상은, 진술인이조사한바로는, 어느나라도채택하지않는다. 거래솔루션이나보안기술을개인고객이선택한것도아니고, 사고거래의책임을기업고객뿐아니라, 개인고객들에게까지지우게되면은행은보안에투자할이유가없다. 69. 매년수천명의피해자를 양산 하는보안기술은개선또는대체되어야할낙후된기술이다. 만일법원이수천명의개인고객들이모두 고의 에가까울정도로 현저하게 주의의무를결여했다고평가하면서은행의배상책임을면제하고개인고객들이모두피해를감수하도록강요할경우, 낙후된보안기술로인한무지한피해자는더욱오랜기간동안, 더욱많이생기게될우려가있다. 대법원 선고 2013 다 판결 에대법원은전자금융거래법제 9 조제 2 항에서정한 이용자의중대한과실 의의미를부연설명하는판결을선고한바있다. 해당판시사항은다음과같다 : 25

26 고의또는중대한과실 이있는지여부는접근매체의위조등금융사고가일어난구체적인경위, 그위조등수법의내용및그수법에대한일반인의인식정도, 금융거래이용자의직업및금융거래이용경력기타제반사정을고려하여판단할것이다. 71. 이러한판시사항자체는본진술서에서진술인이피력한견해와상충하는것이아니라합치하는것이다. 예를들어, i) 금융사고가일어난구체적인경위 를정확히이해하기위해서는공인인증서재발급이기술적으로어떻게이루어지는지를이해해야하며, 재발급과정에서피해자의개인키가공격자에의해서위조 ( 유형위조 ) 된다는점을진술인은설명하였다. 그리고은행은공격거래라는점을내부적으로는거의정확히파악하고있으면서도 ( 심각 한위험거래라는점을알면서도 ) 별다른추가확인절차도없이이체를수행하기때문에사고거래가일어나게된다는점도진술인은설명하였다. ii) 위조등수법의내용 과관련해서는공인인증서를공격자가부정재발급받는과정에서피해자개인키의위조가이루어진다는점을진술인은설명하였고, 이러한위조수법이동원되는이유는공인인증서가온라인상으로쉽게 재발급 되도록허술하게관리되고있고, 이렇게허술하게관리하는주체는바로은행이라는점, 그리고거래의일방당사자인은행이공인인증기관의대리인 ( 등록대행기관 ) 지위를겸하는것은공인인증제도의근거법령인전자서명법및그시행령에어긋나는것으로서구조적인위험을안고있으며, 법령을어겨가면서까지이러한위험을초래한자는은행들스스로라는점도진술인은설명하였다. iii) 그수법에대한일반인의인식정도 와관련해서진술인은국내금융회사들이보안의기본상식에반하는방법으로일반인들에게 반드시예하라, 웹사이트의지시를믿고절대복종하라 는지시와교육을십수년간반복해왔고, 웹사이트의아이덴티티 (identity) 를확인할아무런기술적수단도일반인들에게는제공한적이 ( 최근한두해전까지는 ) 없었다는점을설명하였다. 보이스피싱 / 파밍등공격에대하여일반인들이가지게되는인식정도는은행이어떤안내와계몽을하는지에달려있다. 보안카드번호전체를웹사이트에서입력해서는안된다는대단히중요한안내를은행들이하기 26

27 시작한시점은매우최근이고, 이사건피해가발생할시점에는은행은그러한안내를 일반인 들이인식할수있을만한방법으로한바가없다. iv) 기타제반사정 을고려함에있어서는 공평의관점에서피해자를보호할필요가없다고볼수있는지 여부를판단해야하고, 이점에대해서도진술인은간단히설명하였고, 전자금융거래법상의배상책임제도의정책적이유를비교법적으로고찰하는것도바로이러한제반사정에대한고려의일부를이루는것이라고진술인은생각한다. 72. 대법원판례의경우, 법리해석의지침을이루는부분 ( 위인용된부분 ) 은매우큰설득력과참고가치가있는자료임은분명하지만, 해당사건의구체적사실관계에대한결론자체는후속사건을구속하는것도아니고, 그사건의판단과정에서는미처고려되지못하였던여러추가적사정이후속사건에서는제대로제시되고검토될경우, 유사한후속사건에서도결론은달라질여지가있고, 이것이대법원판례에저촉되는것도아니라고진술인은생각한다. 결론 73. 전자금융거래법제 2 조제 10 호는접근매체를매우제한적으로나열하는방식으로정의하고있다. 일반적으로 공인인증서 라고부르는것은전자서명에사용되는개인키 ( 전자서명생성정보 ) 파일과전자서명을검증하는데사용되는공개키파일을인증기관이서명한파일 ( 인증서 ) 를모두지칭하는것이다. 이두개의전자파일은모두전자금융거래법상의 접근매체 에해당한다. 74. 공격자가타인행세를하면서공인인증서를부당한방법으로재발급받을경우, 인증서파일자체는인증기관이작성, 교부해주는것이므로 위조 된접근매체라고하기는어렵다. 그러나, 개인키파일은공격자가작성권한없이함부로 위조 하여만들어내는것이다. 부당하게재발급받은피해자명의의인증서및개인키를사용하여공격자가수행하는거래는위조된접근매체 ( 개인키 ) 를사용한거래이고, 그로인한손해는전자금융거래법제 9 조에따라금융회사가배상할책임이있다. 75. 개인고객이사고거래의피해자일경우, 금융회사는그개인이용자에게 고의나중대 27

28 한과실 이있었음을입증하면배상책임을감경받을수있는데, 이때 중대한과실 의해석, 적용에대한진술인의견해는다음과같다. i) 중대한과실은전자금융거래법시행령제 8 조 ( 개정전의규정 ) 에나열된행위유형에한하기때문에, 접근매체 의노출, 누설, 방치등만이고려되어야한다. 계좌번호, 이체비밀번호, 보안카드에적힌숫자, 주민등록번호등은전자금융거래법상 접근매체 가아니므로, 이들정보의노출, 누설, 방치등을이유로전자금융거래법상의 중대한과실 을인정할수는없다. ii) 이용자번호 ( 인터넷뱅킹 ID; 사용자 ID; user id) 는 접근매체 이기는하지만, 이용자번호의노출, 누설은이체거래와도인과관계가없고, 공인인증서재발급과도인과관계가없으므로, 이용자번호의노출, 누설을이유로피해자가배상받지못하도록하는것은합리적이지못하다. iii) 우리대법원은 (1) 거의고의에가까운정도로주의의무를결여한경우 (2) 가해자의행위에편승하여경제적이득을취하려는피해자의욕심이작용한경우 (3) 공평의관점에서종합적으로비교검토할때구태여피해자를보호할필요가없다고판단될경우에 피해자의중대한과실 을이유로배상책임을면제하고있는데, 피싱 / 파밍피해자들의경우에는이들세가지요소가충족된다고보기는어렵다. 76. 전자금융거래법제 9 조에규정된금융회사의배상책임은개인고객이피해자인경우와기업고객이피해자인경우를대별하여 2 원적으로마련되어있고, 이러한입장은크게보아미국법의입장과도유사하다. 기업고객과의관계에서는전자금융사고거래로인한책임을기업고객과금융회사간에적절히분담하는것이타당하고, 현재의규정도이미그러하다. 반면에, 개인고객과의관계에서는사고거래의책임을금융회사가지는것이정책적으로타당하며, 개인고객의 중대한과실 은전자금융거래법령에정해진엄격한요건을모두충족하는경우에극히예외적으로만인정하는것이옳다. 매년수천명씩생겨나는피싱 / 파밍피해자들이모두 중대한과실 이있다는식으로판단하여금융회사의면책을광범하게인정할경우, 국내금융거래보안기술은낙후성과후진성을벗 28

29 어나기어려울것이다. 위진술한사실은진술인이아는범위내에서모두진실과부합한다 진술인김기창 고려대학교법학전문대학원교수 29