구태언 금융보안사고시...
TRANSCRIPT
테크앤로 법률사무소 대표변호사[email protected]
구 태 언
테크앤로 법률사무소서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / [email protected]
OTP 1심 판결
• 성명불상자가 검찰청 수사관을 사칭하면서 원고에게 전화, 원고의 개인정보가 유
출되어국제금융사기단의범행에이용된것같으니피싱사이트에신고하라고함
• 이에 속은 원고는 계좌번호, 계좌비밀번호, 원고가 보유하고 있던 신용카드의 카
드번호와CVC번호등을입력
• 위 성명불상자는 원고가 입력한 위 정보를 이용하여 ARS 카드론 및 ARS 현금서
비스를신청하여합계 35,500,000원을계좌로입금받은후, 같은날인터넷뱅킹
서비스를 이용하여 위 계좌에 있던 원고의 돈을 포함한 합계 37,420,000원을 이
체받음
사실관계 (서울중앙지방법원 2011가단468047)
OTP 1심 판결
① 해커들이 OTP 단말기를 소지하지 않고도 그 비밀번호를 알아낼 가능성이 전혀
없다고단정하기어려운점
② 공인인증서에대한해킹사고가빈번하게발생되어온점
③ 원고가 공인인증서를 누출하지 않았고 OTP 단말기 역시 분실 또는 도난당하지
아니하였다고분명하게진술한점
④ 이사건계좌번호및비밀번호유출은관련법령에서규정한고의또는중대한과
실의유형에해당하지아니함이해석상명백한점
결론 : 원고 전부 승소
• ①②③④를종합하면보이스피싱범죄는접근매체의위조나변조로발생한사고, 또는계약체결또는거래지시의전자적전송이나처리과정에발생한것으로봄이상당하다.
• 피고는원고에게원고의피해금액전액을보상하여야!
(서울중앙지방법원 2011가단468047)
OTP 2심 판결
① 제3자에게 접근매체인 공인인증서를 발급받음에 있어서 필수적으로 필요한 계좌번호, 계
좌비밀번호, 주민등록번호등을알려준점
② 개인정보를 탈취한 공격자라 하더라도 OTP 단말기를 소지하지 않은 이상 OTP단말기 비
밀번호의조합값중정확한요청값을알아내기는거의불가능한점
③ OTP비밀번호를 보관하고 있는 각 서버에 해킹한 흔적이나 OTP 단말기 비밀번호 유출로
인한피해사례가드러나지않은점
④ 원고가 알려주지 않았음에도 OTP 단말기 비밀번호가 해킹되어 사고가 발생한 것이라면
OTP 단말기를 폐기혹은교체하였으리라고봄이상당함에도그대로계속사용한점등에
비추어원고는위성명불상자에게 OTP 단말기비밀번호를알려준것으로보이는점
결론 : 원고 전부 패소 (서울중앙지방법원 2012나42481)
• 제3자가권한없이자신의접근매체인공인인증서와OTP단말기비밀번호를가지고전자금융거래를할수있음을쉽게알수있었음에도이를누설·노출한경우에해당
• 피고는이사건사고로발생한책임을면함
파밍 판결
• 원고, 성명불상자로부터 ‘국민은행, 인터넷 개인정보 유출 관련 보안을 위하여 보
안승급요청, www.kbpwbank. com’이라는문자를받음
• 원고, 문자메세지에나와있는인터넷사이트에접속하여사이트에서지시하는대
로 원고 명의 공인인증서 비밀번호, 국민은행 보안카드 일련번호, 보안카드 번호
총 35개입력.
• 성명불상자, 이를 통해 국민은행 인터넷뱅킹에 필요한 원고의 금융계좌정보를 알
아내어원고명의공인인증서를재발급받은다음, 원고의국민은행계좌에서다른
계좌로돈을이체하고, 이를인출해감.
사실관계 (의정부지방법원 2013. 7. 12. 선고 2012가단50032 판결)
파밍 판결
① 전자금융거래법 제9조 제1항은 전자금융사고의 책임을 금융기관 또는 전자금융
업자로 하여금 그 고의·과실에 관계없이 부담하도록 함으로써 이용자 보호에 중
점을두고있는점
② 특히 이는 민사상 책임에 대한 규정이므로 위조 또는 변조의 개념을 형법에서와
같이엄격하게해석할필요는없는점
③ 더군다나 형법에서도 명의인을 기망하여 문서를 작성케 하는 경우는 서명, 날인
이 정당히 성립된 경우에도 기망자는 명의인을 이용하여 서명 날인자의 의사에
반하는 문서를 작성케 하는 것이므로 사문서위조죄가 성립한다고 보고 있는 점(대법원 2000. 6. 13. 선고 2000도778 판결 등 참조)
접근매체의 위조에 대한 판단 (의정부지방법원 2013. 7. 12. 선고 2012가단50032 판결)
파밍 판결
④ 2013. 5. 22. 법률제11814호로 개정되어 6개월 후부터 시행될 예정인 전자금
융거래법에서는 제9조 의 금융회사 또는 전자금융업자의 책임으로서 제1항상
접근매체의 위조나 변조로 발생한 사고(제1호) 이외에 새로, 부정한 방법으로 획
득한 접근매체의 이용으로 발생한 사고(제3호)를 적용대상으로 추가하여 금융기
관의손해배상책임이발생한다고규정하고있는점
접근매체의 위조에 대한 판단 (의정부지방법원 2013. 7. 12. 선고 2012가단50032 판결)
• 성명불상자가 원고의 개인정보를불법적으로 획득하여 이를 이용하여 공인인증서를재발급받은행위도전자금융거래법제9조제1항 제1호에규정된 ‘접근매체의위조’에 포함된다고
봄이상당
파밍 판결
• 성명불상자가 원고의 금융정보 이용, 공인인증기관을 속여 공인인증서를 재발급
=전자금융거래법제9조제1항의접근매체의위조 => 은행이배상책임
• 은행의 면책항변에 대해, 원고로서는 자신의 금융정보를 허위의 사이트에 그대로
누설한중대한과실이있다고판단, 은행의손해배상책임을 30%로제한
① 전자금융거래법 제9조 제2항 제1호, 전자금융거래 기본약관 제20조 제2항 제3호를
잘살펴보면, 그문언의취지상이용자의고의로인한것이라면피고국민은행의손해
배상책임이 면책되나,이용자의중과실로인한경우에는피고국민은행이책임의일부
를지지아니하는것으로해석되는점
② 전자금융거래법 제9조 제1항 상의 금융기관의 손해배상책임이 금융기관의 고의·과
실여부를불문한이용자의보호에중점을둔법정손해배상책임이라는점
은행에 30% 책임 인정 (의정부지방법원 2013. 7. 12. 선고 2012가단50032 판결)
손해배상의 기본원칙
• ‘자신’의 ‘고의·과실있는’ 행위로인한손해에대해서만책임
– 과실책임주의 –고의·과실있는행위
– 자기책임(개인책임)의원칙 –타인의행위에대해서는책임지지않음
• 불법행위에서의행위의의미
– ‘용태’에불과. 의사표시일필요까지는없음• 용태 : 사람의의식이나정신작용에의한법률사실
– ‘행위’가없다면불법행위는성립할수없음
• 인과관계
– 행위가결과를발생하게한원인이어야함
– 인과관계가없다면불법행위는성립할수없음
일반불법행위법의 기본원칙
손해배상의 기본원칙
• 과실책임주의의예외
– 실화책임법 : 중과실의경우에만
– 증명책임의완화등
• 무과실책임(위험책임)
– 과실책임주의 및 자기책임의 원칙으로 피해자 구제가 불충분·부적절한 경우, 위험원지배라는 미약한 인과관계와 관계 있는 타인의 행위를 구성요건으로 인정함으로써 결
과적정의를보장하는예외적인규정
– 민법상사용자책임, 동물관리자의책임, 미성년자의보호자의책임등
– 형사상으로는 양벌규정이 이에 유사(다만, 상당한 주의와 감독을 게을리 하지 않았음을입증하여면책가능)
일반불법행위법의 기본원칙에 대한 예외
전자금융거래법 제9조의 손해배상
제9조(금융기관또는전자금융업자의책임)
① 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사고로 인하
여이용자에게손해가발생한경우에는그손해를배상할책임을진다.
1. 접근매체의위조나변조로발생한사고
2. 계약체결또는거래지시의전자적전송이나처리과정에서발생한사고
3. 전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한
법률」 제2조제1항제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방
법으로획득한접근매체의이용으로발생한사고
금융회사 또는 전자금융업자의 손해배상책임 근거 조항
전자금융거래법 제9조의 손해배상
제9조(금융기관또는전자금융업자의책임)
② 제1항의규정에불구하고금융회사또는전자금융업자는다음각호의어느하나
에해당하는경우에는그책임의전부또는일부를이용자가부담하게할수있다.
1. 사고 발생에 있어서이용자의고의나중대한과실이있는경우로서그책임의전부 또
는일부를이용자의부담으로할수있다는취지의약정을미리이용자와체결한경우
2. 법인(「중소기업기본법」제2조제2항에 의한 소기업을 제외한다)인 이용자에게 손해가 발생한 경우
로 금융회사 또는전자금융업자가 사고를 방지하기위하여 보안절차를 수립하고 이를
철저히준수하는등합리적으로요구되는충분한주의의무를다한경우
③ 제2항 제1호의 규정에 따른 이용자의 고의나 중대한 과실은 대통령령이 정하는
범위안에서전자금융거래에관한약관(이하 "약관"이라 한다)에기재된것에한한다.
금융회사 또는 전자금융업자의 면책 또는 감경 조항
전자금융거래법 제9조의 손해배상
시행령제8조(고의나중대한과실의범위) 법 제9조제3항에따른고의나중대한과실
의범위는다음각호와같다.
1. 이용자가접근매체를제3자에게대여하거나그사용을위임한경우또는양도나담보
의목적으로제공한경우
2. 제3자가권한없이이용자의접근매체를이용하여전자금융거래를할수있음을알았
거나쉽게알수있었음에도불구하고접근매체를누설하거나노출또는방치한경우
금융회사 또는 전자금융업자의 면책 또는 감경 조항
전자금융거래법 제9조의 손해배상
시행령제8조(고의나중대한과실의범위)
3. 금융회사 또는 전자금융업자가 법 제6조제1항에 따른 확인 외에 보안강화를 위하여
전자금융거래시 요구하는 추가적인 보안조치를 이용자가 정당한 사유 없이 거부하여
법제9조제1항제3호에따른사고가발생한경우 <신설규정>
4. 이용자가 제3호에 따른 추가적인 보안조치에 사용되는 매체ㆍ수단 또는 정보에 대하
여다음각목의어느하나에해당하는행위를하여법제9조제1항제3호에따른사고
가발생한경우
가. 누설ㆍ노출또는방치한행위
나. 제3자에게대여하거나그사용을위임한행위또는양도나담보의목적으로제공한행위
금융회사 또는 전자금융업자의 면책 또는 감경 조항
전자금융거래법 제10조의 손해배상
제10조(접근매체의분실과도난책임)
① 금융회사 또는 전자금융업자는 이용자로부터 접근매체의 분실이나 도난 등의 통
지를받은때에는그때부터제3자가그접근매체를사용함으로인하여이용자에
게 발생한 손해를 배상할 책임을 진다. 다만, 선불전자지급수단이나 전자화폐의
분실 또는 도난 등으로 발생하는 손해로서 대통령령이 정하는 경우에는 그러하
지아니하다.
② 제1항 및 제9조의 규정에 불구하고 다른 법령에 이용자에게 유리하게 적용될 수
있는규정이있는경우에는그법령을우선적용한다.
접근매체 분실·도난
무과실 손해배상 규정의 도입배경
• 현재 금융회사의 시스템 장애 등으로 인한 금융사고 발생시 책임분담문제에 관한 명시적인 법률규정이 없어
‘전자금융거래 기본약관’에 의하여 해결하고 있으나 동 약관에 따르면 접근수단의 위․변조에 따른 피해를 모두이용자가부담하도록하는등은행의면책범위가지나치게광범위하여이용자에게상당한불이익이초래되므로,
• 따라서 제정안과 같이 금융사고 발생시 금융기관 등에 과실이 없더라도 원칙적으로 책임을 부담하도록 한 것은상대적으로약자의위치에있는금융소비자를두텁게보호하기위한입법조치로서일응타당하다고사료됨
• 다만, 제정안과 같이 규정할경우에는 이용자의고의 또는 중대한과실에 대한 입증책임을금융기관에서 부담하게되어과다하게 금융기관책임이커질 우려가있을뿐아니라전자금융거래과정에서자칫 이용자측의도덕적해이를야기할수있는문제점이있음.
• 따라서 접근매체의 위․변조 사고로 인하여 손해가 발생한 경우에는 원칙적으로 금융기관 또는 전자금융업자가 책임을 부담하도록 하되, 금융기관 등이 사고 방지를 위한 보안절차 수립 등 합리적으로 요구되는 수준의충분한 주의의무를 다하였음을 입증하는 경우 등에는 그 책임을 경감할 수 있는 규정을 둠으로서 금융기관과소비자간에적절한수준에서책임을분담하도록하는것이타당하다고사료됨
제정법률안 의안 심사보고서
전자금융거래와 위험지배영역
전자금융거래법상 이해당사자의 지배관리 영역
금융회사/전금업자 영역
은행의 지배 관리하에 있는 정보시스템의 해킹을 통해 금융정보, ID/비밀번호등 개인정보를 위조하거나, 부정한 방법으로 획득해 사고가 발생한 경우
금융회사/전금업자 영역
은행의 지배 관리하에 있는 정보시스템의 해킹을 통해 금융정보, ID/비밀번호등 개인정보를 위조하거나, 부정한 방법으로 획득해 사고가 발생한 경우
전자금융거래 이용자 영역
이용자 PC와 스마트폰이 악성코드에감염되어 금융정보, 공인인증서, ID/비밀번호 등 개인정보를 부정한 방법으로획득해 사고가 발생한 경우
전자금융거래 이용자 영역
이용자 PC와 스마트폰이 악성코드에감염되어 금융정보, 공인인증서, ID/비밀번호 등 개인정보를 부정한 방법으로획득해 사고가 발생한 경우
공인인증서 등 제3의 매체 발행기관
공인인증서 발급기관 또는 OTP 인증기관의 지배 관리하에 있는 서버의 해킹을 통해 공인인증서를 위조하거나, 부정한 방법으로 획득해 사고가 발생한경우
공인인증서 등 제3의 매체 발행기관
공인인증서 발급기관 또는 OTP 인증기관의 지배 관리하에 있는 서버의 해킹을 통해 공인인증서를 위조하거나, 부정한 방법으로 획득해 사고가 발생한경우
• 미국 통일 상법전(4A-202)에
따르면 (ⅰ) 보안절차가 상업적
으로 합리적인 수준에서 마련
되어 있고 (ⅱ) 은행이 동 보안
절차를 준수하였음을 입증하
는 경우에는 그 고객명의에 의
한 은행의 자금이체가 유효함
을규정하고있음.
손해배상 규정의 분석과 해석론
• 경과실의무과실책임및고의·중과실의범위한정
– 원칙적으로일정사유로인한사고에의한손해발생시금융회사등이책임을짐
• 접근매체위변조, 거래지시, 접근매체획득등• 발생영역을불문함
– 이용자가그사고발생에기여하였을때(고의·중과실)금융회사등의책임경감
• 접근매체의 대여·위임·양도·담보 등 제공(대여등), 제3자 무단사용을 알거나 알 수 있었음에도 누설·노출·방치(누설등), 추가적보안조치거부, 그접근매체누설등·제공등(시행령)
• 그것도책임부담에관한계약(전자금융거래기본약관등)이있을때에만면제됨
• 증명책임의전환규정
– 고의또는중과실에대한증명책임을금융회사등이부담
– 사실상입증곤란한경우가대부분
• 접근매체분실·도난신고이후부터책임은금융회사로이전
– 제2항 : 유리한 규정을 우선 적용하는 경우는 신용카드 분실·도난의 경우를 의미함 (여신전문
금융업법상분실통지전발생한신용카드사용에대하여도일부책임을지는경우, 의안심사보고서)
규정의 분석
손해배상 규정의 분석과 해석론
• 접근매체의의의
– 원격지에서의본인확인을위하여금융소비자에게부여되는본인확인수단
– 물리적접근매체(OTP, 자물쇠카드), 전자적접근매체(공인인증서, SMS, 비밀번호등)
• 이용자에게부여된접근매체에대한보안은이용자의책임영역(위험영역)
– 물리적접근매체는은행에서발급한이후이용자가소지
– 전자적접근매체는인증기관에서발급한이후이용자의매체에보관
• 이용자의 책임영역 내에서 발생한 사고에 대하여까지 은행에 책임을 지우는 것은 무과실책임의전제를넘어선것으로서, 재산권에대한중대한제약에해당하므로합리적인위험의분배라고보기어려움
• 시행령상 ‘이용자의 고의, 중과실‘에 관한 규정을 적극적으로 해석하여 합리적인 위험을 분배할필요
– 이용자의위험영역에서발생한사고의경우에금융회사등의책임면제
– 금융회사의책임을일부라도인정할경우에추가인증수단을도입하게되어결국악순환에빠질뿐만아니라대다수이용자들의불편만초래
– OTP 2심판결(은행책임면제), 파밍판결(은행책임 30%)
규정의 문제점 및 해석론
법률 개정 필요
이해당사자의 자기책임 원칙에 따라 전자금융거래법 제9조 개정
해석 원칙
이해당사자가 지배 관리하는 영역에서발생한 사고에 대해서 과실책임의 원칙적용
• 금융회사 또는 전자금융업자는 자신이 관리하는 정보통신망 내에서발생한 접근매체의 위변조 및 획득으로 인한 사고에 대해 책임
• 이용자는 자신이 전자금융거래에제공한 PC, 스마트폰의 악성코드감염으로 인한 사고에 대해 책임
• 공인인증서 등 제3의 접근매체 발행기관은 그가 관리하는 정보통신망 내에서 발생한 접근매체의 위변조 및 획득으로 인한 사고에 대해책임
해석 원칙
이해당사자가 지배 관리하는 영역에서발생한 사고에 대해서 과실책임의 원칙적용
• 금융회사 또는 전자금융업자는 자신이 관리하는 정보통신망 내에서발생한 접근매체의 위변조 및 획득으로 인한 사고에 대해 책임
• 이용자는 자신이 전자금융거래에제공한 PC, 스마트폰의 악성코드감염으로 인한 사고에 대해 책임
• 공인인증서 등 제3의 접근매체 발행기관은 그가 관리하는 정보통신망 내에서 발생한 접근매체의 위변조 및 획득으로 인한 사고에 대해책임
기대 효과
• 헌법상 기본 원칙인 자기책임의 원칙 구현
• 금융회사 등에 무과실 책임을 지울합리적 근거가 없는 위헌성 문제 등해결
• 이해당사자가 각자 정보보안을 위해 노력할 책임 부여
• 자작극 등 도덕성해이 예방
기대 효과
• 헌법상 기본 원칙인 자기책임의 원칙 구현
• 금융회사 등에 무과실 책임을 지울합리적 근거가 없는 위헌성 문제 등해결
• 이해당사자가 각자 정보보안을 위해 노력할 책임 부여
• 자작극 등 도덕성해이 예방
테크앤로 법률사무소 대표변호사[email protected]
구 태 언
테크앤로 법률사무소서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / [email protected]