손해배상(기)·손해배상(기)·손해배상(기)·손해배상(기)·손해배상(기)
【판시사항】
甲 등이 乙 은행 등에 예금계좌를 개설하고 인터넷 뱅킹 서비스 등을 이용하여 왔는데, 丙이 이른바 파밍(Pharming)을 통하여 획득한 甲 등의 계좌번호와 비밀번호, 보안카드 번호 등 금융거래정보를 이용하여 甲 등 명의의 공인인증서를 취득한 후 甲 등의 예금계좌에서 이체거래를 한 사안에서, 甲 등과 전자금융거래계약을 체결한 乙 은행 등은 甲 등에게 발생한 손해를 배상할 의무가 있는데, 甲 등에게 중대한 과실이 인정되므로 그 정도에 따라 甲 등도 책임의 전부 또는 일부를 부담하여야 한다고 본 사례
【판결요지】
甲 등이 乙 은행 등에 예금계좌를 개설하고 인터넷 뱅킹 서비스 등을 이용하여 왔는데, 丙이 이른바 파밍(Pharming)을 통하여 획득한 甲 등의 계좌번호와 비밀번호, 보안카드 번호 등 금융거래정보를 이용하여 甲 등 명의의 공인인증서를 취득한 후 甲 등의 예금계좌에서 이체거래를 한 사안에서, ‘공인인증서’와 ‘보안카드 등 일회용 비밀번호’는 전자금융거래법 제2조 제10호에서 정한 ‘접근매체’에 해당하고, 타인의 정보를 부정하게 이용하여 공인인증서를 발급 또는 재발급받은 경우 및 공인인증서를 불법적으로 복제한 경우는 공인인증서의 위조에 해당하며, 권한 없는 자가 보안카드 번호 등을 입력한 경우도 보안카드의 위조에 해당하므로, 위 사고는 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것, 이하 ‘구 전자금융거래법’이라 한다) 제9조 제1항 전단의 ‘접근매체의 위조’로 발생한 사고로서, 甲 등과 전자금융거래계약을 체결한 乙 은행 등은 甲 등에게 발생한 손해를 배상할 의무가 있는데, 보안카드 번호 전체를 입력한 甲 등에게 구 전자금융거래법 제9조 제2항 제1호 등에서 정한 ‘중대한 과실’이 인정되므로, 그 정도에 따라 이용자인 甲 등도 책임의 전부 또는 일부를 부담하여야 한다고 본 사례.
【참조조문】
구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것) 제2조, 제5조, 제9조, 제21조, 제49조, 전자금융거래법 제2조 제10호, 제9조, 구 전자금융거래법 시행령(2013. 11. 22. 대통령령 제25840호로 개정되기 전의 것) 제2조, 제8조, 전자서명법 제2조, 제15조, 전자서명법 시행규칙 제13조의2, 제13조의3
【전문】
【원 고】
【피 고】
주식회사 신한은행 외 9인 (소송대리인 법무법인 지평 외 5인)
【변론종결】
2014. 12. 22.
【주 문】
1. 별지 인용금액표의 ‘피고’란 기재 피고들은 ‘원고’란 기재 원고들에게, ‘인용금액’란 기재 각 금원 및 위 각 금원에 대하여 ‘기산일’란 기재 각 일자부터 2015. 1. 15.까지는 연 5%, 그 다음 날부터 다 갚는 날까지는 연 20%의 각 비율로 계산한 돈을 각 지급하라.
2. 원고 1, 9, 24의 청구와 원고 8의 피고 회덕 농업협동조합에 대한 청구, 원고 25의 피고 성연 농업협동조합에 대한 청구, 원고 29의 피고 상동 농업협동조합에 대한 청구, 원고 8, 25, 29의 피고 농협은행 주식회사에 대한 나머지 청구, 원고 2, 3, 4, 5, 6, 7, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 26, 27, 28, 30, 31, 32, 33, 34, 35, 36의 나머지 청구를 모두 기각한다.
3. 소송비용 중 원고 1, 9, 24와 피고 주식회사 신한은행, 농협은행 주식회사, 장승포 농업협동조합, 남부안 농업협동조합 사이에 생긴 부분은 위 원고들이 부담하고, 원고 8, 25, 29와 피고 회덕 농업협동조합, 성연 농업협동조합, 상동 농업협동조합 사이에 생긴 부분은 위 원고들이 부담하며, 원고 8, 25, 29와 피고 농협은행 주식회사 사이에 생긴 부분의 8/10은 위 원고들이, 나머지는 피고 농협은행 주식회사가 각 부담하고, 원고 2, 3, 4, 5, 6, 7, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 26, 27, 28, 30, 31, 32, 33, 34, 35, 36과 피고 주식회사 신한은행, 주식회사 국민은행, 주식회사 하나은행, 중소기업은행, 농협은행 주식회사 사이에 생긴 부분의 8/10은 위 원고들이, 나머지는 위 피고들이 각 부담한다.
4. 제1항은 가집행할 수 있다.
【청구취지】
1. 피고 주식회사 신한은행(이하 ‘신한은행’이라 한다)은 원고 1에게 33,290,000원, 원고 2에게 54,569,820원, 원고 3에게 20,240,000원, 원고 12에게 23,024,000원, 원고 13에게 37,800,000원, 원고 17에게 46,285,100원, 원고 18에게 14,240,000원, 원고 19에게 22,990,000원, 원고 20에게 11,170,000원 및 위 각 금원에 대하여 이 사건 소장부본 송달 다음 날부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 각 지급하라.
2. 피고 주식회사 국민은행(이하 ‘국민은행’이라 한다)은 원고 4에게 17,915,500원, 원고 26에게 4,794,000원, 원고 27에게 81,100,000원, 원고 35에게 44,971,952원 및 위 각 금원에 대하여 이 사건 소장부본 송달 다음 날부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 각 지급하라.
3. 피고 주식회사 하나은행(이하 ‘하나은행’이라 한다)은 원고 5에게 50,000,000원 및 이에 대하여 이 사건 소장부본 송달 다음 날부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 지급하라.
4. 피고 중소기업은행은 원고 6에게 46,450,000원, 원고 36에게 9,847,934원 및 위 각 금원에 대하여 이 사건 소장부본 송달 다음 날부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 각 지급하라.
5. 피고 농협은행 주식회사(이하 ‘농협은행’이라 한다)는 원고 7에게 38,290,000원, 원고 10에게 31,743,000원, 원고 11에게 33,940,000원, 원고 14에게 15,990,000원, 원고 15에게 24,430,000원, 원고 16에게 6,000,000원, 원고 21에게 50,000,000원, 원고 22에게 17,960,000원, 원고 23에게 19,800,000원, 원고 28에게 40,000,000원, 원고 30에게 24,340,199원, 원고 31에게 6,930,000원, 원고 32에게 11,074,500원, 원고 33에게 4,992,655원, 원고 34에게 7,540,500원 및 위 각 금원에 대하여 이 사건 소장부본 송달 다음 날부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 각 지급하라.
6. 피고 농협은행, 회덕 농업협동조합은 연대하여 원고 8에게 24,000,000원 및 이에 대하여 이 사건 소장부본 송달 다음 날부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 지급하라.
7. 피고 농협은행, 장승포 농업협동조합은 연대하여 원고 9에게 21,901,000원 및 이에 대하여 이 사건 소장부본 송달 다음 날부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 지급하라.
8. 피고 농협은행, 남부안 농업협동조합은 연대하여 원고 24에게 96,196,735원 및 이에 대하여 이 사건 소장부본 송달 다음 날부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 지급하라.
9. 피고 농협은행, 성연 농업협동조합은 연대하여 원고 25에게 9,980,000원 및 이에 대하여 이 사건 소장부본 송달 다음 날부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 지급하라.
10. 피고 농협은행은 원고 29에게 113,280,000원, 피고 상동 농업협동조합은 피고 농협은행과 연대하여 위 113,280,000원 중 28,420,000원 및 위 각 금원에 대하여 이 사건 소장부본 송달 다음 날부터 다 갚는 날까지 연 20%의 비율로 계산한 돈을 지급하라.
【이 유】
1. 인정 사실
가. 원고들의 예금계좌 개설과 인터넷 뱅킹 서비스 등의 가입
원고들은 피고들과 아래 〈표 1〉 기재와 같이 예금계좌를 개설하고 금융거래를 하면서 인터넷 뱅킹 서비스 등을 이용하였다.
〈표 1〉순번원고피고계좌번호인터넷 뱅킹 또는 스마트폰 뱅킹 가입일자1원고 1신한은행(계좌번호 1 생략)2007. 1. 31.2원고 2신한은행(계좌번호 2 생략)2007. 3. 2.3원고 3신한은행(계좌번호 3 생략)2007. 2. 1.4원고 4국민은행(계좌번호 4 생략)2002. 1. 2.5원고 5하나은행(계좌번호 5 생략)2012. 9. 27.6원고 6중소기업은행(계좌번호 6 생략)2008. 5. 27.7원고 7농협은행(계좌번호 7 생략)2010. 1. 4.8원고 8회덕 농업협동조합(계좌번호 8 생략)2006. 3. 28.9원고 9장승포 농업협동조합(계좌번호 9 생략)2004. 8. 31.10원고 10농협은행(계좌번호 10 생략)2009. 1. 19.11원고 11농협은행(계좌번호 11 생략)2009. 9. 8.(계좌번호 12 생략)12원고 12신한은행(계좌번호 13 생략)2012. 11. 28.13원고 13신한은행(계좌번호 14 생략)2012. 8. 7.14원고 14농협은행(계좌번호 15 생략)2008. 5. 8.15원고 15농협은행(계좌번호 16 생략)2005. 2. 23.16원고 16농협은행(계좌번호 17 생략)2008. 5. 20.17원고 17신한은행(계좌번호 18 생략)2006. 10. 27.18원고 18신한은행(계좌번호 19 생략)2011. 11. 23.19원고 19신한은행(계좌번호 20 생략)2004. 4. 7.20원고 20신한은행(계좌번호 21 생략)2004. 2. 5.(계좌번호 22 생략)21원고 21농협은행(계좌번호 23 생략)2005. 1. 11.22원고 22농협은행(계좌번호 24 생략)2006. 12. 22.23원고 23농협은행(계좌번호 25 생략)2012. 10. 19.24원고 24남부안 농업협동조합(계좌번호 26 생략)2007. 10. 24.25원고 25성연 농업협동조합(계좌번호 27 생략)2011. 8. 5.26원고 26국민은행(계좌번호 28 생략)2008. 6. 16.27원고 27국민은행(계좌번호 29 생략)2010. 9. 5.28원고 28농협은행(계좌번호 30 생략)2004. 3. 8.29원고 29농협은행(계좌번호 31 생략)2006. 12. 14.(계좌번호 32 생략)상동 농업협동조합(계좌번호 33 생략)30원고 30농협은행(계좌번호 34 생략)2002. 7. 24.(계좌번호 35 생략)(계좌번호 36 생략)31원고 31농협은행(계좌번호 37 생략)2006. 3. 10.32원고 32농협은행(계좌번호 38 생략)2010. 11. 17.33원고 33유성 농업협동조합(계좌번호 39 생략)2012. 11. 21.34원고 34화순 농업협동조합(계좌번호 40 생략)2010. 5. 7.농협은행(계좌번호 41 생략)35원고 35국민은행(계좌번호 42 생략)2004. 3. 8.36원고 36중소기업은행(계좌번호 43 생략)2006. 4. 12.
나. 사고의 발생 경위
1) 성명불상자는 원고들이 사용하는 컴퓨터나 스마트폰을 악성코드에 감염시켰다. 컴퓨터나 스마트폰이 악성코드에 감염되는 경우 사용자가 인터넷 ‘즐겨찾기’ 또는 포털 사이트 검색을 통하여 피고들이 운영하는 인터넷 홈페이지에 접속하려고 하거나 스마트폰 뱅킹을 이용하려고 할 때, 성명불상자가 관리하는 허위의 사이트로 접속된다. 또한 컴퓨터나 스마트폰이 악성코드에 감염된 경우 해당 컴퓨터나 스마트폰에 저장된 정보 등이 유출된다.
2) 원고 1, 9, 24를 제외한 나머지 원고들과 원고 1의 처인 소외 1, 원고 9의 아들인 소외 2, 원고 24의 처인 소외 3은 원고들 명의의 위 〈표 1〉 기재 계좌와 관련하여 인터넷 뱅킹 또는 스마트폰 뱅킹을 이용하기 위하여 아래 〈표 2〉 기재 일자 무렵에 악성코드에 감염된 컴퓨터나 스마트폰을 통해 피고들이 운영하는 인터넷 홈페이지에 접속하려고 하였다. 그 순간 악성코드에 감염된 컴퓨터 또는 스마트폰이 허위의 사이트로 접속되었고, 아래 〈표 2〉 기재와 같이 위 사이트에서 ‘보안승급 또는 보안관련 확인 등이 필요하다’는 메시지와 함께 원고들의 계좌번호 및 비밀번호, 보안카드 번호 등의 입력을 요구하였다. 이에 따라 원고 1, 9, 24를 제외한 나머지 원고들과 소외 1, 2, 3은 원고들의 주민번호, 계좌번호와 그 비밀번호, 공인인증서 비밀번호, 보안카드 번호 등을 입력하였다.
3) 성명불상자는 아래 〈표 2〉 이체일자란 기재 날짜에 위와 같은 방법으로 획득한 원고들(원고 5 제외)의 금융거래정보를 이용하여 컴퓨터 또는 스마트폰을 통하여 피고들이 운영하는 인터넷 홈페이지에 접속하여 위 원고들 명의의 공인인증서를 발급 또는 재발급받는 등의 방법으로 취득한 공인인증서를 통하여 위 원고들 명의의 계좌에서 제3자 명의의 계좌로 아래 〈표 2〉 기재 이체금액 상당을 이체하였다.
〈표 2〉원고이체일자피해 경위(① 인터넷 뱅킹 또는 스마트폰 뱅킹 이용 중 사고, ② 정보 입력 유도 방법, ③ 정보 입력 후 상황)계좌번호이체금액(원)공인인증서 발급 또는 재발급원고 12013. 1. 22.① 인터넷 뱅킹 이용, ② 외부의 컴퓨터 공격으로 다시 진행하기 위해 본인 확인이 필요하다는 창이 떠서 정보 입력, ③ 12시간 후 이용 가능하다는 공지(계좌번호 1 생략)33,290,000-원고 22013. 8. 8. ~ 8. 9.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ 몇 시간 후 다시 접속하라는 공지(계좌번호 2 생략)54,569,820재발급원고 32013. 8. 29.① 인터넷 뱅킹 이용, ② 전자금융피해 예방 서비스 창이 떠서 정보 입력, ③ ‘인증번호’ 및 ‘서비스 신청 접수’ 문자 메시지 수신(계좌번호 3 생략)20,240,000발급원고 42013. 4. 3.① 인터넷 뱅킹 이용, ② 계좌번호 및 비밀번호, 보안카드 번호 전체 등의 입력 창이 뜨고 이를 입력하여야 거래할 수 있다는 안내에 따라 정보 입력, ③ -(계좌번호 4 생략)17,915,500발급원고 52013. 7. 31.① 인터넷 뱅킹 이용, ② 보안승급을 위한 창이 떠서 정보 입력, ③ 12시간 후 이용 가능하다는 공지(계좌번호 5 생략)50,000,000-원고 62013. 6. 16.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ -(계좌번호 6 생략)46,450,000발급원고 72013. 4. 14.① 인터넷 뱅킹 이용, ② 계좌번호 및 비밀번호, 보안카드 번호 전체 등의 입력 창이 뜨고 입력하여야 거래할 수 있다는 안내에 따라 정보 입력, ③ -(계좌번호 7 생략)38,290,000-원고 82013. 7. 22.① 인터넷 뱅킹 이용, ② 다시 로그인하라는 메시지와 함께 보안카드 번호 전부 입력하라는 창이 떠서 정보 입력, ③ 2시간 후에 이용 가능하다는 공지(계좌번호 8 생략)24,000,000재발급원고 92013. 8. 14.① 인터넷 뱅킹 이용, ② 보안승급을 위한 창이 떠서 정보 입력, ③ 2시간 후에 이용 가능하다는 공지(계좌번호 9 생략)20,901,000재발급원고 102013. 8. 29. ~ 8. 30.① 인터넷 뱅킹 이용, ② 인증서 기간만료 갱신 요구하는 창이 떠서 정보 입력, ③ -(계좌번호 10 생략)31,743,000재발급원고 112013. 9. 5.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력(계좌번호 11 생략)25,190,000발급(계좌번호 12 생략)8,750,000원고 122013. 5. 1.① 인터넷 뱅킹 이용, ② 로그인 위한 창이 떠서 보안카드 번호 등 정보 입력, ③ -(계좌번호 13 생략)23,024,000-원고 132013. 5. 9.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ -(계좌번호 14 생략)37,800,000재발급원고 142013. 5. 6.① 인터넷 뱅킹 이용, ② 계좌이체거래 시도 중 계좌번호 및 비밀번호, 보안카드 번호 전체 등의 입력 창이 떠서 정보 입력, ③ -(계좌번호 15 생략)15,990,000발급원고 152013. 5. 21. ~ 5. 22.① 인터넷 뱅킹 이용, ② 로그인 관련 인증 창이 떠서 계좌번호 보안카드 번호 등을 입력하자 로그인 됨, ③ -(계좌번호 16 생략)24,430,000-원고 162013. 5. 16.① 인터넷 뱅킹 이용, ② 정보입력 창이 떠서 정보 입력, ③ -(계좌번호 17 생략)6,000,000발급원고 172013. 7. 7. ~ 7. 8.① 인터넷 뱅킹 이용, 피고 신한은행 홈페이지 접속하자, 금융감독원 홈페이지 창으로연결됨,②계좌번호및 비밀번호, 보안카드 번호 전체 등의 입력 창이 떠서 정보 입력, ③ -(계좌번호 18 생략)46,285,100발급원고 182013. 7. 3. ~ 7. 4.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ -(계좌번호 19 생략)14,240,000재발급원고 192013. 7. 17.① 인터넷 뱅킹 이용, ② 보안승급을 위한 창이 떠서 정보 입력, ③ 2시간 후에 이용 가능하다는 공지(계좌번호 20 생략)22,990,000-원고 202013. 7. 22.① 인터넷 뱅킹 이용, ② 공인인증센터로 연결되는 창이 계속 떠서 정보 입력, ③ 24시간 후에 이용 가능하다는 공지(계좌번호 21 생략)11,050,000재발급(계좌번호 22 생략)120,000원고 212013. 4. 11.① 인터넷 뱅킹 이용, ② 보안카드가 유출되었으니 보안카드 번호를 전부 입력하라는 창이 떠서 정보 입력, ③ -(계좌번호 23 생략)50,000,000발급원고 222013. 5. 25.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ -(계좌번호 24 생략)17,960,000재발급원고 232013. 6. 18. ~ 6. 19.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ 2시간 후에 이용 가능하다는 공지(계좌번호 25 생략)19,800,000발급원고 242013. 6. 23. ~ 6. 24.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ -(계좌번호 26 생략)96,196,735재발급원고 252013. 6. 30. ~ 7. 1.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ -(계좌번호 27 생략)9,980,000재발급원고 262013. 5. 29.① 인터넷 뱅킹 이용, ② 보안승급을 위한 창이 떠서 정보 입력, ③ -(계좌번호 28 생략)4,794,000발급원고 272013. 7. 21. ~ 7. 22.① 인터넷 뱅킹 이용, ② 파밍 사이트 예방을 위한 창이 떠서 정보 입력, ③ -(계좌번호 29 생략)81,100,000재발급원고 282013. 8. 6.① 스마트폰 뱅킹 이용, ② 스마트폰 뱅킹 애플리케이션 업데이트, 보안승급을 위한 창이 떠서 정보 입력, ③ -(계좌번호 30 생략)46,075,000발급원고 292013. 8. 25. ~ 8. 26.① 스마트폰 뱅킹 이용, ② 법원 등기 관련 문자 메시지 수신하고 문자 메시지 내에 인터넷주소 클릭함, 스마트폰 뱅킹 애플리케이션 업데이트 후 실행하여 계좌번호, 비밀번호, 이체비밀번호, 보안카드 번호 2자리 2개 입력, ③ -(계좌번호 31 생략)10,180,000재발급(계좌번호 32 생략)86,560,000(계좌번호 33 생략)28,420,000원고 302013. 6. 26. ~ 6. 27.① 인터넷 뱅킹 이용, ② 보안승급을 위한 창이 떠서 정보 입력, ③ -(계좌번호 34 생략)1,940,000-(계좌번호 35 생략)22,110,199(계좌번호 36 생략)290,000원고 312013. 7. 31.① 인터넷 뱅킹 이용, ② 정보 입력, ③ -(계좌번호 37 생략)6,930,000재발급원고 322013. 8. 5.① 인터넷 뱅킹 이용, ② 정보 입력, ③ 2시간 후에 이용 가능하다는 공지(계좌번호 38 생략)11,074,500재발급원고 332013. 9. 8.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ -(계좌번호 39 생략)4,992,655-원고 342013. 9. 14.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ -(계좌번호 40 생략)5,620,000재발급(계좌번호 41 생략)1,920,500원고 352013. 9. 6.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ -(계좌번호 42 생략)44,971,952-원고 362013. 9. 15.① 인터넷 뱅킹 이용, ② 보안강화를 위한 창이 떠서 정보 입력, ③ -(계좌번호 43 생략)9,847,934-
4) 또한 성명불상자는 2013. 7. 31. 위와 같은 경로로 취득한 원고 5의 계좌번호, 계좌비밀번호, 보안카드 번호 등을 이용하여 텔레뱅킹을 통해 원고 5의 하나은행 계좌에서 50,000,000원을 이체하였다(이하에서는 위와 같은 성명불상자의 일련의 범행을 ‘이 사건 사고’라 한다).
[인정 근거] 다툼 없는 사실, 갑 제19, 20, 22호증(가지번호 포함, 이하 같다), 을가 제13, 14호증, 을나 제2, 11호증, 을마 제7호증, 을바 제41호증의 각 기재, 변론 전체의 취지
2. 청구원인에 대한 판단
가. 원고들의 청구
1) 성명불상자가 아무런 권한 없이 원고들의 정보를 이용하여 원고들 명의의 공인인증서를 발급 또는 재발급받은 것은 접근매체인 전자서명생성정보 및 공인인증서 위조에 해당한다. 공인인증서가 발급 또는 재발급되지 않은 원고들의 경우, 성명불상자가 컴퓨터에 저장된 원고들의 공인인증서를 복제하여 사용한 것으로 보이는데, 이와 같이 접근매체인 공인인증서를 불법적으로 복제한 것 역시 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것, 이하 ‘구 전자금융거래법’이라 한다) 제9조 제1항 전단의 ‘접근매체의 위조’에 해당한다. 따라서 위와 같은 ‘접근매체의 위조’로 발생한 사고로 인하여 원고들이 〈표 2〉 기재 이체금액 상당의 손해를 입었으므로, 피고들은 원고들에게 구 전자금융거래법 제9조 제1항에 따라 위 손해를 배상할 책임이 있다.
또한 성명불상자가 부정하게 발급받거나 또는 불법적으로 복제한 공인인증서 등을 이용하여 이체거래를 하였는데, 이는 구 전자금융거래법 제9조 제1항 후단의 ‘계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고’에 해당하므로, 피고들은 원고들에게 위 손해를 배상할 책임이 있다.
2) 성명불상자가 위와 같이 부정하게 취득한 원고 5의 계좌번호와 비밀번호, 보안카드 번호 등을 토대로 텔레뱅킹을 이용하여 원고 5의 계좌에서 금원을 이체하였다. 원고 5의 경우, 보안카드 등과 같은 일회용 비밀번호가 접근매체에 해당하지 않음을 전제로 성명불상자가 권한 없이 보안카드 번호 등을 입력하여 이체거래를 한 것은 구 전자금융거래법의 제9조 제1항 후단 ‘계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고’에 해당한다. 그렇지 않다고 보는 경우 보안카드 등과 같은 일회용 비밀번호가 접근매체에 해당함을 전제로 성명불상자가 권한 없이 보안카드 번호 등을 입력한 행위는 구 전자금융거래법 제9조 제1항 전단의 ‘접근매체의 위조’에 해당한다.
3) 원고 8, 9, 24, 25, 29는 피고 회덕 농업협동조합과 같은 지역농업협동조합(이하 ‘지역조합’이라 한다)인 피고들과 예금계약을 체결하고 위와 같이 계좌를 개설하면서, 피고 농협은행과 전자금융거래 계약을 체결하고 인터넷 뱅킹 서비스를 이용하였다. 따라서 피고 농협은행과 지역조합인 피고들은 연대하여 이 사건 사고로 원고 8, 9, 24, 25, 29가 입은 손해를 배상할 책임이 있다.
나. 관련 법령(조문 내용은 별지 ‘관련 법령’ 기재와 같다)
구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것) 제2조(정의), 제5조(전자문서의 사용), 제9조(금융기관 또는 전자금융업자의 책임), 제21조(안전성의 확보의무), 제49조(벌칙)
전자금융거래법 제9조(금융회사 또는 전자금융업자의 책임)(구 전자금융거래법 제9조와의 조문대비표는 별지 기재 ‘조문대비표’와 같다)
구 전자금융거래법 시행령(2013. 11. 22. 대통령령 제25840호로 개정되기 전의 것) 제2조(금융기관의 범위), 제8조(고의나 중대한 과실의 범위)
전자서명법 제2조(정의), 제15조(공인인증서의 발급)
전자서명법 시행규칙 제13조의2(신원확인의 기준 및 방법), 제13조의3(신원확인증표)
다. 판단
먼저 금융기관(현행법에서는 ‘금융회사’라는 용어를 사용한다) 또는 전자금융업자의 책임에 관하여 정하고 있는 구 전자금융거래법 제9조의 의미에 관하여 살펴보고, 그 책임의 인정 여부와 범위를 판단하기 위하여 접근매체의 개념과 범위, 접근매체의 위조로 구분하여 판단한다. 그다음에 피고 농협은행과 지역조합인 피고들이 부진정연대책임을 부담하는지 여부를 살펴본다.
1) 구 전자금융거래법 제9조의 의미
구 전자금융거래법 제9조는 금융기관 또는 전자금융업자의 책임에 관하여 제1항에서 “금융기관 또는 전자금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다.”라고 정하고, 제2항에서 “제1항의 규정에 불구하고 금융기관 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 경우에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다.”라고 하면서, 제1호에서 “사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우”를 들고 있다.
이 규정은 전자금융거래를 보호하기 위하여 금융기관 또는 전자금융업자에게 귀책사유가 없더라도 ‘접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우’에는 금융기관 또는 전자금융업자의 책임을 인정함으로써, 금융기관 또는 전자금융업자의 법정 무과실책임을 인정한 것이다.
다만 금융기관 또는 전자금융업자가 “사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우”에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다고 함으로써, 예외적으로 금융기관 또는 전자금융업자의 면책사유를 제한적으로 인정하고 있다. 위 규정에 따라 금융기관 또는 전자금융업자가 아니라 이용자가 책임을 부담하려면 사고 발생에 관하여 이용자의 고의나 중과실이 있어야 하고, 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결했어야 한다. 이와 같은 요건을 충족한 경우에도 이용자가 무조건 책임의 전부를 부담하는 것은 아니고 일부만을 부담할 수도 있는데, 그 판단은 최종적으로 법원이 해야 할 것이다. 위 규정에 따라 금융기관 또는 전자금융업자가 위 면책사유에 관하여 법령이 정한 한도에서 이용자와 개별적으로 약정을 하거나 약관에서 미리 정한 경우에는 그러한 약정이나 약관에 따라 책임의 인정 여부나 범위가 달라질 수 있다.
2) 접근매체의 개념과 범위
가) 전자금융거래법에서 정한 ‘접근매체’라 함은 전자금융거래에서 거래지시를 하거나 이용자 및 거래내용의 진실성과 정확성을 확보하기 위하여 사용되는 수단 또는 정보를 말한다(제2조 제10호). 전자금융거래법 제2조 제10호는 ‘전자식 카드 및 이에 준하는 전자적 정보[(가)목], 전자서명법 제2조 제4호의 전자서명생성정보 및 같은 조 제7호의 인증서[(나)목], 금융회사 또는 전자금융업자에 등록된 이용자번호[(다)목], 이용자의 생체정보[(라)목], (가)목 또는 (나)목의 수단이나 정보를 사용하는 데 필요한 비밀번호[(마)목]’를 접근매체로 열거하고 있다(구 전자금융거래법도 금융기관이라는 용어를 사용하고 있을 뿐이고 그 내용은 동일하다).
나) ‘공인인증서’와 ‘보안카드 등 일회용 비밀번호’가 접근매체에 해당하는지 여부
(1) 공인인증서가 접근매체에 해당하는지 여부
전자서명법 제2조 제4호의 ‘전자서명생성정보’는 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말하고, 전자서명법 제2조 제7호의 ‘인증서’는 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말한다.
공인인증서는 공인인증기관이 발급하는 인증서로서, 전자금융거래법 제2조 제10호 (나)목이 정한 ‘접근매체’에 해당한다.
(2) 보안카드 등 일회용 비밀번호가 접근매체에 해당하는지 여부
전자금융거래법 제2조 제10호에는 보안카드 등 일회용 비밀번호를 명시적으로 접근매체라고 열거하고 있지 않다.
그러나 ‘보안카드’ 등과 같은 ‘일회용 비밀번호’는 공인인증서와 함께 전자금융거래에서 이용자 본인임을 확인하고, 거래지시나 거래내용의 진실성과 정확성을 확보하는 수단으로 널리 사용되고 있다. 특히 금융위원회 고시인 전자금융감독규정 제34조 제1항은 금융회사 또는 전자금융업자는 일정한 경우를 제외하고는 전자자금이체 시 보안카드를 포함한 일회용 비밀번호를 반드시 적용하도록 규정하고 있다. 통상의 전자자금이체 시 공인인증서만으로는 거래를 할 수 없고, 은행 등이 교부한 보안카드 번호를 입력하여야 이체거래가 가능하다.
또한 전자금융감독규정 제34조 제2항 제4호에는 금융회사 또는 전자금융업자는 전자금융거래와 관련하여 준수하여야 할 사항의 하나로 “전자금융거래에 사용되는 일회용 비밀번호(OTP를 포함한다) 등의 접근매체를 발급받기 위해서는 반드시 본인 실명증표를 확인한 후 교부할 것. 단, 이용한도가 [별표 3]에서 정하는 금액 미만으로 제한된 직불전자지급수단의 경우 제37조에 따른 공인인증서 등과 일회용 비밀번호 등 복수의 본인확인 수단을 통해 본인확인 후 교부할 수 있다.”라고 규정되어 있어, 보안카드를 포함한 일회용 비밀번호를 접근매체의 하나로 취급하고 있다.
전자서명법 시행규칙 제13조의2 제4항의 규정 내용과 아래 3)의 가)(2)(라)항에서 보는 바와 같은 공인인증서 발급 절차 등에 비추어 보면, 결국 계좌번호 및 비밀번호, 주민등록번호 등과 같은 개인정보와 함께 금융기관이 전자금융거래를 위하여 가입자에게 제공한 보안카드 등 일회용 비밀번호 등을 알면 정보통신망을 통하여 공인인증서를 발급 또는 재발급받을 수 있어서 개인정보나 금융거래정보 유출이 문제 되는 현재 상황에서 보안카드를 포함한 일회용 비밀번호는 공인인증서를 보완할 수 있는 보안수단으로서 가치가 크다.
이러한 보안카드 등 일회용 비밀번호의 기능과 발급절차, 관련 규정 등에 비추어 보면, 보안카드 등 일회용 비밀번호는 전자금융거래법 제2조 제10호 (가)목 또는 (나)목의 수단이나 정보를 사용하는 데 필요한 비밀번호로서 접근매체에 해당한다고 볼 수 있다.
3) 접근매체의 위조
가) 타인의 정보를 부정하게 이용하여 공인인증서를 발급 또는 재발급받은 경우 접근매체의 위조에 해당하는지 여부
(1) 공인인증서의 발급주체는 공인인증기관이다. 성명불상자는 원고들의 공인인증서 발급에 필요한 정보를 얻은 다음 그 정보를 바탕으로 공인인증기관으로부터 공인인증서를 발급받았다. 따라서 위와 같이 부정하게 취득한 타인의 정보를 이용하여 공인인증서를 발급 또는 재발급받는 것이 공인인증서의 위조라고 보기 어려운 점도 있다. 또한 이 사건 사고에 대하여 적용되는 구 전자금융거래법은 제49조 제1항에서 벌칙에 대한 구성요건을 정하면서 ‘접근매체를 위조하거나 변조한 경우(제1호)’와 ‘부정한 방법으로 접근매체를 획득하거나 획득한 접근매체를 이용하여 전자금융거래를 한 경우(제4호)’를 구별하여 규정하면서도, 제9조 제1항에서 ‘접근매체의 위조나 변조로 발생한 사고’나 ‘계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고’로 인하여 이용자에게 손해가 발생한 경우에 대하여 금융기관 또는 전자금융업자가 손해를 배상할 책임을 진다고 규정하였을 뿐이다.
(2) 그러나 아래에서 보는 바와 같은 구 전자금융거래법 제9조의 입법 취지와 개정이유, 공인인증서의 발급 과정에서 전자서명생성정보의 위조가 수반되는 점 등을 종합하여 볼 때, 권한 없는 자가 타인의 정보를 부정하게 이용하여 공인인증서를 발급 또는 재발급받은 경우도 ‘공인인증서의 위조’에 해당한다. 이것이 위조 자체에 해당하지 않는다고 하더라도 위조의 경우와 유사하기 때문에 적어도 위 규정을 유추적용하여야 한다.
(가) 구 전자금융거래법 제9조의 입법 취지는 ‘복잡하고 전문적인 특성을 지녀 원인규명이 어려운 전자금융사고에 대한 책임부담 원칙을 명확히 하고 이용자의 고의·중과실에 의하지 않은 전자금융사고로 인하여 이용자에게 손해가 발생한 경우 금융기관 또는 전자금융업자가 책임을 부담하도록 하기 위한 것’이다(2006. 4. 국회 제정경제위원회 작성 전자금융거래법안 심사보고서 참조).
(나) 구 전자금융거래법 제9조 제1항 전단의 ‘접근매체의 위조’는 형법상 문서에 관한 죄에서 말하는 위조의 개념과 완전히 동일한 것은 아니다. 형법상 문서의 위조는 작성권한이 없는 자가 타인의 명의를 모용하여 타인 명의의 문서를 작성하는 것을 의미한다. 그러나 접근매체는 전형적인 문서가 아니라 ‘전자식 카드’부터 ‘생체정보’에 이르기까지 다양한 성질의 매체들로 구성되어 있기 때문에, 개별적인 접근매체의 성질에 맞추어 위조의 개념을 해석하여야 한다. 이 사건에서 문제 되는 접근매체인 공인인증서는 ‘전자적 정보’에 해당하므로, 그 성질에 맞게 위조의 개념을 해석하여야 한다. 타인의 정보를 부정하게 이용하여 공인인증서를 발급받은 경우는 접근매체의 위조라고 보아야 할 것이다. 위와 같이 해석하지 않을 경우 신용카드 등 카드 복제 이외에 전자금융거래법 제2조 제10호에서 접근매체로 정한 나머지 접근매체에 대하여 위조에 해당하는 경우를 상정하기 어렵다.
(다) 공인인증서는 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 전자적 정보에 해당한다. 또한 공인인증서의 재발급은 기존의 공인인증서를 폐기함과 동시에 새로운 공인인증서를 발급받는 것이다. 위와 같은 공인인증서의 성질, 공인인증서 재발급이 가지는 의미를 고려할 때, 성명불상자가 원고들의 정보를 부정하게 이용하여 공인인증서를 발급 또는 재발급받은 경우 공인인증서의 위조에 포함된다고 볼 수 있다.
(라) 또한 공인인증서의 구체적인 발급절차를 보더라도 타인의 정보를 부정하게 이용하여 공인인증서를 발급받거나 재발급받는 것은 공인인증서를 위조한 것이라고 볼 수 있다.
공인인증서의 발급절차는 다음과 같다. 우선 공인인증기관이 공인인증서를 발급받고자 하는 자의 신원을 확인한다(전자서명법 제15조 제1항). 통상 은행 또는 증권회사가 공인인증기관이 지정한 등록대행기관으로서 공인인증서 발급에 필요한 신청자의 신원을 확인하는 대면확인업무 등을 처리한다. 대면확인을 거친 신청자는 등록대행기관이 운영하는 공인인증서 발급용 웹페이지(이른바 ‘공인인증센터’에 해당한다)에 접속하여 공인인증서 발급에 필요한 프로그램을 내려받아 자신의 컴퓨터에 설치한다. 이 프로그램은 신청자의 컴퓨터에서 신청자 고유의 개인키 파일과 공개키 파일을 생성하여 저장하고, 신청자의 공개키를 신청자의 개인키로 전자서명한 인증서 발급요청 파일을 즉석에서 만들어 이것을 공인인증서버로 전송한다. 공인인증서버에서 신청자가 전송한 인증서발급요청 파일에 포함된 신청자의 전자서명을 검증하고 오류가 없는 경우 공인인증기관의 전자서명이 된 신청자의 공인인증서 파일을 생성하여 해당 파일을 신청자에게 전송한다. 신청자가 공인인증서버로부터 전송받은 공인인증서 파일을 컴퓨터에 저장하면 이때 ‘NPKI’라는 명칭의 폴더가 생성된다. 해당 폴더 안에 공인인증서 파일은 ‘signCert.der’이라는 이름으로, 신청자의 개인키 파일은 ‘signPri.key’이라는 이름으로 저장된다.
신청자의 개인키 파일이 전자서명법 제2조 제4호에 규정된 ‘전자서명생성정보’에 해당하고, 일반적으로 공인인증서라고 할 때에는 위 인증서 파일과 개인키 파일을 합한 것을 의미한다. 전자금융거래법 제2조 제10호 (나)목에서도 ‘전자서명법 제2조 제4호의 전자서명생성정보 및 같은 조 제7호의 인증서’를 접근매체로 함께 규정하고 있다.
타인의 정보를 부정하게 이용하여 공인인증서를 발급 또는 재발급받는 경우 위 인증서 파일과 동시에 접근매체인 전자서명생성정보(개인키 파일)까지도 임의로 생성하는 것이 된다. 공인인증서 파일의 경우 공인인증기관이 생성하지만, 개인키 파일은 공인인증서 발급을 신청하는 신청자의 컴퓨터에서 생성되는 전자적 정보로서 신청자인 것처럼 행세를 하면서 개인키 파일을 함부로 생성하는 것은 ‘위조’에 해당한다고 할 수 있다.
(마) 2013. 5. 22. 법률 제11814호로 개정된 전자금융거래법은 제9조 제1항에서 제3호로 ‘전자금융거래를 위한 전자적 장치 또는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고’를 추가하여, 그와 같은 사고로 인하여 이용자에게 손해가 발생한 경우에도 금융회사 또는 전자금융업자에게 그 손해를 배상할 책임이 있다고 규정하고 있다. 위와 같이 법률이 개정된 경위는 이른바 ‘보이스 피싱(Voice Phishing: 전화를 통하여 신용카드 번호 등의 개인정보를 알아낸 뒤 이를 범죄에 이용하는 전화금융사기 수법을 말한다)’이나 ‘파밍(Pharming: 악성코드에 감염된 컴퓨터를 조작하여 이용자가 정확한 웹 페이지 주소를 입력해도 가짜 웹 페이지에 접속하게 하여 개인정보를 훔치는 범죄 수법을 말한다)’과 같은 전자금융사고의 경우에도 구 전자금융거래법 제9조 제1항에 따른 책임이 발생하는지 여부에 대해 논란이 생기자, 위와 같은 경우에도 금융회사 등이 책임을 진다는 것을 명확히 하기 위한 것이라고 볼 수 있다.
나) 성명불상자가 공인인증서를 불법적으로 복제한 경우가 접근매체의 위조에 해당하는지 여부
(1) 무단으로 공인인증서를 복제한 경우 공인인증서의 위조에 해당하는지 여부
공인인증서 파일을 복제할 권한이 없는 자가 이를 복제한 경우 작성권한이 없는 자가 타인 명의를 모용하여 타인 명의의 문서를 작성하는 것과 마찬가지로 공인인증서 위조에 해당한다고 할 것이다.
(2) 성명불상자가 무단으로 공인인증서를 복제한 것으로 볼 수 있는지 여부
원고 1, 7, 12, 15, 19, 30, 33, 35, 36의 공인인증서는 이 사건 사고 일자 무렵에 발급되거나 재발급되지 않았다. 그런데도 성명불상자는 인터넷 뱅킹이나 스마트폰 뱅킹을 이용하여 위 원고들 명의의 계좌에서 수차례 이체거래를 하였는데, 성명불상자가 위 원고들의 공인인증서를 취득하여 이용한 것으로 볼 수 있다. 성명불상자가 위와 같이 공인인증서를 취득할 수 있는 방법은 ① 위 원고들이 컴퓨터에 저장한 공인인증서를 무단으로 복제하는 방법, ② 위 원고들이 공인인증서를 저장한 컴퓨터나 스마트폰 등 저장매체 자체를 취득하는 방법이 있을 수 있다.
갑 제19, 20, 22호증의 각 기재, 변론 전체의 취지를 종합하여 알 수 있는 다음과 같은 사정에 비추어 보면, 성명불상자는 위 원고들이 컴퓨터에 저장한 공인인증서를 무단으로 복제하였다고 할 것이다.
① 악성코드에 감염된 컴퓨터나 스마트폰의 경우 컴퓨터나 스마트폰에 저장된 정보가 유출될 수 있고, 공인인증서 자체를 복제하는 것도 가능하다. 위 원고들은 자신이 사용하는 컴퓨터가 악성코드에 감염된 사실조차 알지 못하여 허위의 사이트로 접속하였는데, 컴퓨터에 저장된 공인인증서의 유출경위나 그 과정에 대해 알 수 없었을 것이다.
② 위 원고들은 이 사건 사고 발생을 알게 된 후 수사기관에 피해신고를 하면서 자신들이 공인인증서를 분실하거나 도난당하지 않았다고 진술하였다.
③ 한편 성명불상자가 우연한 기회에 위 원고들의 공인인증서가 저장된 컴퓨터나 이동저장장치 자체를 취득하였다고 하더라도 그 컴퓨터나 이동저장장치에 저장된 공인인증서 등을 사용하여 이체거래를 하기 위해서는 해당 공인인증서의 사용자가 누구인지 알아낸 다음 그 사용자의 금융거래정보 등과 연결시켜 사용해야 한다. 그런데 이러한 경우 우연히 취득한 컴퓨터나 이동저장장치에 저장된 공인인증서 등의 사용자를 알아내서 그 사용자의 컴퓨터를 다시 악성코드에 감염시키거나 허위의 사이트로 유인하여 금융거래정보 등을 취득한다는 것은 현실적으로 불가능하다.
다) 권한 없는 자가 보안카드 번호 등을 입력한 경우 접근매체의 위조에 해당하는지 여부
텔레뱅킹에서 자금이체거래를 하는 경우 전화기의 다이얼 버튼으로 자금이체 비밀번호, 보안카드 번호 또는 일회용 비밀번호 발생기(OTP)에서 생성되는 비밀번호, 출금계좌 비밀번호 등을 입력하여야 거래를 할 수 있다. 성명불상자는 2013. 7. 31. 텔레뱅킹을 통해 원고 5의 계좌번호, 계좌비밀번호, 보안카드 번호 등을 입력하여 이체거래를 하였다. 성명불상자가 부정하게 취득한 원고 5의 계좌번호, 계좌비밀번호, 보안카드 번호 등을 입력한 것도 접근매체인 보안카드를 위조한 것이라고 할 수 있다.
4) 피고 농협은행과 피고 회덕 농업협동조합 등이 부진정연대책임을 부담하는지 여부
가) 구 전자금융거래법 제9조 제1항의 책임 주체
구 전자금융거래법상의 ‘이용자’라 함은 전자금융거래를 위하여 금융기관 또는 전자금융업자와 전자금융거래계약을 체결하고, 그에 따라 전자금융거래를 이용하는 자를 의미한다(구 전자금융거래법 제2조 제7호). 따라서 구 전자금융거래법 제9조 제1항에 따라 이용자에게 손해를 배상할 책임을 부담하는 ‘금융기관 또는 전자금융업자’는 이용자와 전자금융거래계약을 체결한 금융기관 또는 전자금융업자를 의미한다고 보아야 한다. 이와 달리 위 조항이 ‘이용자와 예금계약을 체결한 금융기관과 전자금융거래계약을 체결한 금융기관이 서로 다를 경우, 두 개의 금융기관이 부진정연대책임을 부담하도록 하는 조항’이라고 해석할 아무런 근거가 없다.
나) 이 사건의 경우
피고 농협은행은 농업협동조합법 제134조의4에 따라 농업협동조합중앙회가 신용산업을 분리하여 설립한 금융기관으로서, 구 전자금융거래법 제2조 제3호 (가)목, 금융위원회의 설치 등에 관한 법률 제38조 제7호에서 규정된 ‘금융기관’에 해당한다. 피고 회덕 농업협동조합, 장승포 농업협동조합, 남부안 농업협동조합, 성연 농업협동조합, 상동 농업협동조합(이하 위 피고들을 ‘피고 회덕 농협 등’이라 한다)은 조합원이 필요로 하는 기술, 자금 및 정보를 제공하여 조합원의 경제적·사회적·문화적 지위 향상을 증대시키는 것을 목적으로 하는 지역조합으로 구 전자금융거래법 제2조 제3호 (마)목, 같은 법 시행령 제2조 제5호에서 정해진 ‘금융기관’에 해당하고, 피고 농협은행과는 별개의 법인이다.
피고 농협은행이 사용하는 전자금융거래 기본약관의 제1조는 “이 약관은 피고 농협은행(농업협동조합상의 조합 포함, 이하 ‘농협’이라 한다)과 이용자 사이의 전자금융거래에 관한 기본적인 사항을 정함으로써, 거래의 신속하고 효율적인 처리를 도모하고 거래당사자 상호간의 이해관계를 합리적으로 조정하는 것을 목적으로 한다.”라고 규정하고 있다. 또한 전자금융서비스 이용약관 제1조는 “이 약관은 전자금융거래 기본약관의 기본 취지를 바탕으로 피고 농협은행(농업협동조합상의 조합 포함, 이하 ‘농협’이라 한다)과 농협이 제공하는 농협 전자금융(인터넷 뱅킹, 텔레뱅킹, 모바일 뱅킹, TV 뱅킹 서비스 등, 이하 ‘서비스’라 한다)을 이용하는 고객(이하 ‘이용자’라 한다) 간의 서비스 이용에 관한 제반 사항을 정함을 목적으로 한다.”라고 규정하고 있다.
원고 8, 9, 24, 25, 29, 34, 33은 지역조합인 피고 회덕 농협 등과 예금계약을 하고 계좌를 개설하였다[원고 33은 지역조합인 유성 농업협동조합에 계좌를 개설하였고, 원고 34는 화순 농업협동조합에 일부 계좌(계좌번호 40 생략)를 개설하였다. 그러나 원고 33, 34는 피고 농협은행에 계좌를 모두 개설한 것처럼 주장하고 있다]. 한편 위 원고들은 피고 농협은행과 사이에 전자금융거래 계약을 체결하고 인터넷 뱅킹 서비스를 이용하였다.
따라서 원고 8, 9, 24, 25, 29, 34, 33은 전자금융거래 계약을 체결한 피고 농협은행만을 상대로 구 전자금융거래법 제9조 제1항에 따른 손해배상책임을 청구할 수 있을 뿐이고, 예금계약을 체결한 지역조합인 피고 회덕 농협 등에 대해서는 구 전자금융거래법 제9조 제1항에 따른 손해배상책임을 청구할 수 없다.
원고 8, 9, 24, 25, 29의 피고 회덕 농협 등에 대한 청구는 받아들이지 않는다(원고 34, 33은 피고 농협은행에 대해서만 구 전자금융거래법 제9조 제1항에 따른 손해배상책임을 청구하고 있고, 지역조합을 상대로 위와 같은 주장을 하고 있지 않다).
5) 소결
이 사건 사고는 구 전자금융거래법 제9조 제1항 전단의 ‘접근매체의 위조’로 발생한 사고에 해당하거나, 적어도 위 규정이 유추적용되어야 한다고 할 것이다. 따라서 특별한 사정이 없는 한 피고 회덕 농협 등을 제외한 나머지 피고들(이하 ‘피고 은행들’이라 한다)은 원고들에게 원고들이 이 사건 사고로 입은 손해를 배상할 의무가 있다.
3. 피고 은행들의 항변에 대한 판단
가. 피고 은행들의 항변
1) 피고 은행들은 이 사건 사고가 발생하기 이전인 2012년부터 위 피고들이 운영하는 홈페이지 사이트에 이른바 피싱이나 파밍과 같은 전자금융사기의 범행 방법과 주의사항 등을 게시하였다. 특히 ‘보안카드 번호 전체 입력 절대금지’라는 경고문을 지속적으로 게시하였고, 이용자들에게 문자 메시지나 이메일 등을 통하여 위와 같은 내용을 알려주었다.
그런데 원고 1, 9, 24를 제외한 나머지 원고들과 소외 1, 2, 3은 위와 같이 허위의 사이트로 접속된 상태에서 원고들이 소지한 보안카드 번호와 공인인증서 비밀번호 등을 모두 입력하였다. 원고 1, 9, 24를 제외한 나머지 원고들과 소외 1, 2, 3은 제3자가 권한 없이 자신의 접근매체인 공인인증서 비밀번호, 보안카드 번호 등을 가지고 전자금융거래를 할 수 있음을 쉽게 알 수 있었음에도 위와 같은 접근매체인 공인인증서 비밀번호나 보안카드 번호 등을 누설하거나 노출한 경우에 해당한다. 따라서 이 사건 사고는 원고들의 중대한 과실로 인해 발생한 것이므로 구 전자금융거래법 제9조 제2항 제1호, 같은 법 시행령 제8조 제2호, 전자금융거래 기본약관 제20조 제2항 제3호에 따라 피고 은행들의 책임이 면제된다.
2) 또한 원고 1은 그 처인 소외 1에게 접근매체인 공인인증서 등의 사용을 위임하면서 접근매체인 공인인증서 비밀번호 등을 누설한 경우에 해당하므로, 구 전자금융거래법 제9조 제2항 제1호, 같은 법 시행령 제8조 제1호, 전자금융거래 기본약관 제20조 제2항 제2호에 따라 피고 신한은행의 원고 1에 대한 책임은 면책되어야 한다.
3) 원고 4, 26, 27, 35는 금융거래정보 등을 입력하여 접근매체를 분실하거나 도난당하였는데, 피고 국민은행에 사고 신고나 통지 등을 하지 않았다. 따라서 이 사건 사고는 위 원고들의 분실 등의 신고 전에 발생한 사고이므로, 구 전자금융거래법 제10조 제1항에 따라 피고 국민은행의 위 원고들에 대한 책임은 면책되어야 한다.
나. 인정 사실
1) 원고들은 〈표 1〉 기재 일자부터 피고 은행들과 사이에 전자금융거래를 하였다.
2) 피고 은행들의 전자금융거래 기본약관은 구 전자금융거래법 제9조와 관련하여 다음과 같이 정하고 있다.
제6조(접근매체의 관리)
이용자는 다른 법률에 특별한 규정이 없는 한 전자금융거래에 필요한 접근매체를 제3자에게 대여, 사용위임 또는 양도·담보 제공하거나 본인 이외의 제3자에게 누설해서는 안 되며, 접근수단의 도용이나 위조 또는 변조를 방지하기 위한 관리에 충분한 주의를 기울여야 한다.
제20조(손실부담 및 면책)
① 은행은 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에 그 금액과 1년 만기 정기예금 이율로 계산한 경과이자를 보상한다. 다만, 부정이체 결과로 당해 계좌에서 발생한 손실액이 1년 정기예금 이율로 계산한 금액을 초과하는 경우에는 당해 손실액을 보상한다.
② 제1항의 규정에도 불구하고 은행은 다음 각 호에 해당하는 경우에는 이용자에게 손해가 생기더라도 책임의 전부 또는 일부를 지지 아니한다.
1. 천재지변, 전쟁, 테러 또는 은행의 귀책사유 없이 발생한 정전, 화재, 건물의 훼손 또는 테러 등 불가항력으로 인한 경우
2. 이용자가 접근매체를 제3자에게 대여하거나 사용을 위임하거나 양도 또는 담보 목적으로 제공한 경우
3. 제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 이용자가 자신의 접근매체를 누설 또는 노출하거나 방치한 경우
③ 이용자로부터 접근매체의 분실이나 도난의 통지를 받은 경우에는 은행은 그때부터 제3자가 그 접근매체를 사용함으로 인하여 이용자에게 발생한 손해를 보상한다.
3) 원고 2 등의 이 사건 사고 후 상황
가) 원고 2는 2013. 8. 8. 자신의 사무실에서 컴퓨터로 피고 신한은행 홈페이지에 접속하려고 하였으나, 컴퓨터가 악성코드에 감염되어 허위 사이트로 접속하게 되었고, 보안강화를 위한 창이 떠서 주민등록번호, 계좌번호 및 그 비밀번호, 공인인증서 비밀번호, 보안카드 번호 전부를 입력하였다. 원고 2는 그 후 피고 신한은행으로부터 공인인증서가 재발급되었다는 문자 메시지를 받았다.
나) 원고 8은 2013. 7. 22. 18:00경 자신의 사무실에서 컴퓨터로 피고 농협은행 홈페이지에 접속하려고 하였으나, 컴퓨터가 악성코드에 감염되어 허위 사이트로 접속하게 되었고, 보안강화를 위한 창이 떠서 주민등록번호, 계좌번호 및 그 비밀번호, 공인인증서 비밀번호, 보안카드 번호 전부를 입력하였다. 원고 8은 2013. 7. 22. 19:52경 피고 농협은행으로부터 공인인증서가 재발급되었다는 문자 메시지를 받았다. 원고 8은 같은 날 19:56 1,850,000원, 19:58 1,810,000원이 각 송금되었다는 문자 메시지를 받고 피고 농협은행 콜센터에 전화를 하여 피해사실을 신고하였으나, 피해사실이 접수되는 사이인 2013. 7. 22. 20:00부터 20:10까지 약 10분 사이에 11회에 걸쳐 합계 2,034만 원이 이체되었다.
다) 원고 9의 아들인 소외 2는 평소 원고 9 명의의 계좌를 사용하면서 인터넷 뱅킹과 같은 전자금융거래를 하였다. 소외 2는 2013. 8. 14. 9:00경 자신의 집 컴퓨터에서 포털 사이트를 통하여 피고 농협은행 홈페이지에 접속하려고 하였으나, 컴퓨터가 악성코드에 감염되어 허위 사이트로 접속하게 되었고, 보안카드 번호, 그 일련번호 등을 입력하였다. 원고 9는 2013. 8. 14. 11:30경 피고 농협은행으로부터 공인인증서가 재발급되었다는 문자 메시지를 받았다.
라) 원고 31은 2013. 7. 31. 피고 농협은행으로부터 공인인증서가 재발급되었다는 문자 메시지를 받았다. 원고 31은 그 후 피고 농협은행의 콜센터로 전화하여 이체내역을 확인하였다.
마) 원고 32는 2013. 8. 5. 17:30경 자신의 사무실에서 컴퓨터로 피고 농협은행이 운영하는 인터넷 홈페이지에 접속하려고 하였고, 컴퓨터가 악성코드에 감염되어 허위 사이트로 접속하게 되었다. 원고 32가 위 허위 사이트에 보안카드 번호 전부와 각종 금융거래정보를 입력하였다. 원고 32는 2013. 8. 5. 17:58 피고 농협은행으로부터 원고 32의 계좌에서 1,990,000원이 이체되었다는 문자 메시지를 받았다(2013. 8. 5. 17:58부터 18:11까지 합계 11,074,500원이 6회에 걸쳐 이체되었고, 피고 농협은행은 해당 이체 내역을 모두 문자 메시지로 통지하였다). 원고 32는 그 후 피고 농협은행 콜센터로 전화하여 위 계좌에 대한 지급정지를 요청하였다.
바) 원고 34는 2013. 9. 14. 15:25경 이체 내역 문자 메시지를 받고 같은 날 15:28경 피고 농협은행 콜센터로 전화를 하였으나, 전화연결이 되지 않았다. 원고 34는 2013. 9. 14. 15:35경 다시 피고 농협은행 콜센터로 전화를 하여 피해사실을 신고하였으나, 피해사실이 접수되는 사이인 15:37, 15:38, 15:41 세 차례 금원이 이체되었다.
[인정 근거] 다툼 없는 사실, 갑 제19 내지 22호증, 을가 제1호증, 을나 제3호증, 을다 제7호증, 을라 제2호증, 을마 제2, 3호증의 각 기재, 변론 전체의 취지
다. 판단
1) 원고들에게 구 전자금융거래법 제9조 제2항 제1호 등이 정한 ‘중대한 과실’이 인정되는지 여부
가) 구 전자금융거래법 제9조 제2항 제1호에 규정된 ‘중대한 과실’의 판단 기준
위에서 본 바와 같이 구 전자금융거래법 제9조는 제1항에서 금융기관 등은 그 법률에서 정하는 접근매체의 위조나 변조로 발생한 사고 등으로 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다고 정하고 있다. 제2항은 제1항의 규정에 불구하고 금융기관 등은 “사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우” 등에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다고 정하고 있다.
구 전자금융거래법 시행령 제8조는 위 법률 제9조 제3항의 위임에 따라 위 법률 제9조 제2항에서 말하는 ‘고의나 중대한 과실’의 구체적 내용을 규정하고 있는데, 제1호에서 “이용자가 접근매체를 제3자에게 대여하거나 그 사용을 위임한 경우 또는 양도나 담보의 목적으로 제공한 경우(법 제18조에 따라 선불전자지급수단이나 전자화폐를 양도하거나 담보로 제공한 경우를 제외한다)”, 제2호에서 “제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치한 경우”를 정하고 있다. 또한 피고 은행들이 사용하는 전자금융거래 기본약관 제20조에서도 위 법령의 취지를 반영한 규정을 두고 있다.
여기서 위 법령이나 약관에서 정하는 ‘고의 또는 중대한 과실’이 있는지 여부는 접근매체의 위조 등 금융사고가 일어난 구체적인 경위, 그 위조 등 수법의 내용 및 그 수법에 대한 일반인의 인식 정도, 금융거래 이용자의 직업 및 금융거래 이용경력 기타 제반 사정을 고려하여 판단할 것이다(대법원 2014. 1. 29. 선고 2013다86489 판결 참조).
나) 이 사건의 경우
위 인정 사실과 을가 제3, 5, 10, 12호증, 을나 제37 내지 40호증, 을다 제3호증, 을라 제3, 6, 7, 8호증, 을마 제4호증, 을바 제30 내지 34호증의 각 기재, 변론 전체의 취지를 종합하면 알 수 있는 다음과 같은 사정들에 비추어 보면, 이 사건 사고 발생에서 원고들에게 중대한 과실이 있다고 할 것이다.
(1) 통상 전자금융거래 이용자는 ‘본인은 전자금융거래 기본약관, 전자금융서비스 이용약관을 승낙한다’라는 문구가 기재된 전자금융거래신청서에 서명을 하는 등의 방법으로 전자금융거래 기본약관 및 전자금융서비스 이용약관에 동의를 하거나 공인인증서를 발급받으면서 전자금융거래 기본약관 및 전자금융서비스 이용약관에 동의를 하고 전자금융거래를 시작하게 된다(사실상 전자금융거래 기본약관 및 전자금융서비스 이용약관에 동의를 하여야 전자금융거래를 할 수 있는 구조이다). 원고들 역시 피고 은행들의 전자금융거래 기본약관에 동의하고 위와 같이 전자금융거래를 시작하였다고 할 것이다.
(2) 피고 은행들은 이 사건 사고 발생 당시 자신들이 운영하는 인터넷 홈페이지에 ‘공공기관(검찰, 금융감독원)과 금융기관(은행이나 카드사 등)은 보안승급 등을 이유로 개인 금융정보 입력을 요구하지 않습니다’, ‘보안카드 번호 및 코드번호 전체 입력 절대 금지’ 등과 같은 내용의 안내문을 지속적으로 게시하였다.
또한 피고 신한은행은 2013. 1. 17.부터 2013. 7. 15.까지 원고 17, 18, 19, 20에게 피싱(허위) 사이트 주의를 당부하는 내용의 이메일을 2~3회에 걸쳐 발송하였다. 피고 국민은행은 전자금융사기를 예방하기 위하여 원고 4, 26, 27, 35에게 2012. 3.부터 2013. 3.까지 ‘피고 국민은행을 사칭한 피싱 사이트 주의’, ‘보안카드 번호 35개 입력금지’ 등과 같은 내용의 이메일과 문자 메시지를 수차례 발송하였다. 피고 중소기업은행은 2013. 5. 14. 원고 6에게, 2012. 6. 11.과 2013. 5. 14. 원고 36에게 ‘중소기업은행을 사칭하는 가짜 홈페이지(피싱 사이트) 주의 안내’ 등의 이메일을 발송하였다.
(3) 원고 2, 4, 5, 6, 8, 12, 13, 14, 16, 17, 19, 20, 21, 25, 26, 27, 30, 32, 34, 35는 수사기관에서 소지하고 있던 보안카드의 번호 전부를 입력하였다고 진술하였고, 위 원고들을 제외한 나머지 원고들이 입력한 보안카드 번호 개수는 명확하지 않다.
그러나 보안카드에는 4자리 숫자 조합들이 30개 또는 35개 정도가 기재되어 있다. 은행은 거래마다 무작위로 선택된 숫자의 조합을 입력하도록 요구하므로, 물리적으로 보안카드를 소지하고 있거나 위 카드에 기재된 숫자조합을 전부 알고 있지 않으면, 이체거래에서 은행이 매번 무작위로 요구하는 숫자를 정확하게 입력하는 것은 거의 불가능하다. 성명불상자는 이체한도 등의 제한으로 인하여 한 번에 피해금액을 이체하지 못하였고, 수회에 걸쳐 이체거래를 하였다. 성명불상자가 보안카드 번호를 전부 알지 못하는 경우 수회에 걸쳐 이체거래를 하는 것이 사실상 불가능하다. 그러므로 원고 29를 제외한 나머지 원고들(원고 1, 9, 24는 그 처나 아들)은 자신이 소지한 보안카드 번호 전체를 입력하였다고 할 것이다.
원고 29는 통상의 이체거래와 같이 보안카드의 2자리 숫자 조합 2개를 입력한 것으로 보인다. 그러나 원고 29의 경우 악성코드와 관련된 문자를 확인하는 순간 스마트폰이 악성코드에 감염된 것이고, 원고 29가 평소 스마트폰 뱅킹을 자주 이용하고 있어 보안카드 관련 정보를 스마트폰에 저장하고 사용한 것으로 보인다(보안카드를 사진이나 메모 파일 형태로 스마트폰에 저장하여 이용하는 경우가 많고, 스마트폰이 악성코드에 감염될 경우 해당 정보는 모두 유출된다). 성명불상자가 원고 29의 계좌에서 총 77회에 걸쳐 계좌이체를 하였는데, 원고 29의 보안카드 번호 전체를 알지 못한다면 위와 같은 거래가 일어나는 것은 불가능할 것이다.
(4) 원고들이 인터넷 뱅킹 서비스를 이용한 경력은 적게는 1년, 많게는 10년에 이른다. 따라서 원고들은 정상적인 거래라면 보안카드 번호 2자리 숫자 조합 2개를 입력한다는 사정은 충분히 알 수 있었을 것으로 보인다. 특히 원고 8 등은 ‘보안카드 번호 전체를 입력하라는 창이 떠서 이상하다는 의심을 하였다’라는 취지로 수사기관에서 진술하기도 하였다.
또한 원고 1 등은 위와 같이 금융거래정보 입력 후 ‘2시간 내지 24시간 이용이 불가능하다’라는 공지를 보았는데, 보안승급이나 보안강화를 위하여 인터넷 뱅킹 서비스 이용을 제한한다는 것은 매우 이례적이다. 인터넷 뱅킹 시스템의 불안정 등을 이유로 이용이 불가능하게 되는 경우가 간혹 발생하지만, 위와 같이 보안승급이나 보안강화 등을 이유로 이용이 제한되는 경우는 없었다.
(5) 원고들의 직업은 경찰, 의사, 공무원, 회사원, 대학교수, 자영업자 등으로 다양하다. 원고들의 나이나 사회경험, 인터넷 뱅킹 이용 경력이나 그 빈도, 피고 은행들의 전자금융사기에 대한 경고나 안내문 등 게시 현황 등에 비추어 보면, 원고들은 보안카드 번호 전체를 입력하는 것은 매우 이례적인 일이고, 통상의 거래에서 금융기관이 보안카드 번호 전체를 요구하지 않는다는 사정을 충분히 인식하고 있었던 것으로 볼 수 있다.
2) 원고들이 부담하는 책임의 범위
가) 일반 법리와 주요 쟁점
위에서 본 바와 같이, 구 전자금융거래법 제9조 제2항은 제1항의 규정에 불구하고 금융기관 등은 “사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우” 등에는 그 책임의 ‘전부 또는 일부’를 이용자가 부담하게 할 수 있다고 정하고 있다. 그런데 피고 은행들이 사용하는 전자금융거래 기본약관에서 접근매체의 위조나 변조로 발생한 사고로 인하여 이용자에게 손해가 발생한 경우라도 ‘이용자가 접근매체를 제3자에게 대여하거나 사용을 위임하거나 양도 또는 담보 목적으로 제공한 경우’나 ‘제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 이용자가 자신의 접근매체를 누설 또는 노출하거나 방치한 경우’에는 책임의 ‘전부’가 아니라 책임의 ‘전부 또는 일부’를 이용자의 부담으로 한다고 정하고 있다. 접근매체의 위조로 발생한 사고라도 이용자에게 중대한 과실이 있는 경우 이용자에게 그 손해배상 책임의 ‘전부 또는 일부’를 부담하게 할 수 있다. 따라서 이용자에게 사고 발생에 관하여 중대한 과실이 있다고 하더라도 금융기관이 그 책임을 곧바로 면한다고 할 수는 없다.
이 사건에서 원고 1, 9, 24를 제외한 나머지 원고들과 소외 1, 2, 3은 금융기관의 인터넷 홈페이지로 접속하려고 하다가 보안카드 번호 등을 모두 노출하게 되었다. 원고들의 이러한 잘못이 구 전자금융거래법 제9조 제1항에서 정한 중대한 과실에 해당하더라도 이용자인 원고들에게 책임의 전부를 부담시킬 정도라고 볼 수 있는지, 책임의 일부만을 부담시킬 정도에 불과한지, 아니면 책임의 일부조차 부담시켜야 할 정도에도 미치지 못하는 것인지 문제 된다. 결국 이용자들의 중대한 과실의 정도에 따라 이용자들이 부담할 책임의 존부와 범위를 개별적으로 결정하여야 한다.
이때 중대한 과실의 정도와 그에 따른 책임 부담의 범위에 관해서는 제3자에게 접근매체의 사용을 위임한 경우, 제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 쉽게 알 수 있었음에도 불구하고 이용자가 접근매체를 노출한 경우, 공인인증서의 재발급 통지를 받고도 아무런 조치를 취하지 않은 경우 등으로 구분해서 살펴볼 필요가 있다.
나) 제3자에게 접근매체의 사용을 위임한 경우
제3자에게 접근매체의 사용을 위임한 경우 구 전자금융거래법 제9조 제2항 제1호, 같은 법 시행령 제8조 제1호, 전자금융거래 기본약관 제20조 제2항 제2호에 따라 금융기관은 책임의 전부 또는 일부를 부담하지 않는다. 접근매체인 공인인증서는 금융거래를 하는 자의 본인확인수단으로서 일신전속적인 속성이 강하다. 따라서 공인인증서는 다른 사람에게 양도하거나 위임하여 이를 사용하도록 해서는 안 된다. 이에 따라 위 법률과 위 약관에서도 접근매체의 사용을 위임하는 것을 엄격하게 금지하고 있다.
또한 제3자가 공인인증서의 사용을 위임받아 이를 사용하다가 파밍이나 보이스 피싱과 같은 금융사고 위험에 처했을 때, 접근매체인 보안카드 등을 어느 정도로 노출하는지 여부는 개별적인 거래행위자가 누구인지에 따라서 달라질 수밖에 없다. 그러므로 전자금융거래의 이용자가 제3자에게 접근매체 사용을 위임하고 그 제3자가 접근매체를 사용하던 중 접근매체인 보안카드 번호 전체를 노출시켜 사고가 발생한 경우에는 이용자가 원칙적으로 책임을 부담한다고 보아야 할 것이다.
원고 1은 처인 소외 1에게, 원고 9는 아들인 소외 2에게, 원고 24는 처인 소외 3에게, 접근매체에 해당하는 위 원고들 명의의 공인인증서 및 그 비밀번호 등의 사용을 위임하였다. 소외 1, 2, 3이 접근매체인 보안카드 번호 전체를 입력하여 접근매체를 누설하거나 노출시킨 사정, 위 원고들이 제3자에 대해 접근매체 사용을 위임한 사정, 원고 9의 경우 아래 라)항 기재와 같이 공인인증서가 재발급되었다는 문자 메시지를 받고도 그러한 사실을 피고 농협은행에 신고하는 등의 적절한 조치를 취하지 않은 점 등 이 사건 변론에 나타난 여러 사정을 감안하면, 이 사건 사고로 인하여 원고 1, 9, 24에게 발생한 손해는 위 원고들이 전부 부담한다고 할 것이다.
다) 제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 쉽게 알 수 있었음에도 불구하고 이용자가 접근매체를 노출한 경우
제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 쉽게 알 수 있었음에도 불구하고 이용자가 접근매체를 노출한 경우에는 구 전자금융거래법 제9조 제2항 제1호, 같은 법 시행령 제8조 제2호, 전자금융거래 기본약관 제20조 제2항 제3호에 따라 금융기관은 책임의 전부 또는 일부를 부담하지 않는다.
원고들은 이상한 문자 또는 전화로 허위의 인터넷 사이트 주소를 입력하여 해당 사이트로 접속하게 된 것이 아니라, 즐겨찾기나 인터넷 포털사이트를 통하여 피고 은행들이 운영하는 인터넷 홈페이지에 접속을 시도하였다. 원고들은 정상적인 방법으로 피고 은행들이 운영하는 인터넷 홈페이지로 접속하려고 한 것이다. 그러나 성명불상자가 원고들을 허위의 사이트로 유도하였고, 개인정보 유출 등으로 인하여 보안강화나 보안승급의 필요성이 높아진 점을 악용하여 원고들에 대하여 보안승급, 보안강화, 전자금융사기 피해예방 등을 이유로 정보를 입력하여야 한다고 기망하였다.
이 사건 원고들의 경우, 보이스 피싱 등의 피해로 성명불상자로부터 걸려온 전화를 받고 금융거래와 무관한 허위 인터넷사이트에 접속한 후 자신의 정보를 모두 입력한 경우와는 다르다고 할 수 있다. 원고들은 피고 은행들이 운영하는 금융기관의 인터넷 홈페이지로 접속하려고 하다가 허위의 금융기관 사이트로 이동하여 보안승급, 보안강화, 전자금융사기 피해예방 등을 이유 등의 안내를 받고 접근매체 등을 입력하게 된 것이다(원고 17만 금융감독원 사이트로 이동되어 위와 같이 정보를 입력하였다).
이러한 점에 비추어 볼 때, 접근매체를 노출한 원고들의 잘못이 구 전자금융거래법 제9조 제1항에서 정한 피고 은행들의 책임을 전부 이용자인 원고들에게 부담시킬 정도라고 볼 수 없다. 위와 같이 원고 1, 2, 9, 24를 제외한 나머지 원고들이 허위의 사이트에 접속하게 된 경위, 각종 정보를 유출하게 된 경위 등과 같은 사정들을 감안하면, 이 사건 사고로 인하여 위 원고들에게 발생한 손해의 80%는 위 원고들이 부담하여야 한다고 보아야 할 것이다.
라) 공인인증서의 재발급 통지를 받고도 아무런 조치를 취하지 않은 경우
공인인증서의 재발급 통지를 받고도 아무런 조치를 취하지 않은 경우에 대해서는 전자거래금융법이나 약관에서 그 책임의 ‘전부 또는 일부’를 이용자가 부담하게 할 수 있는 경우로 규정하고 있지 않다. 그러나 공인인증서가 재발급된 경우 기존 공인인증서는 폐기되므로, 이는 공인인증서를 분실하거나 도난당한 경우와 동일하게 이용자들에게 신고 등의 조치를 취할 의무가 있다고 할 것이다. 또한 이 사건과 같이 본인의 의사에 기하지 않은 채 공인인증서가 재발급되었음을 알리는 통지를 받았는데도 아무런 조치를 취하지 않을 경우 거래계좌에서 예금이 계속 인출되는 등 손해가 확대되므로, 손해의 확대에 기여한 잘못을 고려해야 할 것이다.
원고 2, 9는 공인인증서가 재발급되었다는 문자 메시지를 받고도 그러한 사실을 피고 신한은행, 농협은행에 신고하는 등의 적절한 조치를 취하지 않았다.
원고 2와 소외 2가 접근매체인 보안카드 번호 전체를 입력하여 접근매체를 누설하거나 노출시킨 중대한 과실과 위와 같은 접근매체 도난 또는 분실 사고에 대한 적절한 조치를 이행하지 않은 사정을 감안하면, 이 사건 사고로 인하여 원고 9에게 발생한 손해는 위 나)항 기재와 같이 원고 9가 전부를 부담하고, 원고 2에게 발생한 손해의 90%를 원고 2가 부담한다고 보아야 한다.
한편 피고 국민은행은 원고 4, 26, 27, 35가 접근매체를 분실하거나 도난당하였는데도 이를 신고하지 않았으므로 피고 국민은행이 면책되어야 한다고 주장한다. 원고 4, 26, 27, 35가 공인인증서 등과 같은 접근매체를 분실하거나 도난당한 사실을 알면서도 그 사실을 피고 국민은행에 신고하지 않았다고 볼 만한 아무런 증거가 없다. 따라서 피고 국민은행의 위 주장은 받아들이지 않는다.
3) 소결
원고 1, 2, 9, 24를 제외한 나머지 원고들의 경우 위 원고들에게 발생한 손해의 20%를 해당 원고들과 전자금융거래계약을 체결한 피고 은행들이 배상할 의무가 있고, 원고 2에게 발생한 손해의 10%는 피고 신한은행이 배상할 책임이 있다.
따라서 별지 인용금액표 피고란 기재 피고 은행들은 원고란 기재 원고들에게, 인용금액란 기재 각 금원 및 위 각 금원에 대하여 이 사건 소장부본 송달일 다음 날인 기산일란 기재 일자부터 이 판결 선고일인 2015. 1. 15.까지는 위 피고들이 그 이행의무 존부 및 범위에 관하여 항쟁함이 상당하다고 인정되므로 민법이 정한 연 5%, 그 다음 날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법이 정한 연 20%의 각 비율로 계산한 지연손해금을 지급할 의무가 있다.
4. 결론
그렇다면 원고 1, 9, 24, 8, 25, 29를 제외한 나머지 원고들의 청구 및 원고 8, 25, 29의 피고 농협은행에 대한 청구는 위 인정 범위 내에서 이유 있어 인용하고 각 나머지 청구는 이유 없어 기각하고, 원고 1, 9, 24의 청구와 원고 8의 피고 회덕 농업협동조합에 대한 청구, 원고 25의 피고 성연 농업협동조합에 대한 청구, 원고 29의 피고 상동 농업협동조합에 대한 청구는 모두 이유 없어 기각하기로 하여 주문과 같이 판결한다.
[[별 지 1] 인용금액표: 생략]
[[별 지 2] 관련 법령: 생략]