【판례<신종금융사기 관련 전자금융거래의 효력 및 손해배상 여부, 명의도용에 의한 전자금융거래의 효력과 책임>】《공인인증서에 의한 전자금융거래의 경우 ‘작성자 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유’의 존부 및 손해배상책임(대법원 2018. 3. 29. 선고 2017다257395 판결)》〔윤경 변호사 더리드(The Lead) 법률사무소〕
1. 판결의 요지 : 〈공인인증서를 이용한 전자금융거래의 효력〉
【판시사항】
전자문서에 의한 거래에서 공인인증기관이 발급한 공인인증서에 의하여 본인임이 확인된 자에 의하여 전자문서가 송신된 경우, 본인의 의사에 반하여 작성·송신되었더라도 전자문서 및 전자거래 기본법 제7조 제2항 제2호에 해당하는지 여부(원칙적 적극) 및 이때 전자문서의 수신자가 전화 통화나 면담 등의 추가적인 본인확인절차 없이도 전자문서에 포함된 의사표시를 작성자의 것으로 보아 법률행위를 할 수 있는지 여부(적극) / 이러한 법리는 대부계약에도 그대로 적용되는지 여부(적극)
【판결요지】
가. 전자문서에 의한 거래에서 공인인증기관이 발급한 공인인증서에 의하여 본인임이 확인된 자에 의하여 송신된 전자문서는, 설령 본인의 의사에 반하여 작성․송신되었다고 하더라도, 특별한 사정이 없는 한 「전자문서 및 전자거래 기본법」 제7조 제2항 제2호에 규정된 ‘수신된 전자문서가 작성자 또는 그 대리인과의 관계에 의하여 수신자가 그것이 작성자 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있는 자에 의하여 송신된 경우’에 해당한다고 봄이 타당하다. 따라서 이러한 경우 그 전자문서의 수신자는 전화통화나 면담 등의 추가적인 본인확인절차 없이도 전자문서에 포함된 의사표시를 작성자의 것으로 보아 법률행위를 할 수 있다.
나. 나아가 「대부업 등의 등록 및 금융이용자 보호에 관한 법률」의 아래와 같은 규정들까지 더하여 보면, 위와 같은 법리는 대부계약에도 그대로 적용된다고 할 것이다. 즉, 「대부업 등의 등록 및 금융이용자 보호에 관한 법률」은 공인인증서를 이용한 본인 확인을 제한하고 있지 아니할 뿐만 아니라, 제6조의2 제3항 제1호에서 “대부계약 또는 이와 관련된 보증계약을 체결할 때 전자서명법 제2조 제8호에 따른 공인인증서를 이용하여 거래상대방 또는 보증인이 본인인지 여부를 확인하고, 인터넷을 이용하여 대부계약 또 는 보증계약상 자필로 기재해야 할 중요사항을 거래상대방 또는 보증인이 직접 입력하게 하는 경우에는, 대부업자는 위 중요사항을 거래상대방 또는 보증인이 자필로 기재하게 한 것으로 본다.”라고 규정하고 있다.
2. 사안의 개요 및 쟁점
가. 사실관계
⑴ 원고들이 취업알선을 가장한 보이스피싱 사기단에 속아 보이스피싱 사기단에게 주민등록번호, 주소, 휴대폰번호 등 개인정보가 담긴 근로계약서 및 운전면허증을 촬영한 사진, 신분증 사본 등을 이메일과 휴대전화로 전송하였고, 급여통장 명목의 예금계좌를 개설하였다.
⑵ 보이스피싱 사기단은 발신자변경서비스를 이용하여 A 은행 대표전화인 것처럼 원고들에게 전화를 걸어 계좌번호, 보안카드번호, 공인인증서 비밀번호 등을 알아내고, 원고들의 개인정보를 이용해 원고들 명의의 휴대폰을 개통하였다.
⑶ 그리고 보이스피싱 사기단은 원고들 명의의 공인인증서를 재발급받은 다음, 2015. 4. 15.~2015. 7. 25. 위 공인인증서를 이용하여 대부회사인 피고들의 전산시스템에 접근하여 원고들의 은행 계좌번호와 비밀번호, 공인인증서 비밀번호와 보안카드번호를 정확히 입력하고 신분증 사본을 팩스로 전송하는 방법으로 인터넷대출을 신청하였다. 피고들이 위 각 일시에 원고들 명의의 예금계좌로 대출을 실행하자(이하 ‘이 사건 대출’이라 한다), 보이스피싱 사기단은 위 예금계좌에서 예금을 인출하였다.
⑷ 원고들이, 피고들을 상대로, 이 사건 소를 제기하여 “이 사건 대출계약은 모두 제3자가 취업을 빌미로 원고들을 기망하여 제공받은 금융거래 관련 인적정보를 토대로 부정한 방법으로 원고들 명의의 공인인증서를 재발급받아 체결한 것으로서 원고들에 대하여 효력이 없다.”라고 주장하면서, 이 사건 대출계약에 따른 원고들의 채무가 존재하지 아니한다는 확인을 구하였다.
⑸ 원심(= 제1심)은, 이 사건 대출 시에 사용된 원고들 명의의 공인인증서가 직접 대 면에 의한 본인 확인 없이 재발급된 것으로 보이고, 「전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법」 제2조의4 제1항, 같은 법 시행령 제2조의3 제1항에서 금융회사로 하여금 대출 시 본인확인조치를 하도록 규정하고, 「대부업 등의 등록 및 금융이용자 보호에 관한 법률(이하 ‘대부업법’이라 한다)」 제6조 제1항에서 대부업체로 하여금 대부 시 본인확인조치를 하도록 규정하고 있음에도 피고들이 이 사건 대출 당시 원고들에 대한 본인확인을 하였다고 볼 만한 아무런 자료가 없는 등 사정을 종합하면, 이 사건 대출 당시 수신한 대출계약서가 원고들 또는 그 대리인과의 관계에 의하여 그것이 원고들 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있는 자에 의하여 송신된 경우에 해당한다고 보기 어려워 「전자문서 및 전자거래 기본법(이하 ‘전자문서법’이라 한다)」 제7조 제2항 제2호 규정이 적용된다고 할 수 없고, 따라서 이 사건 대출 계약이 원고들에 대하여 유효하다고 할 수 없다는 이유로, 원고들의 청구를 인용하였다.
나. 쟁점
전자문서에 의한 거래에서 공인인증기관이 발급한 공인인증서에 의하여 본인임이 확인된 자에 의하여 전자문서가 송신된 경우, 본인의 의사에 반하여 작성·송신되었더라도 전자문서 및 전자거래 기본법 제7조 제2항 제2호에 해당하는지 여부(원칙적 적극) 및 이때 전자문서의 수신자가 전화 통화나 면담 등의 추가적인 본인확인절차 없이도 전자문서에 포함된 의사표시를 작성자의 것으로 보아 법률행위를 할 수 있는지 여부(적극) / 이러한 법리는 대부계약에도 그대로 적용되는지 여부(적극)가 이 사건의 핵심쟁점이다.
3. 신종금융사기의 유형 [이하 대법원판례해설 제115호, 이양희 P.232-280 참조]
보이스피싱 외에 신종금융사기 유형으로 아래와 같은 것들이 있는데, 이 사건은 아래 유형 중 어느 하나에 포함되지 않고 전형적인 사기와 보이스피싱 수법이 결합되었다고 볼 수 있다.
가. 피싱(phishing) : 개인정보(private data)와 낚시(fishing)의 합성어
금융기관을 가장하여 이메일 발송, 이메일에서 안내하는 인터넷 주소를 클릭하면 가짜 은행사이트로 접속을 유도, 보안카드 일련번호 전부의 입력을 요구하고 금융정보를 탈취한 후, 이를 이용해 공인인증서를 발급(재발급)받아 예금인출 또는 대출을 한다.
나. 스미싱(smishing) : 문자메시지(SMS)와 피싱(phishing)의 합성어
‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일 청첩장’ 등을 내용으로 하는 문자메시지 내 인터넷 주소를 클릭하면, 악성코드가 스마트폰에 설치되게 한 후 피해자가 모르는 사이에 개인․금융정보를 탈취하고 소액결제를 유도한다.
다. 파밍(pharming) : 피싱(phishing)과 조작(farming)의 합성어
사용자 PC 등을 악성코드에 감염시켜 정상 홈페이지에 접속하려 할 때 가짜 사이트로 유도, 금융정보(보안카드 일련번호 전부) 입력을 요구, 예금인출 등을 한다.
라. 메모리해킹
피해자 PC 메모리에 상주한 악성코드로 인하여 정상 은행사이트에서 보안카드 번호 앞뒤 2자리만 입력해도 부당 인출하는 수법이다.
4. 신종금융사기 관련 전자금융거래의 효력 및 손해배상 여부 [이하 대법원판례해설 제115호, 이양희 P.232-280 참조]
가. 관련 규정
전자금융거래 관련 법령들은 전자금융거래에 있어서 계약의 성립 및 효력, 그와 관련한 손해배상 등에 관하여 규정하고 있다. 거래의 대량성 및 거래안전 등 측면에서 공인인증서에 의해 이루어진 전자금융거래 계약의 성립 및 효력은 외관법리에 따라 인정하되, 그로 인한 피해자 구제는 손해배상을 통해 해결하는 구조이다.
특히 신종금융사기로 성명모용 등에 의한 전자금융거래가 이루어진 경우 피모용자와 금융기관 사이에서의 법률관계에 관하여 상세히 다루고 있다. 성명모용에 의해 계약이 이루어진 경우에는 원칙적으로 명의자 본인에 대해서 계약이 유효하게 성립되지 않는다. 그러나 전자금융거래 관련 법령들은, 예외적으로 명의자 본인에게도 계약의 효력이 미치도록 규정함과 아울러 그로 인해 발생하는 손해의 부담에 관하여 규정한다.
나. 전자금융거래의 성립 내지 효력
⑴ 전자금융거래의 절차
전자금융거래의 절차는 개시단계, 처리단계, 종결단계로 진행된다.
① 개시단계는 이용자가 전자금융거래계약에 따라 금융기관 또는 전자금융업자에 게 전자금융거래의 처리를 지시하는 것이고(전자금융거래법 제2조 제17호 ‘거래지 시’), ② 처리단계는 지시된 전자금융거래를 자동화 처리하는 것으로서 전자금융사업자의 내부적 문제이며, ③ 종결단계는 거래의 효과와 관련되는 단계로서 전자적 방식으로 상품 또는 서비스가 제공된다.
⑵ 개시단계에서 ‘이용자 및 거래지시 내용’의 진실성과 정확성 확인 방법
성명모용 등에 의한 전자금융거래에서 그 계약의 효력이 문제되는 부분인 것은 개시단계이다. 개시단계는 ‘이용자’의 ‘거래지시’에 의해 이루어지는 것인데, 전자금융거래가 비대면거래라는 특성상 이용자 및 거래지시 내용의 진실성과 정확성을 확인하는 방법은 전자적인 방법으로 이루어질 수밖에 없다. 그리하여 일반거래에서는 당사자의 서명 및 기명날인을 통해 이루어지던 진정성 확인절차가 비대면거래인 전자금융거래에서는 ‘접근매체’를 통해 이루어진다.
‘접근매체’란, 전자금융거래에 있어서 ‘거래지시를 하거나 이용자 및 거래내용의 진실성과 정확성을 확보하기 위하여 사용되는 수단 또는 정보’를 말한다(전자금융거래법 제2조 제10호). 전자금융거래법 제6조 제1항에서는 금융회사 또는 전자금융업자로 하여금 전자금융거래를 위하여 ‘접근매체’를 선정하여 사용 및 관리하고 이용자의 신원, 권한 및 거래지시의 내용 등을 확인하도록 규정한다. 그리고 전자금융 거래법 제2조 제10호에서는 ‘접근매체’로 “① 전자식 카드 및 이에 준하는 전자적 정보, ② 전자서명법 제2조 제4호의 전자서명생성정보 및 같은 조 제7호의 인증서, ③ 금융기관 또는 전자금융업자에 등록된 이용자번호, ④ 이용자의 생체정보, ⑤ 위 ① 또는 ② 수단이나 정보를 사용하는 데 필요한 비밀번호”를 규정한다.
인증서란, 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말하고, 공인인증기관이 발급하는 인증서를 ‘공인인증서’라 한다(전자서명법 제2조 제4호, 제7호, 제8호). 전자서명생성정보란, 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말하는 것으로(전자서명법 제2조 제4호), 이용자가 (공인)인증서를 발급받는 과정에서 이용자 개인컴퓨터에서 생성하는 것이다.
인증서 파일만으로는 어떠한 의미있는 작업이 수행되지 않고, 이용자가 온라인거래에서 자신을 증명하려면 개인키 파일, 즉 전자서명생성정보 파일이 반드시 있어야 한다. 따라서 전자서명생성정보 및 인증서를 모두 접근매체로 규정한 것이다.
⑶ 성명모용에 의한 전자금융거래의 효력이 피모용자에게 귀속되기 위한 요건
㈎ 전자금융거래계약 체결 시에 합의된 접근매체를 사용하여 이용자가 거래한 경우 전자금융사업자는 이용자의 의사표시로 신뢰하고 거래를 실행할 수 있고, 본인확인방식에 관하여 사전에 합의된 방식에 따라 서비스가 이용되었다면 성명모용자의 지시에 따른 자금이동 등에 대하여 전자금융사업자는 책임을 부담하지 않는다.
이는 마치 예금계약을 체결한 후 ‘예금통장과 신고된 인감’을 제시하는 자에게 예금의 인출을 허용하는 예금거래의 모습과 같다. 예금통장과 신고된 인감을 제시하는 자가 무권한으로 예금을 인출한다고 하더라도 금융기관이 이를 알았거나 알 수 있었던 경우가 아닌 한 예금 지급은 유효하고(대법원 2007. 10. 25. 선고 2006다44791 판결), 이로써 예금통장과 신고된 인감은 금융기관에 대해 면책적 기능을 한다.
전자금융거래에서는 ‘접근매체’가 위와 같은 면책적 기능을 하는데, 이러한 접근 매체의 면책적 기능은 민법상 채권의 준점유자이론 또는 표현대리법리와 연결될 수 있다. 그리고 이는 입법적으로도 확인되고 있다.
전자금융거래법 제5조 제1항에서 준용하는 전자문서법 제7조는 다음과 같이 규정 한다. 제2항에서 “전자금융거래를 위하여 사용되는 전자문서와 관련하여, ① 전자문서가 작성자의 것이었는지를 확인하기 위하여 수신자가 미리 작성자와 합의한 절차를 따른 경우, ② 수신된 전자문서가 작성자 또는 그 대리인과의 관계에 의하여 수신자가 그것이 작성자 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있는 자에 의하여 송신된 경우, 전자문서의 수신자는 전자문서에 포함된 의사표시를 작성자의 것으로 보아 행위할 수 있다.”라고 규정하고, 제3항에서 “① 수신자가 작성자로부터 ‘전자문서가 작성자의 것이 아님’을 통지받고 그에 따라 필요한 조치를 할 상당한 시간이 있었던 경우, ② 제2항 제2호의 경우에 ‘전자문서가 작성자의 것이 아님’을 수신자가 알았던 경우 또는 상당한 주의를 하였거나 작성자와 합의된 절차를 따랐으면 알 수 있었을 경우에는 위 제2항을 적용하지 아니한다.”라고 규정한다.
따라서 전자문서법 제7조 제2항 제1호 및 제2호에 해당되는 때에는 수신자가 전 자문서에 포함된 의사표시를 작성자의 것으로 간주하고 한 행위는 설령 그것이 작성자의 것이 아니라는 것이 밝혀져도 ‘작성자에 대해’ 효력을 갖는다.
㈏ 구체적으로 전자문서법 제7조 제2항 제2호 “수신된 전자문서가 작성자 또는 그 대리인과의 관계에 의하여 수신자가 그것이 작성자 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있는 자에 의하여 송신된 경우”가 문제된다.
전자문서에 의한 거래에서 전자서명법의 규정에 따라 공인인증기관이 발급한 공인인증서에 의하여 본인임이 확인된 자에 의하여 송신된 전자문서는, 전자문서 및 전자거래기본법 제7조 제2항 제2호에 규정된 ‘수신된 전자문서가 작성자 또는 그 대리인과의 관계에 의하여 수신자가 그것이 작성자 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있는 자에 의하여 송신된 경우’에 해당하여, 그 전자문서의 수신자는 전자문서에 포함된 의사표시를 작성자의 것으로 보아 법률행위를 할 수 있고, 전자거래의 상대방에게 추가로 전화 통화 또는 면담하여 본인 여부를 확인할 것까지 요구되지는 아니한다고 할 것이다.
전자문서법 제11조는 “전자거래 중에서 전자서명에 관한 사항은 「전자 서명법」에서 정하는 바에 따른다.”라고 규정한다. 전자서명법 제3조는 “① 다른 법령에서 문서 또는 서면에 서명, 서명날인 또는 기명날인을 요하는 경우 전자문서에 공인전자서명이 있는 때에는 이를 충족한 것으로 보고, ② 공인전자서명이 있는 경우에는 당해 전자서명이 서명자의 서명, 서명날인 또는 기명날인이고, 당해 전자 문서가 전자서명된 후 그 내용이 변경되지 아니하였다고 추정하며, ③ 공인전자서명 외의 전자서명은 당사자 간의 약정에 따른 서명, 서명날인 또는 기명날인으로서의 효력을 가진다.”라고 규정한다.
전자서명법 제18조의2는 “다른 법률에서 공인인증서를 이용하여 본인임을 확인하는 것을 제한 또는 배제하고 있지 아니한 경우에는 이 법의 규정에 따라 공인인증기관이 발급한 공인인증서에 의하여 본인임을 확인할 수 있다.”라고 규정한다.
나아가 대부업법은 공인인증서를 이용하여 본인임을 확인하는 것을 제한 또는 배 제하고 있지 아니할 뿐만 아니라, 오히려 제6조의2 제3항 제1호에서 “대부계약 또는 이와 관련된 보증계약을 체결할 때 전자서명법 제2조 제8호에 따른 공인인증서를 이용하여 거래상대방 또는 보증인이 본인인지 여부를 확인하고, 인터넷을 이용하여 대부계약 또는 보증계약상 자필로 기재해야 할 중요사항을 거래상대방 또는 보증인이 직접 입력하게 하는 경우에는, 대부업자는 위 중요사항을 거래상대방 또는 보증인이 자필로 기재하게 한 것으로 본다.”라고 규정한다.
공인전자서명은 공인인증기관이 개입함으로써 그 자체로서 상대방이 신뢰할 수 있는 외관을 창출하고 있는 점을 감안하면 비밀키가 누출됨으로 인한 불이익을 모두 상대방에게 부담시키는 것은 불합리하다. 대법원이 제3자가 본인의 주민등록증, 인감증명서, 인감도장 및 등기권리증을 사용하여 본인임을 사칭하고 본인을 가장하여 상대방과 계약을 체결한 행위에 대하여 권한을 넘은 표현대리의 법리를 유추적용한 것을 정당하다고 판시한 예도 있다(대법원 1988. 2. 9. 선고 87다카273 판결). 이 경우 민법 제126조의 표현대리를 유추 적용할 수 있다.
판례도 ① 전자서명법, 전자금융거래법에서 정한 공인인증서 등을 통하여 전자문서를 작성한 자의 신분을 확인한 이상 더 나아가 본인임을 확인해 볼 의무까지 있다고 볼 수 없고, ② 전자문서에 기재된 청약의 의사표시가 작성명의자인 원고 또는 그의 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있고, 이에 대하여 피고가 승낙의 의사표시를 함으로써 계약이 유효하게 성립하였으므로, ③ 원고 명의가 도용되었다고 하더라도 원고에게 계약의 효력이 미친다고 판시하고 있다(대법원 2015. 10. 29. 선고 2014다11161 판결, 대법원 2014. 10. 30.자 2014다55567 판결, 대법원 2014. 11. 13.자 2014다56447 판결, 대법원 2016. 1. 14.자 2015다58280 판결 등).
다. 손해배상 문제
① 위 나.항 기재와 같이 계약이 유효하게 성립되었다고 인정된 경우 그로 인해 발생한 손해의 분담과 관련한 문제이다.
② 전자금융거래법은 원칙적으로 금융기관 등의 무과실 손해배상책임을 인정하되(제9조 제1항), 예외적으로 이용자에게 책임을 전가할 수 있는 사유를 최소한으로 열어둠으로써(같은 조 제2항), 양 당사자의 이해관계를 조정하고 이용자의 손해배상청구권을 실질적으로 보장하려 하였다.
③ 이러한 손해배상 문제는 전자금융거래법이 개정된 2013. 4. 22.(시행 2013. 11. 23.) 전과 후로 대별되는데, 당초 해킹사고 내지 신종금융사기와 관련하여 ‘접속매체의 위조 또는 변조로 인한 사고에 대한 해석범위’에 관한 다툼이 위 개정을 통해 입법적으로 해결되었기 때문이다.
⑴ 전자금융거래법 개정 전
㈎ 손해배상 대상
구 전자금융거래법 제9조 제1항은 ① ‘접근매체’의 ‘위조나 변조’로 발생한 사고, ② 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우 전자금융업자로 하여금 손해배상책임을 지도록 규정하였다. ①의 경우는 이용자 영역의 해킹사고와 관련한 것이고, ②의 경우는 거래지시를 전자적으로 전송 또는 처리하는 과정 즉, 네트워크 영역이나 은행시스템 영역에서 발생하는 사고와 관련한 것이라고 할 수 있다.
이처럼 손해배상책임의 대상인 사고가 ①, ②로 한정하여 규정되다 보니, 이용자영역의 해킹사고와 관련하여 다음과 같은 다툼이 있었다. 성명불상자가 피싱 등을 통해 부정하게 취득한 이용자의 ‘계좌번호, 계좌비밀번호, 보안카드번호 등’을 입력하여 이체한 사례들에서 ‘계좌번호, 계좌비밀번호, 보안카드번호 등’도 접근매체에 해당하는지 여부[대법원 2016. 1. 28.자 2015다241976 판결(심불) : 원고가 인터넷뱅킹 시 보안승급을 위한 창이 뜨자 보안카드번호 등을 입력하였는데, 성명불상자가 위 보안카드번호 등을 이용하여 텔레뱅킹을 통해 이체해 간 사안. 원심은 보안카드번호 등을 ‘접근매체’로 보면서도, 보안카드번호 등을 입력한 것이 접근매체의 ‘위조’에 해당한다고 보기 어렵다는 이유로 일부 원고의 손해배상청구를 배척하였고, 이에 대해 대법원은 심불(해당 보고서 내용은, 원심이 보안카드번호 등을 ‘접근매체’로 본 것은 잘못이나, 보안카드번호 등을 입력한 것이 접근매체의 ‘위조’에 해당한다고 보기 어려워 판결의 결과에는 영향이 없다는 취지였음) 개정 전인 2013. 7. 31. 사고가 발생한 사안]와 성명불상자가 피싱 등 신종금융사기를 통해 취득한 이용자의 개인정보를 이용하여 ‘공인인증서를 (재)발급받은’ 후 대출받아 이체한 사례들에서 ‘공인인증서를 (재)발급받는 것’이 접근매체의 ‘위조나 변조’에 해당하는지 여부가 그것이다[대법원 2015. 8. 13.자 2015다 28807 판결, 대법원 2014. 10. 16.자 2014다41599 판결, 대법원 2014. 9. 17.자 2014다40244 판결 등(접근매체의 ‘위조’에 해당하지 않는다고 본 원심판결에 대해 심불한 사안). 대법원 2014. 1. 29. 선고 2013다86489 판결, 대법원 2013. 3. 28.자 2012다117898 판결(접근매체의 ‘위조’에 해당한다고 본 원심판결에 대해 상고기각 또는 심불한 사안].
㈏ 이용자의 귀책사유(= 전자금융업자의 면책사유)
① 나아가 구 전자금융거래법 제9조 제2항 제1호, 같은 법 시행령 제8조는 ① 이용자가 ‘접근매체’를 제3자에게 대여하거나 그 사용을 위임한 경우 또는 양도나 담보의 목적으로 제공한 경우, ② 제3자가 권한 없이 이용자의 ‘접근매체’를 이용하여 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 ‘접근매체’를 누설하거나 노출 또는 방치한 경우 이용자의 고의나 중대한 과실이 있다고 보아 위 손해배상책임의 전부 또는 일부를 이용자의 부담으로 할 수 있도록 규정 하였다.
② 위와 같은 규정으로 인해, 이용자가 성명불상자에게 ‘계좌번호, 계좌비밀번호, 보 안카드번호 등’을 노출하였는데, 성명불상자가 이를 이용해 공인인증서를 (재)발급 받은 후 이용자 명의로 대출받은 사례에서, 설령 공인인증서를 (재)발급받은 것이 접근매체의 ‘위조나 변조’에 해당한다고 보아 전자금융업자의 손해배상책임이 일응 인정되더라도, ‘계좌번호, 계좌비밀번호, 보안카드번호 등’을 접근매체로 볼 수 있는 지 여부에 따라 이용자의 고의나 중과실 및 위 손해배상책임 부담 여부가 달라지게 되는 문제가 있었다. 이와 관련하여 대법원 2014. 1. 29. 선고 2013다86489 판결은 “원고는 제3자에게 ‘접근매체’인 ‘공인인증서’ 발급에 필수적인 계좌번호, 계좌비밀번호, 주민등록번호, 보안카드번호, 보안카드비밀번호를 모두 알려 준 ……” 이라고 인정한 원심을 수긍하면서, 보안카드번호 등을 접근매체로 보지 않았다.
㈐ 이용자의 고의․중과실의 판단 기준
① ‘피싱’사안이었던 위 대법원 2013다86489 판결은 ‘이용자의 고의․중과실의 판단 기준’에 관하여 다음과 같이 제시하였다. “전자금융거래법 제9조, 같은 법 시행령 제8조 등에서 정하는 ‘고의 또는 중대한 과실’이 있는지 여부는 접근매체의 위조 등 금융사고가 일어난 구체적인 경위, 그 위조 등 수법의 내용 및 그 수법에 대한 일반인의 인식 정도, 금융거래 이용자의 직업 및 금융거래 이용경력 기타 제반 사정을 고려하여 판단할 것이다.”
② 그리고 위 판결은 이용자의 중과실을 인정하여 피고 은행들을 전부 면책한 원심을 수긍하였다.
‘파밍’ 사안인 대법원 2016. 1. 28.자 2015다241976 판결도, 위 대법원 3013다86489 판결에서 설시한 고의․중과실 판단 기준을 언급하며, 이용자들의 중과실을 인정하여 피고 은행들을 전부 면책한 원심을 수긍하였다.
⑵ 전자금융거래법 개정 후
① 개정 전자금융거래법은 손해배상책임 발생사유에 “전자금융거래를 위한 전자적 장치 또는 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고”를 추가하고(제9조 제1항 제3호), 개정 시행령에서는 이용자의 고의․중과실 사유에 “추가적인 보안조치에 사용되는 매체ㆍ수단 또는 정보를 누설ㆍ노출 또는 방치한 행위”를 추가함으로써[제8조 제4호 (가)목], 앞서 본 바와 같은 문제점들을 입법적으로 해결하였다.
② 또한 개정 전에는 해커가 피해자 PC에 저장되어 있는 공인인증서 자체를 복사하여 이용하는 경우도 접근매체의 ‘위조’에 해당하는지 여부가 문제 되었으나, 이 역시 위 전자금융거래법 개정으로 제9조 제1항 제3호 사유에 해당되는 것으로 정리되었다.
한편 개정 「전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법」 제2조의4 제1항은 및 같은 법 시행령 제2조의3 제1항에 의하면, 위 특별법이 시행되는 2014. 7. 29. 이후부터는 금융기관이 대출 및 저축성 예금 등 해지 과정에서 이용자의 전화를 이용하는 방법 등으로 본인확인조치를 취할 의무가 있다.
5. 대상판결의 내용분석 [이하 대법원판례해설 제115호, 이양희 P.232-280 참조]
가. 전자금융거래계약의 성립 내지 효력과 관련하여
① 이 사건 대출 약정은 공인인증서 및 원고들 본인 행위에 의해서만 사용 가능한 보안카드번호 등에 의한 전자금융거래 방식으로 체결되었다.
② 따라서 보이스피싱에 의해 원고들의 의사에 반하여 이 사건 대출 약정이 체결되었다 하더라도, 당시 적용되는 대부업법, 전자서명법 등 관계 법령에 의하면 피고들이 대출신청 관련 전자문서가 원고들 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 ‘정당한 이유’가 있는 자에 의하여 송신된 경우에 해당한다고 봄이 상당하고, 추가로 원고들에게 전화통화 등의 방법으로 본인 여부를 확인할 것까지 요구되지 않는다고 할 것이므로, 이 사건 대출 약정의 효력은 원고들에게 미친다고 할 것이다. 재발급된 공인인증서에 의해 거래가 이루어졌다고 하더라도 달리 볼 수 없다.
③ 나아가 피고들은 대부회사로서 「전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법」의 적용대상인 금융회사에 포함되지 않아 위 특별법에서 규정한 주의의무를 부담한다고 보기 어렵다. 그리고 만약 위 특별법 제2조의4 제1항에서 규정하는 바와 같이 대출 등의 경우 대출신청인 명의의 휴대전화 통화 등을 통한 본인 확인절차를 거쳐야 할 의무가 인정된다고 하더라도, 위와 같이 ‘정당한 이유’가 인정된다는 결론에는 아무런 영향을 미치지 않을 것으로 보인다. 위와 같은 본인확인 절차의무는 이 사건 대출 약정이 유효함을 전제로 피해자인 원고들이 피고들을 상대로 손해배상을 청구함에 있어 요구되는 요건에 불과할 뿐만 아니라, 위 특별법 시행령 제2조의3 제1항 제3호, 금융위원회 2015. 12. 22.자 고시 “전기통신금융사기 피해방지를 위한 본인확인조치 방법”에 의하면, 「금융실명거래 및 비밀보장에 관한 법률」 제3조 제1항에 따른 실명거래의 확인방법 중 ‘비대면 실명거래확인 방법’이 본인확인방법에 포함되는데, 이 사건에서 피고들이 원고들의 본인확인조치로 시행한 신분증 사본 제출 등이 해당한다고 볼 수 있을 것이기 때문이다.
나. 손해배상과 관련하여
① 한편 이 사건은 전자금융거래법이 개정․시행된 후 보이스피싱 사기에 의해 발생한 것으로서 전자금융거래법 제9조 제1항 제3호에 해당하여, 원고들로서는 피고들을 상대로 일응 손해배상을 청구할 수는 있을 것이다.
② 그러나 위 가.에서 본 사정에 비추어 접근매체 또는 추가적인 보안조치에 사용되는 보안카드번호 등을 누설한 원고들에게 중과실이 인정되어 전자금융거래법 제9조 제2항 및 위 법 시행령 제8조에 의해 피고들은 면책될 수 있을 것으로 보인다. 또한 설령 피고들에 대해 「전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법」이 적용된다고 하더라도, 피고들이 대출과정에서 위 특별법 시행령 제2조의3 제1항 제3호에서 말하는 본인확인방법으로서 원고들의 신분증 사본을 제출받아 확인까지 마쳤으므로 피고들의 손해배상책임을 인정하기는 어려울 것으로 보인다.
다. 대상판결의 요지
공인인증기관이 발급한 공인인증서에 의하여 전자금융거래가 이루어진 경우, 손해배상책임은 별론으로 하고 계약의 성립 내지 효력과 관련하여서는, 설령 본인의 의사에 반하여 전자문서가 작성․송신되었다고 하더라도 특별한 사정이 없는 한 전자문서법 제7조 제2항 제2호에 규정된 ‘수신된 전자문서가 작성자 또는 그 대리인과의 관계에 의하여 수신자가 그것이 작성자 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있는 자에 의하여 송신된 경우’에 해당하므로(따라서 그 전자문서의 수신자는 전화 통화나 면담 등의 추가적인 본인확인절차 없이도 전자문서에 포함된 의사표시를 작성자의 것으로 보아 법률행위를 할 수 있다), 전자금융거래계약이 유효하게 성립한다고 보았다. 그리고 이와 같은 법리는 대부회사의 경우에도 마찬가지로 적용될 수 있다.
