전자금융거래법 제9조에 규정된 ‘이용자의 중대한 과실’은 ‘접근매체’가 노출된 경우인지, ‘추가적 보안조치에 사용되는 매체, 수단 또는 정보’가 노출된 경우인지를 구분하여 판단해야 하고, 후자는 오직 법 제9조 제1항 제3호로 신설된 유형의 사고거래에서만 면책 사유로 고려될 수 있다. 계좌번호, 이체비밀번호, 보안카드비밀번호 등은 전자금융거래법상 ‘접근매체’가 아니다. 그러나 이런 정보만 있으면 아무나 쉽게 공인인증서를 온라인으로 즉시 입수할 수 있도록 인증서 재발급 과정을 은행들이 허술하고 방만하게 관리하기 때문에 보이스피싱/파밍 등의 공격이 극심하게 일어나고 있다. 은행과 금융결제원의 이러한 잘못된 행태를 마치 당연한 것처럼 전제로 삼고, 계좌비밀번호 등의 노출을 공인인증서 자체의 노출과 같은 것으로 확대해석해 줄 경우, 은행은 자신의 방만한 행위에 기대어 오히려 면책을 누리게 되는 부당한 결과가 생겨난다. 대법원은 중대한 과실을 일의적, 획일적으로 해석 적용하는 것이 아니라, 유형별로 상이한 정책적 고려를 반영하여 (1)주의 결여의 현저함만을 기준으로 삼거나(표의자, 상속자의 중대한 과실), (2)주의 결여가 거의 고의에 가까운지를 기준으로 삼거나(실화자, 가해공무원의 중대한 과실), (3)거의 고의에 가까운 주의 결여 뿐 아니라, 공평의 관점에서 구태여 피해자를 보호할 필요가 없다고 봄이 상당한지를 기준으로 삼고 있다(피해자의 중대한 과실). 2013다86489판결은 중대한 과실의 법적 판단 기준에 대한 대법원 판결들은 일체 언급하지 아니하는 대신, 금융사고가 일어난 구체적인 경위 등 유관한 모든 ‘사실관계’를 고려하여 판단해야 한다고 판시하고 있으나, 정작 해당 재판부가 전자금융사고 발생의 구체적 경위 등을 제대로 이해하였는지는 의문의 여지가 있다. 피싱/파밍 공격자에게 속아서 비밀번호 등 여러 정보를 시키는대로 고분 고분 입력해 준 이용자의 부주의함 만을 탓할 것이 아니라, 비밀번호 등을 입력하기만 하면 공인인증서를 온라인 상으로 즉시 재발급해 줌으로써 공인인증서의 보안가치를 스스로 무장해제 시켜버린 은행의 잘못, 사고거래일 가능성이 ‘심각’하게 높다는 사실을 훤히 알면서도 이체거래를 그대로 수행해버리는 은행의 무모하고 무책임한 행위도 적절히 평가하여, ‘공평의 관점’에서 이용자의 중대한 과실 여부를 판단해야 할 것이다. 매년 수천명씩 생겨나는 피싱/파밍 피해자들이 모두 ‘중대한 과실’이 있다고 보고 금융회사의 면책을 광범하게 인정할 경우, 은행들은 보다 안전한 금융거래 기술 도입을 위해 투자할 이유가 없고 국내 금융거래 보안 기술은 낙후성과 후진성을 벗어나기 어려울 것이다.

Under Sec. 9 of the Electronic Financial Transaction Act of Korea (EFTA), ‘gross negligence’ of an individual user (as opposed to a commercial user) would provide a ground for full or partial immunity for financial institutions who would otherwise be strictly liable for loss caused by certain specified types of unauthorized fund transfers. The gross negligence under EFTA, however, is narrowly defined by the relevant ordinance so that court can find gross negligence only when the statutory “means of access” to one’s account is leaked or exposed. Account password, OTP, iTAN numbers are not included in the statutory definition of “means of access”. It would be wrong to find gross negligence on the ground that these passwords have been leaked or exposed by an individual who fell victim to phishing or pharming scheme. Supreme Court has maintained three different types of “gross negligence” reflecting different policy considerations. (1) In the case of gross negligence under Sec. 109 and Sec. 1019 of Civil Code, the court finds gross negligence when there is ‘manifest lack of attention’ and nothing more. (2) In the case of gross negligence under the Act Regarding Liability for Negligently Caused Fire and the State Compensation Act, the court would require more than manifest lack of attention. Gross negligence of a tortfeasor under these Acts will be found only when the carelessness is ‘close to deliberate knowledge’. (3) In the case of employer’s vicarious liability, the court would find victim’s gross negligence (which will bar the victim’s claim for compensation) when not only the carelessness of the victim is ‘close to deliberate knowledge’, but also ‘when there is a reasonable ground to conclude that, in fairness, the victim in question need not be protected’. Gross negligence of a victim of online fraud (under Sec. 9 of EFTA) should be determined in the same manner as the victim in employer’s vicarious liability cases. If the Court finds victim’s gross negligence on a low threshold and provides immunity for the banks relatively easily, then the banks would have little incentive to invest in better security standard to reduce the number of online fraud victims.

, , , , , , ,

EFTA, Electronic Financial Transaction Act, gross negligence, means of access, digital certificate, password, voice phishing, pharming, strict liability