[실제 판례]- 제21조(안전성의 확보의무) [서울중앙지법 2015. 1. 15. 선고 2013가합70571,61065,52696,82574,72102 판결 : 항소]

【판시사항】

甲 등이 乙 은행 등에 예금계좌를 개설하고 인터넷 뱅킹 서비스 등을 이용하여 왔는데, 丙이 이른바 파밍(Pharming)을 통하여 획득한 甲 등의 계좌번호와 비밀번호, 보안카드 번호 등 금융거래정보를 이용하여 甲 등 명의의 공인인증서를 취득한 후 甲 등의 예금계좌에서 이체거래를 한 사안에서, 甲 등과 전자금융거래계약을 체결한 乙 은행 등은 甲 등에게 발생한 손해를 배상할 의무가 있는데, 甲 등에게 중대한 과실이 인정되므로 그 정도에 따라 甲 등도 책임의 전부 또는 일부를 부담하여야 한다고 본 사례

--> 개인이 파밍이나 악성코드등으로 보안카드등을 노출시킬 경우 개인이 책임의 전부 또는 일부를 부담하여야 함

【판결요지】

甲 등이 乙 은행 등에 예금계좌를 개설하고 인터넷 뱅킹 서비스 등을 이용하여 왔는데, 丙이 이른바 파밍(Pharming)을 통하여 획득한 甲 등의 계좌번호와 비밀번호, 보안카드 번호 등 금융거래정보를 이용하여 甲 등 명의의 공인인증서를 취득한 후 甲 등의 예금계좌에서 이체거래를 한 사안에서, ‘공인인증서’와 ‘보안카드 등 일회용 비밀번호’는 전자금융거래법 제2조 제10호에서 정한 ‘접근매체’에 해당하고, 타인의 정보를 부정하게 이용하여 공인인증서를 발급 또는 재발급받은 경우 및 공인인증서를 불법적으로 복제한 경우는 공인인증서의 위조에 해당하며, 권한 없는 자가 보안카드 번호 등을 입력한 경우도 보안카드의 위조에 해당하므로, 위 사고는 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것, 이하 ‘구 전자금융거래법’이라 한다) 제9조 제1항 전단의 ‘접근매체의 위조’로 발생한 사고로서, 甲 등과 전자금융거래계약을 체결한 乙 은행 등은 甲 등에게 발생한 손해를 배상할 의무가 있는데, 보안카드 번호 전체를 입력한 甲 등에게 구 전자금융거래법 제9조 제2항 제1호 등에서 정한 ‘중대한 과실’이 인정되므로, 그 정도에 따라 이용자인 甲 등도 책임의 전부 또는 일부를 부담하여야 한다고 본 사례.

 

금융회사의 책임 관련 조항 제3항에 면책 조건이 있음! 보안 담당자라면 아래 내용을 생각해봐야 함 -금융 회사 입장에서는 사고 발생에 있어서 이용자 부담에 대한 내용을 체결해야함! -보안절차 수립등 합리적으로 충분한 주의의무를 다했다는것을 증명해야함! 제9조(금융회사 또는 전자금융업자의 책임) ①금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다. <개정 2013.5.22> 1. 접근매체의 위조나 변조로 발생한 사고 2. 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고 3. 전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고    ②제1항의 규정에 불구하고 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 경우에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다. <개정 2013.5.22> 1. 사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우 2. 법인(「중소기업기본법」제2조제2항에 의한 소기업을 제외한다)인 이용자에게 손해가 발생한 경우로 금융회사 또는 전자금융업자가 사고를 방지하기 위하여 보안절차를 수립하고 이를 철저히 준수하는 등 합리적으로 요구되는 충분한 주의의무를 다한 경우    ③제2항제1호의 규정에 따른 이용자의 고의나 중대한 과실은 대통령령이 정하는 범위 안에서 전자금융거래에 관한 약관(이하 "약관"이라 한다)에 기재된 것에 한한다.    ④금융회사 또는 전자금융업자는 제1항의 규정에 따른 책임을 이행하기 위하여 금융위원회가 정하는 기준에 따라 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다. <개정 2008.2.29, 2013.5.22> 제10조(접근매체의 분실과 도난 책임) ①금융회사 또는 전자금융업자는 이용자로부터 접근매체의 분실이나 도난 등의 통지를 받은 때에는 그 때부터 제3자가 그 접근매체를 사용함으로 인하여 이용자에게 발생한 손해를 배상할 책임을 진다. 다만, 선불전자지급수단이나 전자화폐의 분실 또는 도난 등으로 발생하는 손해로서 대통령령이 정하는 경우에는 그러하지 아니하다. <개정 2013. 5. 22.> ②제1항 및 제9조의 규정에 불구하고 다른 법령에 이용자에게 유리하게 적용될 수 있는 규정이 있는 경우에는 그 법령을 우선 적용한다.

 

시사점

1) 개인입장에서 하면 좋을 것들

1-1. 중요정보 보안카드, OTP , 비밀번호 정보를 절대로 노출하거나 타인(가족이라도)에게 알려주거나 전달하면 안된다.

1-2. 평상시 인터넷뱅킹 이체한도는 줄여놓고, 필요할때만 증가

1-3. 혹시나 공인인증서등 재발급 문자가 오거나, 이체 문자가 왔을때 즉시 은행에 전화하여 신고한다. 

 

2)금융기관 입장에서 하면 좋을 것들

2-1) 평소 고객에게 파밍등 위험요소에 대하여 공지하고, 수시로 알림을 보냄 (보안 활동)

2-2) 사고를 방지하기 위한 보안절차 수립 및 철저히 준수 하는 활동

2-3) 이용자와 약정 체결시 이용자의 고의나 중대한 과실이 있는 경우 책임의 전부를 이용자에게 부담한다는 취지의 약정

2-4) 고객의 보안매체가 변경 될 경우 SMS 등으로 고객에게 알림을 주는 서비스 제공

 

 

https://www.law.go.kr/LSW/precInfoP.do?mode=0&precSeq=177819#AJAX