Ⅰ. 서설
최근 모바일 지급결제 서비스를 중심으로 한 핀테크의 발전으로 인해 금융 분야에서의 전자거래가 놀라운 속도로 발전하고 있는 상황에서, 계속해서 진화되고 있는 스캠, 랜섬웨어와 같은 신종의 전자금융사기들이 우리의 경제·금융 생활에 심각한 위협이 되고 있다. 그러나 사이버 보안의 중요성에 대해 모두가 공감하고 있는 요즘 시기에도 전자금융거래 이용자들의 법적 보호 수준은 별반 달라진 것이 없는 것으로 보이며, 현재 구현되고 있는 기술적 보호막이 관통되는 경우에는 특별한 법적 보호장치 없이 그 피해가 고스란히 이용자들에게 넘어갈 것으로 예상된다. 여기서 전자금융거래의 이용자들에게 현재 최선의 보호조치를 제공해 주는 근거가 바로 전자금융거래법 제9조라 할 수 있는데, 지금까지 우리 법원에서는 전통적인 과실책임주의 관점에서 원래의 입법취지와는 정반대의 방향으로 위 법조항을 해석·운용하지 않았는가 한다.
이에 본고에서는 전자금융사기의 의의와 이에 관한 현행 제도의 개관을 간단히 살펴 본 후, 전자금융거래법 제9조의 취지와 판례의 해석 경향을 분석하고, 금융소비자의 적극적인 보호를 위해 우리 법원의 전향적인 태도 변화가 있어야 함을 논증하고자 한다.
Ⅱ. 전자금융거래와 전자금융사기
전자금융거래는 광의와 협의로 나누어 정의할 수 있는데, 광의의 전자금융거래는 「전자적 방법에 의한 금융거래」를 뜻하며, 전자지급거래, 전자증권거래, 전자보험거래 기타 전자적 수단에 의한 금융거래를 모두 포함하는 개념이다. 이에 대하여 협의의 전자금융거래는 ‘전자지급거래’만을 의미하는 것으로서 「전자지급수단에 의하여 자금을 이동시키는 거래」를 말한다. 보다 세부적으로는 전자자금이체(electronic fund transfer: EFT), 전자화폐지급(electronic money payment), 선불전자지급(electronic pre-paid payment), 모바일지급(mobile payment) 등이 이에 해당한다.1) 그래서 우리가 흔히 이용하는 인터넷뱅킹, 스마트폰 어플 서비스에 의한 송금·이체도 전자금융거래의 대표적인 예의 하나에 속한다.
현행 전자금융거래법에서는 ‘전자금융거래’를 광의의 의미에서 「금융회사 또는 전자금융업자가 전자적 장치를 통하여 금융상품 및 서비스를 제공하고, 이용자가 금융회사 등의 종사자와 직접 대면하거나 의사소통을 하지 아니하고 자동화된 방식으로 이를 이용하는 거래」라고 정의하고 있다(전자금융거래법 제2조 제1호).
위에서 살펴본 전자금융거래는 금융거래의 간편성과 신속성을 도모하고 저비용으로 금융소비자의 접근성을 제고시킨다는 점에서, 새로운 금융패러다임으로 발전할 가능성이 매우 높은 영역이다. 하지만, 그 이면에는 피싱, 스미싱, 파밍, 메모리 해킹 등 신종금융사기에 노출될 위험도 다분하며, 실제로 그간 많은 피해 사례들이 발생해 오고 있다. 이처럼 전자금융거래 과정에서 사이버 수단을 이용해 발생하는 신종의 사기 범죄를 ‘사이버 금융사기’ 또는 ‘전자금융사기’라고 부르는데 관련 법률에서는 ‘전기통신금융사기’라고 일컫기도 한다. 본고에서는 위와 같은 범죄들이 주로 전자금융거래에서 발생하는 측면을 고려하여 전자금융사기라는 용어를 사용하기로 하며, 유형별로 그 자세한 내용을 살펴보면 다음과 같다.
‘피싱’(phising)은 온라인상에서 계좌번호, 카드번호, 계좌비밀번호 등의 정보를 탈취하여 금원을 편취하는 범죄를 말하며. 그 방법에 따라 웹기반 피싱, 이메일 피싱, 메신저 피싱 등이 있다. ‘웹기반 피싱’은 웹사이트나 게시판에 주소를 게시하거나 팝업을 띄워서 피싱사이트에 연결되도록 하고 여기에 관련 정보를 입력하게 함으로써, ‘이메일 피싱’은 이메일에 피싱사이트 주소의 링크를 기재하여 이를 클릭하게 하고 위 사이트에 정보를 입력토록 해서 금융정보를 탈취하는 방법이다. 그리고 ‘메신저 피싱’은 해킹 등의 방법으로 메신저 ID와 패스워드를 알아내어 타인의 메신저 계정에 로그인한 후 메신저에 등록된 지인들을 상대로 “돈을 빌려 달라”는 등의 거짓 요청을 해서 금원을 편취하는 방법이다.2)
파밍(pharming)에서는 범죄자가 피해자의 PC나 스마트폰을 악성코드에 감염시켜 허위의 금융회사 사이트로 유도·접속케 한 후, 그 허위사이트를 정상사이트로 착각한 피해자로 하여금 자신의 계좌번호 등 금융정보를 입력케 한다. 그리고 해당 정보를 이용해 범죄자 자신이 피해자 명의의 공인인증서를 재발급받아 피해자 이름으로 대출을 받거나 그의 예금을 계좌이체 등에 의해 빼돌리게 된다. 파밍은 기술적 수단에 따라 윈도우즈 host 파일 변조방식, DNS 세팅 변경방식, 자동 프록시 설정(PAC) 기능 이용방식으로 나뉜다.3)
스미싱(Smishing)은 문자메시지(SMS)를 이용한 전자금융사기 수법으로서, 청첩장, 이벤트 당첨, 경찰 출석요구 등 다양한 문자 메시지를 전송하여 여기에 포함된 링크에 접속이 이루어지면, 피해자의 스마트폰에 악성코드나 악성 앱이 설치되고 이를 통해 피해자의 인증정보를 탈취하거나 직접 소액결제를 유도하는 범죄 수법이다.4)
메모리 해킹은 피해자의 PC메모리에 침투하여 피해자가 입력한 정보를 해킹하거나, 이체 상대방 계좌를 해커 자신 또는 제3자의 계좌로 조작하는 방식으로 돈을 빼돌리는 수법이다.5) 피싱이나 파밍은 계좌나 공인인증서 비밀번호 등을 외부에서 빼내는 방법인 반면에, 메모리 해킹은 악성 프로그램을 설치하여 메모리에 있는 비밀번호를 탈취하거나(정보유출형), 범죄자가 지정하는 계좌 등으로 데이터를 변경·조작하는 방법(정보변조형)으로서 인터넷뱅킹 프로세스에 직접 개입한다는 데에 차이점이 있다.6)
스캠(scam)은 범죄자가 어느 기업의 이메일을 해킹한 다음, 그 기업의 거래상대방에게 대금 계좌번호가 변경되었다는 이메일을 보내어 그 변경된 계좌로 송금토록 함으로써 송금주체인 거래상대방으로부터 금원을 편취하는 범죄를 말한다. 나이지리아 스캠, 419 스캠 또는 이메일해킹 무역사기라고 부르기도 한다.7)
랜섬웨어(ransomware)는 컴퓨터 시스템에 저장된 문서·사진·동영상을 암호화한 다음에 암호를 풀어주는 조건으로 금전을 요구하는 범죄를 말한다. 기술적으로 보아 ① 크립토락커(CripToLocker), ② 레베톤(Reveton), ③ 심플록커(SimpleLocker)로 나눌 수 있다. ‘크립토락커’는 감염된 PC의 시스템 파일을 제외한 MS 오피스, 한글문서 파일, 압축파일, 동영상, 사진 등을 암호화한 다음 해당국가 언어로 작성된 txt.html 파일을 생성해 피해자의 PC에 게시하면서 금품을 요구하는 수법이고, ‘레베톤’은 거짓으로 법집행 기구의 경고문구를 표시하고 피해자가 법률을 어겨 PC 내 파일이나 소프트웨어의 사용이 제한된다고 경고하면서 금품을 요구하는 수법이다. 그리고 ‘심플록커’는 스마트폰의 파일을 암호화하고 금품을 요구한다는 면에서 모바일에 적용된 새로운 랜섬웨어 수법을 말한다.8)
Ⅲ. 전자금융사기 관련 현행 제도
악성 프로그램 설치, 피싱·파밍 사이트 개설 또는 이메일 유인에 의하여 피해자의 금융정보를 탈취하는 행위는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”) 제48조, 제49조, 제49조의2 제1항을 위반하는 행위에 해당하고, 동법 제70조의2 내지 제72조에 따라 각 형사처벌의 대상이 된다.9) 그리고 범죄자가 피싱·파밍 사이트를 제작하면서 정상사이트를 복사하여 일부 변경을 가하는 행위는 형법 제232조의2에서 정하는 사전자기록 등 특수매체 기록 변작죄에, 악성코드로 피싱·파밍사이트의 접속을 유도하는 행위는 형법 제314조 제2항의 컴퓨터등장애업무방해죄에 해당할 여지가 있다.10)
피해자로부터 탈취한 금융정보를 이용하여 금융기관의 시스템에 접속한 경우에는 정당한 권한 없이 정보통신망에 침입한 것으로서 정보통신망법 제48조 제1항의 위반에 해당될 수 있다. 한편, 컴퓨터 등의 전산장치는 착오의 주체가 될 수 없으므로 부정획득한 정보를 이용해 피해금을 이체시키는 행위를 사기죄로 처벌하기는 어렵겠지만, 금융기관의 입출금 사이트에 권한 없이 정보를 부정입력하여 처리케 함으로써 재산상 이익을 취득하는 행위에 해당하므로 형법 제347조의2의 ‘컴퓨터등 사용사기죄’로 처벌할 수 있을 것이다.11)
그리고 보통 전자금융사기에서는 피해자의 예금을 차명계좌(대포통장)에 송금토록 함으로써 범행의 추적을 무산시키려는 시도를 하게 되는데, 이러한 목적으로 차명계좌 개설에 필요한 공인인증서를 양수도하거나 대여하는 행위는 전자서명법 제23조 제5항 위반죄에 해당한다(전자서명법 제32조 제4호). 그리고 공인인증서 이외에 명의대여자의 금융계좌와 비밀번호, 신분증 등을 범죄자에게 넘겨주는 행위도 접근매체의 양수도 행위로서 전자금융거래법 제6조 제3항 위반에 해당하고 이 역시 형사처벌의 대상이 될 수 있다(전자금융거래법 제49조 제4항).12)
전자금융거래법에서는 접근매체의 위·변조나 거래수행 과정에서 발생한 사고에 대하여 이용자의 고의·과실과 상관 없이 금융회사에게 손해를 배상할 책임을 지우고 있으며, 다만 이용자의 고의·중과실이 있는 경우로서 이용자와 사전약정을 체결한 경우나 기업간 거래의 경우에는 금융회사의 면책을 인정하고 있다(전자금융거래법 제9조). 이에 관한 자세한 내용은 다음 Ⅳ항에서 살펴보기로 한다.
전자금융사기 피해자들의 사후구제를 위해 2011년 9월부터 「전기통신금융사기 피해금 환급에 관한 특별법」이 시행되고 있다. 동법에 따르면, 피해자는 피해금을 송금·이체한 계좌 또는 사기이용계좌를 관리하는 금융회사에 대하여 해당 계좌의 지급정지 등을 신청할 수 있고(동법 제3조 제1항), 신청을 받은 금융회사는 거래내역 등의 확인을 통하여 사기이용계좌로 의심할 만한 사정이 있다고 인정되면 해당 계좌의 전부에 대하여 지급정지 조치를 하여야 한다(동법 제4조 제1항). 또, 이와 같은 조치를 취한 금융회사는 금융감독원에 채권소멸절차를 개시하기 위한 공고를 요청하여야 하고, 금융감독원에서 이에 따른 공고 절차 등을 개시하면 공고일로부터 2개월 경과 시점에 사기이용계좌 명의인의 채권이 소멸한다(동법 제5조, 제9조 제1항).
금융감독원과 경찰청이 운영하고 있는 전자금융사기 방지 제도로는 전자금융거래제한, 지연인출제도, 전자금융사기 예방서비스, 개인정보노출자 사고예방시스템 등이 있다.13) ‘전자금융거래제한 제도’는 전자금융사기로 인한 피해확산을 방지하기 위해 금융감독원이 지급정지 조치에 관한 사항을 통지받은 경우 해당 명의인을 전자금융거래제한 대상자로 지정하는 것이며, ‘지연인출제도’는 1회에 100만원 이상 금액이 송금·이체되어 입금된 경우 입금된 때로부터 해당금액 상당액 범위 내에서 30분간 자동화기기(CD/ATM기 등)를 통한 인출·이체가 지연되는 제도이다. 그리고 ‘전자금융사기 예방서비스’는 공인인증서를 재발급 받거나 타행 발급 공인인증서를 등록하는 경우 및 인터넷뱅킹을 통해 1일 100만원 이상 이체 하는 경우 OTP 사용, 2채널 인증 등 본인확인절차를 강화하는 내용이다. 또, ‘개인정보노출자 사고예방시스템’은 신분증 분실 등에 의해 노출된 개인정보를 타인이 이용해 명의를 도용하는 것을 방지하는 시스템으로서 위 시스템에 등록된 개인정보를 금융회사 간에 공유하여 본인확인과 관련된 사고를 예방하는 제도이다.14)
Ⅳ. 전자금융거래법 제9조의 책임
전자금융거래의 편리성과 신속성의 이면에는 그 고도의 기술성, 복잡성에 기인하여, 거래사고의 근본적인 원인을 규명하거나 그 원인야기자에게 현실적으로 책임을 지우는 것이 불가능할 정도의 사태가 발생할 개연성이 있다. 이에 전자금융거래법 제9조는 위와 같은 경우 금융회사와 이용자의 위험분배원칙에 관하여 정하고 있다.
전자금융거래법 제9조(금융회사 또는 전자금융업자의 책임)
① 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다. <개정 2013. 5. 22.>
-
접근매체의 위조나 변조로 발생한 사고
-
계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고
-
전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조제1항제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고
② 제1항의 규정에 불구하고 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 경우에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다. <개정 2013. 5. 22.>
-
사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우
-
법인(「중소기업기본법」제2조제2항에 의한 소기업을 제외한다)인 이용자에게 손해가 발생한 경우로 금융회사 또는 전자금융업자가 사고를 방지하기 위하여 보안절차를 수립하고 이를 철저히 준수하는 등 합리적으로 요구되는 충분한 주의의무를 다한 경우
③ 제2항제1호의 규정에 따른 이용자의 고의나 중대한 과실은 대통령령이 정하는 범위 안에서 전자금융거래에 관한 약관(이하 "약관"이라 한다)에 기재된 것에 한한다.
④ 금융회사 또는 전자금융업자는 제1항의 규정에 따른 책임을 이행하기 위하여 금융위원회가 정하는 기준에 따라 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다. <개정 2008. 2. 29., 2013. 5. 22.>
[제목개정 2013. 5. 22.]
전자금융거래법시행령 제8조(고의나 중대한 과실의 범위)
법 제9조제3항에 따른 고의나 중대한 과실의 범위는 다음 각 호와 같다. <개정 2013. 11. 22.>
-
이용자가 접근매체를 제3자에게 대여하거나 그 사용을 위임한 경우 또는 양도나 담보의 목적으로 제공한 경우(법 제18조에 따라 선불전자지급수단이나 전자화폐를 양도하거나 담보로 제공한 경우를 제외한다)
-
제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치한 경우
-
금융회사 또는 전자금융업자가 법 제6조제1항에 따른 확인 외에 보안강화를 위하여 전자금융거래 시 요구하는 추가적인 보안조치를 이용자가 정당한 사유 없이 거부하여 법 제9조제1항제3호에 따른 사고가 발생한 경우
-
이용자가 제3호에 따른 추가적인 보안조치에 사용되는 매체·수단 또는 정보에 대하여 다음 각 목의 어느 하나에 해당하는 행위를 하여 법 제9조제1항제3호에 따른 사고가 발생한 경우
위 규정의 입법취지는, 해킹, 전산장애 등에 의해 접근매체의 위변조, 전자적 전송·처리과정에서의 사고가 발생할 경우 금융회사가 과실 유무에 관계없이 책임을 부담한다는 것이다. 다만, 사전에 약관을 통하여 ‘이용자의 귀책사유 및 불가항력의 사정이 있는 경우 이용자가 책임을 부담한다’는 취지의 계약을 체결하면 금융회사의 면책이 가능하다.15) 그런데 원래 입법예고안에서 금융회사의 면책사유로 규정되었던 이용자의 경과실이 배제되고 대신에 ‘이용자의 중과실’로 그 면책요건이 변경되는데, 이는 그 위험발생이 금융기관의 지배영역 하에 있다는 점과, 여신전문금융업법 제16조 제6항이 신용카드 사고시 회원의 고의 또는 중과실이 있는 경우에만 카드회사의 면책을 인정함을 근거로 하고 있다.16)
한편, 최초 입법 이후로 다양한 전자금융사기·사고에 대한 법적용에 있어 미흡한 부분이 지적되어, 2013. 11. 23. 개정 이후로 현행 전자금융거래법에서는 해킹과 관련된 책임을 명확히 하고자 “전자금융거래를 위한 전자적 장치 또는 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고”에 대해서도 금융회사가 배상책임을 부담하도록 추가로 규정하였다. 그리고 전자금융거래법 시행령에서 정하는 금융기관의 면책사유도, 개정 전에는 제1호 및 제2호만 명시하고 있었으나 개정 후에는 제3호와 제4호를 추가하였고, 이렇게 신설된 규정은 전자금융거래법 제9조 제1항 제3호의 부정획득한 접근매체로 인한 사고에 적용하도록 하였다.
피고들(금융회사들)의 인터넷뱅킹서비스를 이용하여 오던 원고(피해자)는 2012. 3. 30. 자신을 서울지방검찰청 검사라고 사칭하는 범죄자의 전화에 속아 허위 대검찰청 인터넷사이트에 접속한 후 원고 자신의 주민등록번호, 휴대전화번호, 신용카드번호, 예금계좌번호, 각 비밀번호, 보안카드번호, 보안카드 비밀번호를 입력하였다. 그리고 위 범죄자는 같은 날 피해자가 입력한 금융정보를 이용하여 공인인증서를 재발급받은 후 현대카드 주식회사 등으로부터 대출서비스 등을 받아 그 자금을 다시 제3자 명의의 예금계좌로 송금하였다.
원심은, “이 사건 금융사고 당시에는 전화금융사기(보이스피싱)가 빈발하여 사회적인 경각심이 높은 상태였던 점, 피해자가 금융사고 당시 33세로서 공부방을 운영하는 등 사회경험이 있었고 1년 이상 인터넷뱅킹서비스를 이용하여 왔던 점, 피해자도 성명불상자로부터 001로 시작되는 국제전화를 받아 이상하였다고 생각한 점, 공인인증서 발급에 필수적인 계좌번호, 계좌비밀번호, 주민등록번호, 보안카드번호, 보안카드비밀번호를 제3자에게 모두 알려준 점 등”을 들어 피해자의 중과실을 인정함으로써 금융회사의 전부면책을 인정하였다.
대법원도, “전자금융거래법 제9조 등에서 말하는 (피해자의) 고의 또는 중대한 과실이 있는지 여부는 접근매체의 위조 등 금융사고가 일어난 구체적 경위, 그 위조 등 수법의 내용 및 그 수법에 대한 일반인의 인식 정도, 금융거래 이용자의 직업 및 금융거래 이용경력 기타 제반 사정을 고려하여 판단할 것”이라고 하며 원심의 결론을 수긍하였다.
2013년경 원고들(피해자들)은 인터넷 뱅킹 서비스를 이용하기 위해, 자신의 PC나 스마트폰이 악성코드에 감염된 줄 모르고 피고들(금융회사들)이 운영하는 인터넷 홈페이지에 접속하려고 하였다. 그 순간 악성코드에 감염된 컴퓨터 또는 스마트폰이 원고들을 허위 사이트로 유도·접속시켰고, 위 사이트에서는 ‘보안승급 또는 보안 관련 확인이 필요하다’는 메시지와 함께 원고들의 계좌번호 및 비밀번호, 보안카드 번호 등의 입력을 요구하였다. 이에 따라 원고들은 자신들의 금융정보를 입력하였고, 이렇게 금융정보를 탈취한 범죄자는 피고들의 인터넷 홈페이지에 접속하여 원고들 명의의 공인인증서를 재발급받은 후 이를 이용해 원고들의 계좌에서 제3자 명의의 계좌로 자금을 이체하였다.
1심 법원은 우선, 법 제9조의 입법취지는 ‘복잡하고 전문적인 특성을 지녀 원인규명이 어려운 전자금융사고에 대한 책임부담 원칙을 명확히 하고 이용자의 고의·중과실에 의하지 않은 전자금융사고로 인하여 이용자에게 손해가 발생한 경우 금융회사 또는 전자금융업자가 책임을 부담하도록 하기 위한 것’이라며 결국 위 규정이 금융회사 등의 ‘법정 무과실책임’을 인정한 것이라고 밝혔다. 그리고 타인의 정보를 부정하게 이용하여 공인인증서를 재발급받은 경우에도 전자금융거래법 제9조를 적용할 수 있다며 피고들에게 법 제9조에 따른 손해배상책임의 성립을 인정하였으나, 원고들의 나이나 사회경험, 인터넷뱅킹 이용경력이나 그 빈도, 피고들의 전자금융사기에 대한 경고나 안내문 게시 현황 등에 비추어 보면, 원고들이 보안카드 번호 전체를 입력하는 것은 매우 이례적인 일이고, 통상의 거래에서 금융기관이 보안카드 번호 전체를 요구하지 않는다는 사정을 충분히 인식하고 있었던 것으로 보여 원고들의 중과실이 인정된다고 하였다. 다만, 법에서는 이용자에게 중대한 과실이 있는 경우 그에게 손해배상책임의 ‘전부 또는 일부’를 지울 수 있음을 규정하고 있으므로 원고들의 중과실을 이유로 곧바로 피고들의 전부면책을 인정하긴 어렵고, 원고들도 어디까지나 정상적인 방법으로 홈페이지 접근을 시도하였다가 허위의 사이트로 유도된 점 등을 감안하면, 전화를 통해 기망 당하여 스스로 허위 사이트에 접속한 보이스 피싱 사례 등과 동일하게 보기 어려워, 결국 이 사건에서는 금융회사들이 손해의 일부에 대한 책임을 부담하여야 한다고 판단하였다.
2심 법원도 1심 법원과 거의 동일한 취지로 원고들의 중과실을 인정하였고 이에 따라 금융회사의 전부면책을 인정하였는데, 1심과 달리 면책의 범위를 일부로 제한하지 아니한 이유에 대해서는 특별한 설시를 하지 않았다. 그리고 대법원에서는 해당 사안에 대해 심리불속행 기각판결을 내림으로써 2심의 판결이 그대로 확정되었다.
파밍사기 판결의 1심 법원은 전자금융거래법 제9조에 따른 책임의 법적 성격에 대하여 “이 규정은 전자금융거래를 보호하기 위하여 금융기관 또는 전자금융업자에게 귀책사유가 없더라도 ‘접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우’에는 금융기관 또는 전자금융업자의 책임을 인정함으로써, 금융기관 또는 전자금융업자의 법정 무과실책임을 인정한 것이다”라고 판시하고 있으며, 전자금융거래법 입법예고 당시 제안자 역시 같은 입장을 취하였던 것으로 보인다(무과실책임설).19)
다만, 위 입법예고 이후 진행된 입법심사 과정 중에는 전자금융거래법 제9조의 입법취지를 ‘입증책임의 전환’ 규정이라고 설명하기도 하는바, 동법 제9조는 과실책임원칙을 배제한 것이 아니라 첨단기술을 바탕으로 한 사고유형이 증가함에 따라 피해자가 사고의 원인 및 귀책사유를 입증하는 것이 현실적으로 불가능하므로 최근의 입법경향을 반영하여 입증책임의 전환을 규정한 것이라고 해석한다(입증책임전환설).20)
사실, 피해자의 고의·중과실이 있는 경우 금융회사가 면책되는 이상 전자금융거래법 제9조의 책임을 무과실책임으로 이해하든지, 입증책임의 전환 규정으로 이해하든지 그 결론에 있어 별다른 차이는 없을 것으로 생각된다. 하지만, 동법 제9조의 법적 성격은 무과실책임으로 보는 것이 논리적으로 더 정확한 해석이라고 생각되는바, 만약 동법 제9조를 입증책임 전환 규정이라고 본다면 금융회사가 입증해야 할 대상은 ‘금융회사의 고의·과실의 부존재’가 될 것이므로, 금융회사로서는 자신의 귀책사유가 없음을 입증하여 그 책임을 면할 것이지 법조항과 같이 ‘피해자들의 고의·중과실’을 입증하여 면책을 받을 것은 아니기 때문이다.
앞서 보이스 피싱 사례에서 대법원은 “고의 또는 중대한 과실이 있는지 여부는 접근매체의 위조 등 금융사고가 일어난 구체적인 경위, 그 위조 등 수법의 내용 및 그 수법에 대한 일반인의 인식 정도, 금융거래 이용자의 직업 및 금융거래 이용경력 기타 제반 사정을 고려하여 판단할 것이다”이라고 판시하여 피해자의 중과실 인정 여부에 관한 판단기준을 밝힌 바 있다. 그리고 이와 같은 기준 하에 두 사례 모두 피해자들의 중과실을 인정함으로써 금융회사의 면책을 인정하고 있다. 다만, 파밍사기에 대한 1심 판결에서는 피해자의 중과실을 인정하되 금융회사의 면책 범위를 일부로 제한하였다는 차이점이 있다.
먼저 대법원은 보험계약의 고지의무 위반에 있어 보험계약자가 피보험자의 병력 질문사항에 관해 반대로 답변 표기한 경우에 대하여, 피보험자와 보험계약자가 다른 경우에 피보험자 본인이 아니면 정확하게 알 수 없는 개인적 신장이나 신체상태 등에 관한 사항은 특별한 사정이 없는 이상 보험계약자가 피보험자에게 적극적으로 확인하여 고지하는 등의 조치를 취하지 아니하였다는 것만으로 바로 중대한 과실이 있다고 할 것은 아니라고 한다. 더욱이, 보험계약서의 형식이 보험계약자와 피보험자가 각각 별도로 보험자에게 중요사항을 고지하도록 되어 있고 피보험자 본인의 신상에 관한 질문에 대하여 택일하는 방식으로 고지하도록 되어 있다면 보험계약자가 ‘아니오’로 표기하여 답변하였더라도 이는 그러한 사실의 부존재를 확인하는 것이 아니라 사실 여부를 알지 못한다는 의미로 답하였을 가능성도 배제할 수 없다며, 그러한 표기사실만으로 고의 또는 중대한 과실로 고지의무위반에 해당한다고 볼 수 없다고 판시하였다.21)
또한, 대법원은 사용자책임이 면책되는 피해자의 중과실 여부를 판단함에 있어 ‘공평의 관점’을 적용하여, 중대한 과실에 대하여 거래의 상대방이 조금만 주의를 기울였더라면 피용자의 행위가 그 직무권한 내에서 적법하게 행하여진 것이 아니라는 사정을 알 수 있었음에도 만연히 이를 직무권한 내의 행위라고 믿음으로써 일반인에게 요구되는 주의의무에 현저히 위반하는 것으로 거의 고의에 가까운 정도의 주의를 결여하고, 공평의 관점에서 상대방을 구태여 보호할 필요가 없다고 봄이 상당하다고 인정되는 상태를 말한다고 판시하였다.22) 그리고 증권회사의 투자상담사로 업무를 수행한 사람이 실상 자격이 없다는 것을 알지 못한 데에 원고의 과실이 있다 하더라도, 원고의 과실은 위 사람이 투자상담사로서 업무를 계속 수행하는 것을 묵인하고 조장한 회사의 잘못과 비교하여 볼 때 현저히 중하다고 볼 수 없다는 이유로 회사의 책임을 면하게 할 정도로 중대한 과실로 보기는 어렵다고 판단하였다23).
이외에도, 대법원은 착오의 의사표시(민법 제109조)에서 말하는 취소 제한사유로서의 ‘중대한 과실’이라 함은 표의자의 직업, 행위의 종류, 목적 등에 비추어 보통 요구되는 주의를 현저히 결여한 것을 의미한다고 하며24), 신용보증기관의 직원이 보증신청을 한 기업의 실제 경영주와 신청명의인이 다르다는 사실을 주민등록증의 사진이나 학력, 경력의 기재를 통해 확인하지 못하고 신용보증서를 발급한 사안에서, 그와 같은 사정만으로 신용보증기관이 보증대상기업의 경영주와 그 신용상태에 대한 착오를 일으킨 데에 대한 중과실이 있다고 할 수 없다고 하였다25).
일반적으로 ‘중과실’이란 “주의를 위반한 정도가 거의 고의에 가까울 정도로 중대한 경우”라고 설명된다. 그런데 앞서 본 법원의 판단 사례들은, 사건에 사용된 범죄수단의 전문성, 피해자들의 경험 및 금융기관에 대한 사회 일반의 높은 신뢰도, 그리고 중과실 인정에 관한 판례의 일반적 수준 등을 고려할 때, 종래의 중과실 판단기준보다 그 인정 수준을 현저히 낮춘 것으로 보인다. 특히, 파밍사기의 경우 이에 사용되는 고도의 기술적 수단, 즉, 이용자 모르게 악성코드를 PC나 핸드폰에 심고 피해자들이 눈치 채지 못하는 가운데 그들을 허위사이트에 유도한다는 사정, 그리고 보이스 피싱 사건에서 사기전문가들이 수사기관을 사칭하며 피해자들을 교묘 또는 대담하게 심리적 궁박 상태로 몰아간다는 사정을 고려해 보면, 아마추어에 불과한 피해자들에게 중과실을 인정하는 것은 가혹한 측면이 있다.
물론, 은행들이 고객들을 상대로 전자금융사기의 범행 방법과 주의사항을 홈페이지에 게시하고 경고 메일 및 문자메시지를 보내기도 했다고는 하나, 그와 같은 사정만으로 피해자들이 사기범행에 대해 충분히 이해하고 사고 당시 침착하게 대응하는 것이 말처럼 쉽진 않았을 것이다. 전자금융사기의 경우 교묘한 사기방법에 접한 피해자들은 순간적으로 판단력이 흐려지는 것이 보통이고, 전자금융기술에 대한 전문지식이 부족한 상황에서 정보 또는 권력에 있어 우위에 있는 자의 지시에 따를 수밖에 없는 사정이 있는데, 범죄의 먹이로 지목되어 교묘한 함정에 걸려든 자에 대하여 평상시의 합리적 이성을 기준으로 제대로 판단하였는지 따지겠다는 것은 그 전제 자체가 잘못된 것일 수 있다.
이와 관련하여 보이스 피싱에 관한 대법원판례의 경우 원고의 중과실을 인정한 것은 전자금융사기 수법을 지나치게 경시하였거나 이용자의 주관적 요소를 과도하게 높게 평가하였기 때문이라고 지적하는 견해가 있다.26) 위 견해에서는 이에 관한 일본의 해석론도 제시하는데, 이에 따르면 “예컨대 제3자가 은행이나 경찰 등을 사칭하여 예금자에게 전화를 걸은 후 ‘확인을 위해 비밀번호를 알려 달라’는 등으로 예금자를 기망하여 비밀번호를 알아차리게 된 경우에는 예금자에게 중과실이 있다고 해석하지 않는다”고 하며, 이렇게 해석하는 이유는 “속아서 비밀번호를 알린 경우가 ‘고의와 동일시될 정도로’ 현저히 주의의무 위반이 인정되는 경우라고는 도저히 평가되지 않기 때문”이라고 한다.27)
이처럼 여러 가지 사정을 살펴볼 때 위에서 살펴본 두 가지 법원의 판결 사례는 법문상 중과실이라는 개념을 다른 경우보다 훨씬 완화하여 해석한 사례로 평가되는바, 전자금융거래에 관하여는 적극적인 이용자 보호의 관점에 서겠다는 입법자의 결단이 내려졌음에도 불구하고, 법원에서 법적 안정성에 의문이 제기될 정도로 일관성 없는 해석을 하는 것은 문제가 있다고 생각된다. 즉, 현재 법원의 해석경향은 전문적인 사기수법에 걸려든 피해자들의 구체적인 정황이나 입장을 고려하지 않고, 단편적인 몇 가지 사실이나 사후적인 관점에 서서 중과실을 인정한 것으로서 재고의 필요성이 있어 보인다.
피해자들의 중과실을 인정하면서도 금융회사의 일부면책만을 인정한 파밍사기의 1심 판결에서는 아래와 같이 그 이유를 적시하고 있다.
“접근매체의 위조로 발생한 사고라도 이용자에게 중대한 과실이 있는 경우 이용자에게 그 손해배상 책임의 '전부 또는 일부'를 부담하게 할 수 있다. 따라서 이용자에게 사고 발생에 관하여 중대한 과실이 있다고 하더라도 금융기관이 그 책임을 곧바로 면한다고 할 수는 없다. ∼ (중략) ∼. 원고들의 이러한 잘못이 구 전자금융거래법 제9조 제1항 에서 정한 중대한 과실에 해당하더라도 이용자인 원고들에게 책임의 전부를 부담시킬 정도라고 볼 수 있는지, 책임의 일부만을 부담시킬 정도에 불과한지, 아니면 책임의 일부조차 부담시켜야 할 정도에도 미치지 못하는 것인지 문제된다. 결국 이용자들의 중대한 과실의 정도에 따라 이용자들이 부담할 책임의 존부와 범위를 개별적으로 결정하여야 한다. 이때 중대한 과실의 정도와 그에 따른 책임 부담의 범위에 관해서는 제3자에게 접근 매체의 사용을 위임한 경우, 제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 쉽게 할 수 있었음에도 불구하고 이용자가 접근매체를 노출한 경우, 공인인증서의 재발급 통지를 받고도 아무런 조치를 취하지 않은 경우 등으로 구분해서 살펴볼 필요가 있다.”
위 판결에서는 피해자의 중과실이 인정될 경우 그 정도를 살펴서 전부면책 내지 일부면책의 범위를 개별적으로 결정해야 하는 것으로 판시하고 있다. 이와 같은 하급심 법원의 해석 이외에도 전자금융거래법 제9조 제2항의 면책범위를 정하는 기준과 관련하여 아래와 같은 견해들이 존재한다.28)
(i) 고의전부면책설 : 의정부지방법원 2013. 7. 12. 선고 2012가단50032 판결에서 명시적으로 밝힌 내용으로, 이용자의 고의가 인정될 경우에는 금융기관이 전부면책되나, 중과실의 경우에는 일부면책만이 허용된다는 견해이다.
(ii) 악의전부면책설 : 서울동부지방법원 2013. 9. 27. 선고 2012가단24812 판결에서는, 피해자의 과실이 악의에 준하는 정도이면 금융기관이 전부면책된다는 견해를 취하였다.
(iii) 면책약관기준설 : 금융회사와 피해자가 미리 체결한 약정에 따라 면책범위를 결정해야 한다는 견해로서, 금융회사와 피해자 간의 약정에 피해자의 고의·중과실이 있는 때에는 금융기관등의 책임이 면제된다고 규정되었으면 금융회사의 책임이 일부만 감경되는 것이 아니라 전부면제되는 것이고, 약정에서 일부감경의 가능성을 열어두고 있으면 일부면책이 인정된다는 것이다.29)
사견으로는 위 하급심 판결과 같이 사안에 맞추어 개별적으로 면책범위를 결정하되, 다만 그 구체적인 판단은 ‘범죄 수법에 사용된 기술적 수단의 난이도와 복잡성’을 최우선적 기준으로 삼아야 할 것으로 생각한다. 그 자세한 논거는 관련 부분에서 후술하기로 한다.
민법 제470조는 ‘채권의 준점유자에 대한 변제는 변제자가 선의이며 과실 없는 때에 한하여 효력이 있다’고 규정하고 있으며, 대법원에서는 일관하여 예금통장과 비밀번호를 제대로 제시한 고객에 대한 예금지급을 준점유자에 대한 변제로서 적법한 변제라고 인정한다.30) 그리고 전자지급거래와 관련하여 진정한 이용자는 접근매체31)를 이용하여 금융기관에 대한 채권을 행사하므로 정확한 접근정보를 이용한 ‘무권한자’의 지급거래 지시를 따른 것은 예금통장과 도장, 비밀번호를 소지한 자에게 예금을 지급한 경우와 흡사하므로 민법상 채권의 준점유자에 대한 변제로 볼 수 있다는 견해가 있다(민법 제470조 적용설).32)
그런데 전자금융거래법 제9조에서는 금융회사에 ‘별도의 손해배상책임’을 지우고 있는바, 이는 위 해석론과 같이 범죄자에 대한 은행의 지급이 채권의 준점유자에 대한 변제로서 그 효력이 있음을 전제로 한 것이라 볼 수 있다. 그러나 위조수표의 변제에 대해서는 채권의 준점유자에 대한 변제 법리를 적용할 수 없다는 대법원 판례33) 등을 고려할 때, 위변조한 접근매체에 의한 무권한 지급거래에 대해서 민법 제470조를 적용할 수 없을 것이며, 이러한 논리의 연장선상에서 보면 진정한 매체이긴 하나 이를 부정획득하여 사용한 경우에 대해서도 같은 해석을 할 수 있을 것이다. 특히, 관련 규정에 대한 전자금융거래법의 개정취지까지 고려하면 접근매체의 위변조나 부정사용의 경우 모두 채권의 준점유자에 대한 변제가 인정될 수 없다고 해석하는 것이 타당하다(민법 제470조 비적용설).
Ⅴ. 적극적인 사법구제의 필요성
전자금융거래법 제21조에서는, 금융회사는 전자금융거래가 안전하게 처리될 수 있도록 선량한 관리자로서의 주의를 다하여야 한다고 규정하고 있다. 따라서, 이 규정을 중심으로 보면 과연 전자금융사기·사고의 경우 금융회사에게 책임을 돌릴 정도로 안전성 확보의무의 불이행이 있는지 의구심이 들 수 있다. 얼핏 생각하면, 전자금융사기범들이 정상사이트와는 무관한 허위사이트를 독자적으로 만들고, 자신들이 개발한 악성코드를 피해자들의 PC에 직접 심은 행위에 대하여 금융회사가 과연 어떤 기여를 하였고, 무슨 잘못을 하였다는 것인지 의문이 있을 수 있다. 그래서 전자금융사기로 인한 피해가 발생했다면, 좀 억울한 일이긴 하겠으나 범죄자와 접촉하고 그로부터 순진하게 기망당한 피해자들에게 책임을 지우면 지울 일이지, 범죄와 완전히 동떨어진 금융회사에게 손해를 부담시킨다는 것이 상식적으로 엉뚱해 보일 수도 있다.
그러나 전자금융거래법상 이용자와 금융회사의 문제를 좀 더 한정하여 고객과 은행의 문제로 특정해서 보면, 전자금융사기의 피해를 원칙적으로 금융회사가 부담하는 것이 특별할 것이 없고, 오히려 굳이 이용자들의 중과실을 쉽게 인정하면서 그들에게 책임을 돌리는 것이 잘못이라고 생각될 수 있다. 그래서 이하에서는 금융회사와 이용자 관계의 큰 비중을 차지할 은행-고객 간 관계를 중심으로 하여, 전자금융거래법 제9조를 이용자 보호의 관점에서 좀 더 적극적으로 해석해야 할 이유를 고민해 보기로 한다.
앞서 본 전자금융사기 피해 사례에서 법원의 종국적 입장이 이용자, 즉 주로 은행의 고객들에게 호의적이지 못했던 이유는, 범죄자와 피해자(고객) 사이의 불법행위 관계에 주목하여 양자 사이에 발생한 손해를 전통적인 과실책임주의로만 해결하려 했기 때문이라고 생각한다. 즉, 전자금융사기의 경우 가해자-피해자 관계에 있어 금융회사는 어디까지나 제3자에 불과하므로 금융회사가 책임을 부담하는 범위는 없거나 최소한이 되어야 한다는 관념이 법원의 생각에 계속 머물러 있었던 것이 아닌가 한다.
그러나 불법행위에 있어서 피해자의 손해를 반드시 가해자와의 관계에서만 해결해야 한다는 것이 유일한 논리적 귀결은 아니며, 불법행위 제도의 지도원리를 어떻게 보느냐에 따라서 충분히 그 결론이 달라질 수 있다. 즉, 가해자와 피해자 사이에서 손해를 어떻게 부담하느냐는 기본적으로 가해자의 책임에 관하여 과실책임주의를 취하느냐 또는 무과실책임주의를 취하느냐의 문제이며, 손해를 가해자와 피해자뿐만 아니라 사회에도 부담케 하느냐, 그렇다면 어떻게 부담케 하고, 분산시키느냐의 문제와도 이를 연결시킬 수 있다.34)
통상적으로 전자금융사기에 있어서 고객의 피해는 결국 고객이 은행에 예치해 둔 예금의 반환청구권이라고 볼 수 있다. 그런데 주지하다시피 예금의 법적 성질은 ‘소비임치’라고 보는 것이 통설이며 판례35)도 같은 입장에 있다. 즉, 예금은 예금자가 금전의 보관을 위탁하고 금융기관이 이를 승낙할 것을 약정하는 계약이므로 임치의 일종이고, 금융기관은 보관받은 금전을 단순히 보관만 하는 것이 아니라 자유롭게 운용하다가 같은 금액의 금전을 반환하면 되므로 소비임치(민법 제702조)에 해당하는 것이다. 따라서, 임치물인 금전의 소유권은 금융기관에 이전하고 금융기관은 이를 소비하여 나중에 같은 금액의 금전을 반환하면 된다.36)
이러한 맥락에서 보면, 전자금융사기의 진정한 피해자는 은행의 고객이 아니라 바로 은행 이 될 수 있다는 발상의 전환이 있을 수 있다. 즉, 일종의 삼각 사기 구조로서 은행의 고객은 기망의 대상이 되었을 뿐이고, 실제 재산상 피해는 자신 소유의 금전을 편취 또는 절취당한 은행이라고 볼 수 있는 것이다. 게다가, 전술한 바와 같이 전자금융거래법 제9조가 적용되는 전자금융사기의 경우 채권의 준점유자에 대한 변제 규정이 적용될 수 없다고 보면, 전자금융사기로 인해 고객이 예금반환청구권을 상실하는 것이 아니라, 범죄자에 대한 지급에도 불구하고 여전히 은행이 예금반환의무를 져야 할 위험, 즉 은행의 이중변제 위험이 발생한 것으로 이해할 수도 있다.
전자금융사기의 가해자인 범죄자에게 사실상 손해배상을 청구할 수 없는 것이 현실이라면, 결국 그 손해를 부담해야 할 진정한 피해자는 표면적으로 드러나는 은행의 고객이 아니라 그 뒤에서 현금자산을 상실한 은행이라고 보아야 할 것이다. 이렇게 본다면, 원칙적으로 전자금융사기의 피해 책임을 금융회사에 부담시키는 입법 태도가 특별한 것이라고까지 볼 필요가 없으며, 현재 법원의 입장처럼 금융회사의 배상책임을 인정하는 데에 특별히 인색할 필요도 없을 것이다.
따라서, 전자금융거래법 제9조 제2항에 따라 은행의 면책을 인정하고 고객에게 책임의 전부 또는 일부를 부담케 하는 것은 어디까지나 매우 예외적인 경우에 한하여야 하고, 법원은 면책의 요건인 중과실을 해석함에 있어서 다른 법적 쟁점에서와 마찬가지로 엄격한 기준을 일관하여야 할 것이다.
사실 손해배상 제도는 손해를 끼친 가해자의 존재와, 그 가해자의 자력이 있음을 전제로 해야만 합리적인 제도가 될 수 있다. 손해는 있는데 가해자를 찾을 수 없거나 가해자가 있더라도 자력이 없는 자라면, 손해배상 제도는 피해자 구제에 무용한 수단이 될 수밖에 없는 것이다. 그런데 최근의 전자금융사기는 범죄수법 상의 고도의 기술성과 복잡성으로 인해 범죄자를 인지하거나 그 신원을 확보하는 것이 사실상 불가능하다. 그래서 극단적으로 말해 전자금융사기는 가해자가 없는 범죄행위라고까지 말할 수 있고, 이렇듯 가해자의 흔적을 찾기 어려운 범죄의 특성상 손해배상 관점에서의 접근보다는 위험부담 관점에서의 접근이 더 적절할 수 있다.
이러한 입장에서 본다면 전자금융사기의 피해는 더 이상 범죄자와 피해자 간의 문제가 아니라, 예금반환청구권을 사이에 둔 고객과 은행 간의 문제로 볼 수 있다. 즉, 소비임치의 대상이 되는 금전이 어떤 불가항력에 가까운 금융사고로 상실된 경우, 그 위험부담을 누가 가져가야 하는가 하는 문제로서 이를 바라볼 수 있는 것이다. 물론, 위험부담의 문제는 쌍무계약 일방의 채무가 채무자에게 책임 없는 사유로 이행불능이 되어 소멸한 경우 그에 대한 상대방의 채무의 운명이 어떻게 되느냐에 관한 것이므로, 이행불능이라는 게 발생할 리 없는 금전의 소비임치에 대해 위험부담의 법리를 적용할 수 없다는 반론이 있을 수 있다.
그러나 이 사안에서 위험부담을 논하는 것은 민법 제573조를 전자금융사기의 경우에 바로 적용하자는 것이 아니라, 금융거래법 제9조를 적용함에 있어 금융회사(은행)와 이용자(고객) 간의 이해조정을 꾀하는 기준을 어떤 이념 하에서 찾을 수 있는가 고민하고자 함이다. 그렇다면 당사자 쌍방의 책임 없는 사유로 계약의 이행을 할 수 없는 상황에서 손실의 위험을 부담할 자는 바로 채무자라는 민법 제537조의 선택은, 책임을 물릴 범죄자를 찾는 게 사실상 불가능한 전자금융사기 사안에서 소비임치물인 예금에 관한 위험부담을 누가 지는지에 대한 대략적인 바로미터는 될 수 있다고 본다.
그래서 여기서 소비임치물인 예금이 범죄자에 대한 지급 직전에 특정되었다고 가정해 보면, 쌍방의 책임 없는 사유로 예금반환의 목적물인 예금(금전)이 상실된 경우에는 민법 제537조의 채무자위험부담주의에 따라 반환채무자인 은행이 손실 위험을 부담하고, 예금(금전)의 상실에 대해 고객의 귀책사유(이 사안의 경우 고의, 중과실)가 있으면 민법 제538조의 채권자위험부담주의에 따라 고객이 그 위험을 부담해야 할 것이다. 결국, 전통적인 위험부담 법리를 유추하더라도 은행이 전자금융사기로 인한 손실을 부담하는 것이 당연하며, 차이가 있다면 채권자위험부담주의를 적용할 수 있는 채권자의 귀책사유에서 경과실이 배제된다는 점 정도뿐일 것이다. 이러한 점을 보더라도 전자금융사기의 피해는 특별한 사정이 없는 한 금융회사가 부담하는 것이 타당하며, 그 손실에 대한 책임을 이용자와 분담하는 것은 엄격히 제한되어야 한다.
전자금융거래는 분명 금융소비자에게 큰 효용과 편리함을 제공해 준다. 하지만, 전자금융거래로 인한 혜택은 은행 고객과 같은 금융소비자만이 누리는 몫이 아니다. 은행 측도 은행수익의 큰 부분을 인터넷 뱅킹 등 전자금융거래로부터 얻어내고 있고, 비대면 거래의 특성에 기인한 인건비 절감의 효과도 충분히 누리고 있다. 어떻게 보면 고객은 전자금융거래로 인해 무형의 편익을 얻는 것에 그치지만, 은행은 눈에 보이는 유형의 경제적 수익을 직접 얻고 있다.
이러한 상황이라면 전자금융사기 피해에 대한 비용부담자를 해당 사업으로부터 이익을 얻는 은행으로 삼는 것이 오히려 형평에 부합할 수 있다. 즉, 인터넷 뱅킹 등 전자금융거래 사업을 고안한 은행들로서는 종전에 없던 새로운 위험을 만들어 내며 수익을 올리고 있는 것이므로, 이러한 수익이 어느 정도 고객의 위험을 기초로 얻어지는 것이라면 그러한 위험이 현실화될 경우의 손해도 은행의 수익에서 배상하는 것이 공평할 것이다. 만일, 은행의 수익이 그러한 손해를 배상하는데 충분치 않다면 그 손해배상액은 기업의 경비 속에 포함될 수 있도록 하여 요금·대금의 형식으로 고객 일반에게 부담시키면 될 것이다.37)
따라서, 법원으로서는 고객들이 범죄자의 술수에 농락당한 표면적 상황만을 두고 고객에게 대부분의 책임을 돌릴 것이 아니라, 고객의 위험에 기초하여 상당한 사업수익을 올리고 있고 자신의 비용을 일반공중에게 분산시킬 수 있는 은행의 지위에 주목해야 할 것이다. 그래서 법원으로서는 위험책임 이론의 기초 하에 보다 엄격한 이용자 보호의 관점에 서서 금융거래법 제9조를 더 적극적으로 해석할 필요가 있다.
이상 살펴본 바와 같이 전자금융거래법 제9조의 해석은 전통적인 불법행위 이론으로부터 완전히 벗어나 무과실책임주의나 위험책임 이론의 관점에 서서, 그리고 위험부담 법리의 유추를 통해 접근하는 것이 타당하다고 본다. 그래서 전자금융사기 피해의 원칙적인 비용부담자는 어디까지나 은행 등의 금융회사이고, 이러한 원칙을 깨야 할 정도로 고객에 대한 비난가능성이 큰 경우에야 금융회사와 이용자 간의 손실분담을 논해 볼 수 있다고 생각한다. 따라서, 이러한 접근방식과는 반대로 금융회사보다는 피해자 고객에게 주목하여 중과실의 인정기준을 현저하게 낮추고 있는 법원의 태도는 재고해야 할 부분이 있다.
다만, 위와 같은 논리는 전자금융사기 수법의 기술적 수준이 고도의 것이어서 피해자들로서는 특별한 주의력을 갖추지 않은 이상 범죄에 희생되기 쉽고, 해외 소재 서버나 차명계좌(대포통장) 등으로 인해 범죄자의 흔적을 찾는 게 사실상 불가능하다는 전제에 있는 것이다. 따라서, 금융회사와 이용자 간의 손실분담 기준은 당해 범죄에 사용된 수법의 기술적 수준을 최우선적으로 고려해야 할 것이어서, 가령 보이스 피싱과 같이 기술적 수단보다는 주로 범죄자와 피해자의 1:1 기망을 통해 범죄가 이루어진 경우라면 피해자의 주의부족에 주목하여 금융회사의 면책 범위를 크게 가져갈 수 있을 것이고, 파밍사기와 같이 고도의 기술적 배경 하에 범죄가 행해진 경우라면 통상적인 주의만으로는 범죄에 희생될 가능성이 높은 점을 고려하여 금융회사의 면책을 인정하지 않거나 좁은 범위에서 일부면책만을 인정해야 할 것이다.
결론적으로 전자금융거래법 제9조에 대한 현재의 법원 해석은 피해자 구제에 너무 소극적이라고 할 수 있는바, 이제 법원은 전자금융사기 피해의 원칙적인 비용부담 주체가 오히려 금융회사 쪽임을 명확히 인식하고, 이용자의 피해구제를 적극적으로 도모하는 방향으로 해석을 시도해야 할 것이다. 그리고 고객의 유책성에 기초하여 금융회사와 이용자 간에 손실을 분담시킬 경우에는 범죄에 사용된 수법의 기술적 수준을 우선적으로 고려하면서 이용자의 중과실 인정을 엄격히 제한할 필요가 있다고 생각된다.
Ⅵ. 결어
우리 법에서는 전자금융사기 피해의 구제와 방지를 여러 가지 제도를 마련하고 있으나, 그 중에서도 전자금융거래법 제9조에 따른 금융회사의 손해배상책임 제도가 가장 큰 실효성을 가지는 것으로 판단된다. 그런데 우리 법원에서는 전자금융거래법 제9조를 해석·운용함에 있어 금융회사의 면책사유인 이용자의 중과실을 너무나 쉽게 그리고 폭넓게 인정함으로써 전자금융사기·사고의 손실을 이용자에게만 전가하는 결과를 가져왔다.
그러나 전자금융사기 피해의 구제는 전통적인 과실책임주의가 아니라 무과실의 위험책임 내지 위험부담의 관점에서 접근해야 할 필요가 있으며, 앞으로는 전자금융사기 피해자들의 효과적인 구제를 위해 전자금융거래법 제9조를 적극적으로 활용해야 할 것이다.