파밍사기 피해 판결‥ '금융권 책임'에 촉각

[이데일리 김동욱 기자] 한 해 평균 피해액 400억원, 피해건수 1만 여건. 파밍(Pharming) 사기는 보이스피싱으로 대표되던 전자금융 사기가 한 단계 진화한 금융범죄다. 피해는 줄지 않고 있지만 파밍사기를 다룬 소송에서 피해자가 이긴 적은 단 한 번도 없다.

지난해 의정부지법이 파밍 피해자가 은행을 상대로 낸 부당이득금 반환소송에서 은행의 배상 책임을 30%로 제한하며 원고 일부 승소 판결을 내렸지만 은행이 제기한 항소심에서 판결이 뒤바뀌었다. 파밍 사이트에 자신의 금융정보를 입력한 피해자 과실이 더 크다는 것이다.

이런 가운데 파밍사기 피해자가 농협은행을 상대로 손해를 배상하라는 소송을 내, 내달 11일 서울지방법원(민사 68단독)에서 파밍사기를 다룬 재판이 열린다. 피해자가 공공기관인 법률구조공단이 아닌 민간 로펌을 통해 소송을 제기한 건 이번이 처음이다.

최근 보이스피싱 사고를 두고 은행이 피해자에게 피해액의 절반을 보상하라는 법원의 강제조정 결정이 내려진 뒤 이어지는 첫 재판이어서 재판 결과에 관심이 모아진다.

“개인정보 유출 사고 발단” vs “금융정보 관리 못한 개인 과실”

소송을 건 우모 씨는 지난해 8월 인터넷 사이트 ‘다음(DAUM)’에 농협을 입력한 뒤 농협 사이트로 접속했다. 사이트는 평소와 다르지 않았다. 다만 팝업창에 ‘개인정보가 유출됐으니 명의도용 예방을 위해 보안카드를 입력해야 한다’는 메시지가 뜨자 우씨는 보안카드 번호, 계좌비밀번호, 계좌 비밀번호 등을 입력했다.

그러나 이 사이트는 사기조직이 우씨의 개인정보를 빼내기 위해 만든 가짜 사이트였다. 사기조직은 우씨의 개인정보를 바탕으로 공인인증서를 재발급 받아 우씨 통장에 있는 6000만원을 찾아갔다.

소송을 대리하는 법률사무소 선경 측은 농협이 애초 고객 개인정보를 유출하지 않았다면 파밍사고가 일어나지 않았을 것이라고 주장하고 있다. 은행의 개인정보 유출이 사건의 발단이 됐다는 주장이다.

원고 측을 대리하는 법무법인 선경에 따르면 농협은행은 2012년 6월과 10월 두 차례에 걸쳐 개인정보 유출 사고를 일으켰다. 이때 유출된 개인정보는 이름, 주민번호, 이메일, 계좌번호 등 14가지다. 제삼자가 인터넷뱅킹으로 우씨의 계좌에서 돈을 빼 가려면 이름을 비롯해 인터넷뱅킹 아이디·비번, 보안카드 번호 등 10개의 정보가 필요하다. 농협의 개인정보 유출로 사기조직이 보안카드 번호를 뺀 이체에 필요한 나머지 정보를 이미 확보했다는 게 선경 측 주장이다.

선경 측 이준길 변호사는 “농협이 원고의 개인정보를 유출하지 않았다면 원고의 보안카드 번호가 해킹당했어도 자금이체가 불가능했을 것”이라며 “특히 이상금융거래탐지 등 보안시스템으로 파밍사고를 막을 수 있는데도 이를 소홀히 한 책임도 크다”고 주장했다.

농협은행은 파밍사고가 현행법상 은행이 책임을 지도록 규정한 위·변조에 해당하지 않기 때문에 손해배상 책임이 없다는 입장이다. 현행 전자금융거래법은 공인인증서 등의 위·변조 사고로 고객에게 손해가 났을 때에만 금융기관이 책임을 지도록 하고 있다.

그런데 우씨의 사례처럼 제삼자가 피해자의 공인인증서 정보 등을 가로채는 행위는 위·변조에 해당하지 않는다는 게 농협의 주장이다. 사기조직이 파밍을 통해 금융정보를 가로챘다 해도 이 정보 자체가 틀린 건 아니기 때문에 위조는 아니라는 것이다. 오히려 개인정보를 제대로 관리하지 못한 고객 측 과실이 더 크다는 주장이다.

이에 이준길 변호사는 “위조가 아니라는 건 대부분의 사고를 이용자의 부주의로 몰기 위한 것”이라며 “원고의 금융정보를 입수해 공인인증서를 폐기하고 재발급하는 등 원고 본인의 권한을 봉쇄시키는 이런 수법은 접근매체의 명백한 위조”라고 주장했다.

금융권, 재판결과 주목

금융권에선 이번 재판을 주목하고 있다. 파밍 피해자가 워낙 많아 이번 재판 결과에 따라 유사 소송이 잇따를 것이란 예상에서다. 특히 이번 재판에서 원고가 승소하면 법원이 개인정보 유출이 파밍 등 전자금융사기의 원인이었다는 걸 인정하는 셈이어서 이에 따른 후폭풍이 거셀 것으로 보인다.

최근 보이스피싱 피해자가 한국씨티은행을 상대로 낸 손해배상 소송에서 은행이 피해액의 절반을 배상하라는 법원의 강제 조정 결정이 나온 점도 이번 재판에 영향을 미칠 것이란 예상이 나온다.

한 금융권 관계자는 “최근 금융사고를 다룬 대법원 최종 판결에서도 금융정보를 스스로 알려준 고객에게 과실이 있고 은행은 책임이 없다는 결과가 나왔다”며 “다만 이번 사안은 개인정보 유출과 관련된 것이어서 재판 결과에 따라 책임 소재를 두고 금융권에 상당한 후폭풍이 예상된다”고 말했다.

■용어설명 : 파밍(Phasrming)이란

악성코드에 감염된 사용자 PC를 조작해 금용 정보를 빼내는 행위. 예를 들어 악성코드에 감염된 PC에서 금융회사에 접속하면 정상 홈페이지에 접속해도 피싱(가짜) 사이트로 이동을 유도해 금융정보를 훔쳐 범행계좌로 이체 함.