[이데일리 최오현 기자] 모바일 청첩장을 눌렀다가 수천만원을 뜯긴 스미싱 피해자가 금융기관을 상대로 제기한 소송에서 승소했다. 법원이 비대면 금융거래에서 금융기관의 간소한 본인확인 절차를 지적함에 따라 앞으로 보다 엄격한 본인확인 조치가 요구될 전망이다.
| 서울고법 전경. (사진=백주아 기자) |
|
8일 법조계에 따르면 서울중앙지법 민사83단독 한나라 판사는 피해자 A씨가 케이뱅크, 미래에셋생명보험, 농협은행을 상대로 낸 6000여만원 규모의 소송에서 원고 승소 판결했다.
A씨는 2022년 3월 30일 모바일 청첩장으로 위장한 스미싱 문자의 URL을 클릭해 악성 앱이 설치됐고, 운전면허증 사본과 금융정보 등 개인정보가 유출됐다. 범죄 조직은 4월 1일 A씨 명의로 스마트폰을 신규 개통한 뒤 즉시 범행에 착수해 약 2시간 30여분 만에 앱을 통한 대출과 주택청약종합저축 해약으로 총 6000여만원의 피해를 입혔다. A씨는 각 금융기관이 본인확인조치나 피해방지를 위한 노력을 다하지 않았다며 대출과 해약을 무효로 해달라는 취지의 민사 소송을 제기했다.
재판부는 금융기관의 간소화된 본인 인증에 문제가 있다고 바라봤다. 한나라 판사는 “이 사건 대출거래약정 등을 체결하는 과정에서 이용자가 본인인지 확인하는 조치를 다할 의무를 피고들이 제대로 이행했다고 보기 어려워 채무는 존재하지 않는다”고 밝혔다. 또 “비대면 금융거래를 주된 업으로 한다면 고객의 얼굴이 직접 노출되도록 실명확인증표(신분증)를 촬영하도록 하거나, 영상통화를 추가로 요구하는 방식을 택해 본인확인 방법을 보강했어야 하고 기술적으로 현저히 어려운 조치도 아니었다”라고 판시했다. 금융기관들은 통신사기환금법 등에서 규정한 본인확인 조치를 모두 이행했다고 항변했으나, 재판부는 스미싱 범행의 특성상 비대면 인증 방식의 허점이 악용된다는 점에서 더 엄격한 기준을 적용해야 한다고 판단했다. 은행연합회와 금융투자협회의 ‘비대면 실명확인방안’에 따른 필수 검증방법 2가지 이상을 중첩 실시하지 않았다는 점도 지적됐다.
재판부는 운전면허증, 기존 계좌 1원 이체, 모바일OTP, 문자메시지, ARS 인증 등의 본인 확인 절차가 있었으나, 스미싱 조직이 A씨의 신분증 사본까지 입수한 상황에서는 범행을 막기에 불충분했다고 판단했다. 또한 A씨가 스마트폰에 신분증 사진 파일을 보관한 행위에 대해 “사회 통념상 이례적인 행위가 아니다”라며 과실로 인정하지 않았다.