[단독]법원 ”개인정보 유출 '파밍' 사기 은행 책임은 30%”

홈 > 경제 >

[단독]법원 ”개인정보 유출 '파밍' 사기 은행 책임은 30%”

개인정보 유출 사고-파밍 발생의 연관성 인정받지 못해
은행 책임 30%는 긍정적이라는 평가도

(서울=뉴스1) 문창석 기자 | 2015-04-22 23:45 송고 | 2015-04-23 08:57 최종수정

개인정보 유출 사고로 발생한 '파밍 사기'에 대해 은행 측의 책임이 30%라는 법원의 판결이 나왔다.

파밍 사기의 발생에 대해 고객 측의 과실이 은행보다 더 크다는 판단이며 은행의 개인정보 유출 사고와 파밍 사기 발생과의 연관성도 인정받지 못했다. 반면 법원이 파밍 피해와 관련해 피해자의 주장을 조금씩 더 인정해주는 경향을 보이고 있다는 분석도 나온다.

23일 금융권에 따르면 지난 21일 서울중앙지방법원 민사68단독 안복열 판사는 파밍 사기 피해자 우 모씨(원고)가 김주하 NH농협은행장(피고)을 상대로 낸 손해배상 소송과 관련해 피고는 청구액의 30%인 1816만원을 원고 측에 지급하라고 판결했다.

파밍(Pharming)이란 악성코드에 감염된 컴퓨터를 조작해 이용자가 정확한 웹페이지 주소를 입력해도 가짜 웹 페이지에 접속하게 만들어 개인정보를 훔치는 범죄 수법이다.

우 씨는 2013년 8월 위조된 농협은행 사이트에 속아 은행 보안카드 번호를 입력했다가 계좌에서 6066만원이 빠져나가는 피해를 입었다. 우 씨는 지난해 4월 농협은행을 상대로 피해액 중 지급이 정지돼 환급받은 10만원을 제외한 6056만원을 지급하라고 소송을 낸 바 있다.

소송 과정에서 농협은행 측은 보안카드 35개 숫자를 고객이 누출해 피해가 발생했다는 점을 강조했다. 홈페이지 팝업 창을 통해 파밍 수법을 홍보하고 주의를 당부했는데도 우 씨가 계좌 비밀번호와 보안카드 번호를 입력해 피해가 발생하는 등 중대한 과실을 범했다는 것이다.

반면 피해자 우 씨는 과거 농협의 개인정보 유출 사고가 파밍 피해의 원인이라고 주장했다. 지난 2012년 6월과 10월 농협은행에서 발생한 두 차례의 개인정보 유출로 자신의 주민등록번호와 계좌 비밀번호 등의 정보가 중국으로 넘어갔는데, 파밍 사기단은 이를 이용해 농협은행 인터넷뱅킹 홈페이지에 접속했다는 것이다.

특히 원고 측은 농협이 파밍 피해를 막을 수 있는 합당한 시스템을 구축하지 않아 사고가 발생했다고 강조했다. 피해액인 6000여 만원이 단시간 내에 32차례에 걸쳐 180~220만원의 소액으로 대포통장에 분산이체 됐는데, 은행 측은 이런 비정상적인 거래가 발생할 경우 즉시 막을 수 있는 시스템을 갖췄어야 했다는 주장이다.

이에 대해 재판부는 300만원 미만의 금액이 수 차례 이체되는 거래는 사기범에 의한 비정상적인 거래라는 원고 측의 주장을 받아들였다. 은행 측은 이런 수법의 파밍 사고가 발생할 수 있다는 점을 잘 알고 있었을 텐데도 이를 방지하지 못했다는 것이다.

재판부는 판결문에서 비정상적인 이체 거래가 반복되는 경우 은행은 자동으로 일정한 횟수 이후에 이체를 정지시키거나 추가적인 인증 절차를 거치게 하는 등의 방법으로 피해 규모를 줄일 수 있었을 것으로 보인다고 밝혔다.

그러나 재판부는 과거의 개인정보 유출 사고가 이번 파밍 사고의 원인이라는 원고 측의 주장에 대해서는 농협은행 측의 손을 들어줬다. 당시 유출된 주민등록번호와 계좌 비밀번호 등의 정보만으로는 계좌이체가 불가능하다는 것이다.

또한 재판부는 당시 농협은행이 인터넷뱅킹 이용자에게 보안카드 번호 전체입력 금지 등 파밍 예방을 위한 조치를 취했다고 판단했다. 또 이상금융거래 탐지시스템의 구축에는 상당한 기간이 소요되고 사건 당시에는 해당 시스템을 갖춘 은행이 국내에 없었다고 판결문을 통해 밝혔다.

한편 법원이 은행 측의 사고 방지책 마련이 부족했다고 인정했지만, 2012년 6월과 10월 두 차례 발생한 개인정보 유출 사고가 파밍의 직접적인 원인은 아니라고 판단함으로써 이와 관련한 소송은 잠시 주춤할 것으로 보인다.

법원이 우 씨의 손을 들어줄 경우 그동안 개인정보 유출 사고가 발생했던 각 금융사에 대해 개인·집단이 비슷한 소송을 제기할 가능성이 있어, 이번 소송은 금융사기와 관련해 분수령이 될 것으로 예상됐던 바 있다.

반면 파밍 피해와 관련해 법원이 피해자들의 주장을 더 인정해주는 경향을 보이고 있는 등 긍정적으로 해석할 수 있다는 주장도 나온다.

지난 1월 서울중앙지법 민사합의21부(부장판사 전현정)는 이 모씨 등 37명이 신한은행 등 7개 은행을 상대로 낸 파밍 관련 손해배상 청구 소송에서 보안카드 번호 전부를 입력한 행위는 고객의 과실이기에 은행의 책임을 10~20%로 제한한다고 밝힌 바 있다. 이에 비하면 은행의 과실을 30%로 인정한 이번 판결은 진일보 했다는 것이다.

한편 금융권에 따르면 개인정보 유출과 관련해 피해자가 금융사에 소송을 걸어 승소한 사례는 아직 없는 것으로 알려졌다. 지난해 12월 피해자 100명이 KT를 상대로 낸 소송에서 일부 승소한 일이 있지만, 이는 금융사의 사례는 아니다.

원고인 우 씨 측 관계자는 "은행의 책임을 30%만 인정한 건 저희 생각보다 적어 다소 아쉽다"면서도 "항소를 제기할 지 여부는 당사자와 협의해 결정할 것이며 현재로서는 정해진 바가 없다"고 말했다.

themoon@news1.kr