[정보보호법바로알기 36] 피싱·파밍·스미싱 피해구제 방법

각종 전자금융사기 피해 시 사용자들의 피해구제 방법 바로 알기

“전자금융거래법 개정안 통과...국민 불안 많이 해소될 것”

[보안뉴스=법률사무소 민후 김경환 대표변호사] 인터넷을 활용하는 사람이라면 누구나 한 번씩 겪어 보았을 전자금융사기. 메신저 피싱으로 대표되는 금융사기는 보이스피싱을 거쳐 파밍, 스미싱으로 거듭 발전하고 있다. 피해액도 눈덩이처럼 불어나고 있다.

피싱으로 인한 피해는 2006년도부터 금년 1/4분기까지 41,044건에 4,296억원의 피해액이 통계로 잡혔으며, 비교적 최근에 등장한 파밍의 경우도 작년 11월부터 금년 2월까지의 4개월 사이에 323건의 파밍 피해가 발생했고 벌써 그 피해액은 약 21억원에 달하고 있다.

스미싱의 경우 작년 1월부터 1년 동안 접수된 스미싱 피해 건수는 모두 2,500여건에 달하며, 올해 1월에는 8,197건, 3월에는 1,095건 정도 발생했다고 알려졌다. 피싱 사이트의 개수도 2011년 1,849개, 2012년 6,944개였고, 금년 2월에도 벌써 1,829개에 이르고 있다.

그렇다면 실제 피싱, 파밍, 스미싱 피해가 발생한 경우 어떻게 피해금을 배상받을 수 있을까. 물론 전자금융사기의 범인이 밝혀진 경우에는 그 범인을 상대로 배상을 받을 수 있지만 현실적으로 이러한 예가 많지 않으므로, 범인이 밝혀지지 않은 상태에서도 사용할 수 있는 피해배상 방법에 대하여 알아보기로 한다.

먼저, 보이스피싱의 경우 2개의 법에 의하여 구제가 가능하다. 보이스피싱을 당하고 피해자의 돈이 피해자의 계좌 또는 대포통장 계좌에서 인출되기 전에는 전기통신금융사기 피해금 환급에 관한 특별법에 의하여 구제가 가능하고, 보이스피싱을 당한 후 피해자의 돈이 피해자의 계좌 및 대포통장 계좌에서 이미 인출된 경우에는 전자금융거래법에 의하여 구제가 가능하다.

보이스피싱을 당한 이후라도 범인이 돈을 인출하기 전에는 전기통신금융사기 피해금 환급에 관한 특별법에 의거, 즉시 은행에 지급정지 요청을 해야 한다. 지급정지 요청을 하는 경우에는 적어도 3일 이내에는 피해구제신청서, 피해자의 신분증 사본, 수사기관의 피해신고확인서를 제출해야 한다.

보이스피싱 이후 범인이 돈을 인출해 버린 이후에는, 금융기관에 ‘채무부존재확인의 소’ 등의 소송을 제기함으로써 배상을 받을 수 있다. 그 근거는 ‘전자금융거래법 제9조’이다.

전자금융거래법 제9조에 의하면, 원칙적으로 보이스피싱에 관하여 금융기관이 법적 책임을 부담하도록 하고 있다. 예외적으로 피해자(이용자)의 고의·중과실이 있는 경우, 예컨대 이용자가 공인인증서, 신용카드, 보안카드 등의 접근매체를 제3자에게 대여하거나 그 사용을 위임한 경우 또는 양도나 담보의 목적으로 제공한 경우, 제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치한 경우에는 법적 책임을 면하도록 규정되어 있다.

따라서 피해자는 자신이 접근매체를 제3자에게 대여·양도하지 않았거나, 자신이 접근매체 관리를 제대로 하였다는 점을 입증하면, 실제로 피해배상을 받을 수 있게 된다.

파밍의 경우에는 보이스피싱과 달리 적절한 피해배상 방안이 존재하지 않았었다. 하지만 금년 4월 30일, 국회 본회의 제315회 제5차 회의에서 전자금융거래법 개정안이 재석 231명 중 229명의 찬성, 2명의 기권으로 가결됨으로써, 조만간 피해배상이 가능할 것으로 보인다(개정법은 공포 후 6개월이 경과한 날부터 시행한다).

개정 전자금융거래법에 따르면, 전자금융거래를 위한 전자적 장치에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고에 대하여는 원칙적으로 금융기관이 법적 책임을 부담하고, 예외적으로 피해자(이용자)의 고의·중과실이 있는 경우에는 금융기관이 법적 책임을 부담하지 않도록 되어 있다.

따라서 이 법의 해석에 따라서, 악성 프로그램에 의한 파밍 사고의 경우에 피해자(이용자)의 고의·중과실이 없으면 금융기관이 피해배상을 하도록 되어 있어, 그 구조가 보이스피싱과 동일하다. 다만 고의·중과실이 구체적으로 무엇인지는 개정법에 따른 시행령 제정을 기다려 봐야 할 것으로 보인다.

파밍과 같이 악성프로그램에 의하여 발생하는 스미싱의 경우에는 이미 피해 배상 사례가 있다. 금년 3월 18일 한국소비자원 소비자분쟁조정위원회는 스미싱 소액결제 사기 사건에서, ‘정보통신망법 제60조’에 근거하여 통신회사의 책임을 인정했고, 마찬가지로 위 위원회는 전자금융거래법 제9조에 근거하여 결제대행업체(PG)의 책임을 인정했으며, 게임회사(CP)는 공동불법행위자로 파악하여 결국 각 1/3씩 배상을 명한 바 있다.

즉, 통신회사는 정보통신망법상의 통신과금서비스제공자로서 통신과금서비스를 제공함에 있어서 통신과금서비스이용자에게 손해가 발생한 경우에 원칙적으로 그 손해를 배상해야 하며, 예외적으로 그 손해의 발생이 이용자의 고의 또는 중과실로 인한 경우에는 이용자가 피해를 부담하여야 하는데(정보통신망법 제60조), 한국소비자원 소비자분쟁조정위원회는 스미싱 소액결제 사기 사건에서 이 규정을 근거로 통신회사의 책임을 인정했다.

결제대행업체(PG)에 대하여는 앞서 보이스피싱에서 살펴본 전자금융거래법 제9조에 의하여 책임을 인정했으며, 게임회사와 같은 콘텐츠제공자(CP) 역시 공동불법행위자로서 책임을 인정했다.

위 한국소비자원 소비자분쟁조정위원회의 결정에 따라 대부분의 통신회사는 배상을 해주고 있다. 소액결제로 인하여 피해를 본 이용자는 일단 경찰에 가서 ‘사건사고 사실확인원’을 발급받은 다음에 통신사의 대리점, 지점, 고객센터 또는 게임사, 결제대행사 등 관련 사업자에게 이를 제출하면 된다.

최근의 전자금융사기는 대부분 해킹에 의하여 이루어지는 관계로 이용자가 주의를 다한다고 해도 막지 못하는 경우가 많았다. 이번 개정법 통과로 국민들의 불안은 많이 해소될 것으로 예상한다.

[글_법률사무소 민후 김 경 환 대표변호사(hi@minwho.kr)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)