logobeta
텍스트 조절
arrow
arrow
서울중앙지방법원 2015.4.21.선고 2014가단5097656 판결
손해배상(기)
사건

2014가단5097656 손해배상 ( 기 )

원고

소송대리인 변호사 박병우

피고B

소송대리인 법무법인 하나로

담당변호사 구정훈, 정종영

변론종결

2015. 3. 17 .

판결선고

2015. 4. 21 .

주문

1. 피고는 원고에게 18, 169, 029원과 이에 대하여 2014. 4. 26. 부터 2015. 4. 21. 까지는 연 5 %, 그 다음날부터 다 갚는 날까지는 연 20 % 의 각 비율로 계산한 돈을 지급하라 .

2. 원고의 나머지 청구를 기각한다 .

3. 소송비용 중 3 / 10은 원고가, 나머지는 피고가 각 부담한다 .

4. 제1항은 가집행할 수 있다 .

청구취지

피고는 원고에게 60, 563, 431원과 이에 대하여 이 사건 소장부본 송달일 다음날부터 다

갚는 날까지 연 20 % 의 비율로 계산한 돈을 지급하라 .

이유

1. 기초사실

가. 원고는 2008. 6. 20. 피고와 사이에 대출한도를 4, 500만 원으로 정하여 종합통장 대출계약 ( 계좌번호 * * * - * * - * * * * * *, 이하 ' 이 사건 계좌 ' 라고 한다 ) 을 체결하고 인터넷뱅 킹을 이용한 금융거래를 하여 왔다 .

나. 성명불상자는 원고가 사용하는 컴퓨터에 포털사이트에서 검색된 사이트 주소를 클릭하여 피고의 인터넷뱅킹 홈페이지에 접속하려고 할 경우 자신이 관리하는 피고의 홈페이지를 가장한 허위 사이트로 접속하게 하는 악성코드를 감염시켰다 .

다. 원고는 이러한 사실을 알지 못한 채 2013. 8. 28. 포털사이트에서 검색된 위 허위 인터넷뱅킹 사이트에 접속하였고, 위 허위 사이트에서 " 개인정보 유출 금융정보 및 보안강화 및 전화금융사기예방서비스 " 등의 문구가 기재된 팝업창이 나타나자, 통상적인 보안강화절차로 판단하고 위 팝업창 해당란에 원고의 이름, 주민등록번호, 사용자 아이디, 비밀번호, 이 사건 계좌번호, 계좌비밀번호, 이체비밀번호를, 후속 팝업창에 보안카드번호 35개 등을 각 입력하였다 .

라. 성명불상자는 원고가 입력한 금융거래정보를 이용하여 2013. 8. 28. 21 : 00경 원고의 공인인증서를 재발급받은 다음 같은 날 21 : 04경부터 그 다음날 01 : 23까지 이 사건 계좌에서 합계 60, 668, 091원 ( 마이너스 대출금 4, 500만 원 및 예금 15, 668, 091원 ) 을 김수영 등 6명의 계좌로 이체하여 인출하였다 ( 이하 ' 이 사건 금융사고 ' 라고 한다 ) .

라. 원고는 2013. 9. 26. 이 사건 계좌에 4, 500만 원을 입금함으로써 위 대출금을 변제하였고, 위 피해액 중 지급이 정지된 104, 660원을 환급받았다 .

[ 인정근거 ] 다툼 없는 사실, 갑 1 내지 5호증, 을 40호증, 변론 전체의 취지

2. 판단

가. 전자금융거래법 제9조 제1항에 기한 손해배상청구에 대하여 ( 1 ) 손해배상책임의 발생

위 인정사실에 의하면, 이 사건 금융사고는 성명불상자가 원고의 공인인증서를 위조하거나 원고의 컴퓨터에 침입하여 부정한 방법으로 획득한 원고의 계좌번호 등의 접근매체를 이용함으로써 발생하였으므로, 피고는 특별한 사정이 없는 한 원고에게 전자금융거래법 제9조 제1항에 따라 원고의 피해액 60, 668, 091원에서 위 환급액 104, 660원을 공제한 60, 563, 431원의 손해를 배상할 책임이 있다 . ( 2 ) 원고가 부담하는 책임의 범위 ( 가 ) 피고의 주장 요지

이 사건 금융사고는 원고의 중대한 과실로 인하여 발생한 것이므로, 전자금융거래법 제9조 제2항, 전자금융거래기본약관에 의하여 이용자인 원고가 책임의 전부를 부담하여야 한다 .

( 나 ) 중대한 과실의 존재

전자금융거래법 제9조, 전자금융거래법 시행령 제8조 등에서 정하는 ' 고의 또는 중대한 과실 ' 이 있는지 여부는 접근매체의 위조 등 금융사고가 일어난 구체적인 경위, 그 위조 등 수법의 내용 및 그 수법에 대한 일반인의 인식 정도, 금융거래 이용자의 직업 및 금융거래 이용경력 기타 제반 사정을 고려하여 판단할 것인데 ( 대법원 2014. 1. 29. 선고 2013다86489 판결 참조 ), 을 6 내지 10, 14 내지 20, 26 내지 39호증에 변론 전체의 취지를 종합하여 인정되는 다음의 사정, 즉 ① 이 사건 금융사고가 발생하기 수년 전부터 금융기관을 사칭한 가짜 홈페이지로 접속을 유도한 후 인터넷뱅킹 이용자가 팝업창에 입력한 금융거래정보를 이용하여 예금 등을 인출하는 소위 ' 파밍 ' 에 의한 피해가 빈번하게 발생하였고, 그 피해사례나 범행수법에 관한 언론보도 등을 통하여 파밍에 대한 사회적인 관심이 높아진 상태였던 점, ② 피고도 인터넷뱅킹 이용자들의 파밍 피해를 방지하기 위하여 홈페이지에 띄우는 팝업창이나 이메일 또는 문자메시지 전송 등을 통하여 이용자들에게 파밍 수법의 내용, 보안카드번호 전부 입력 금지 등을 홍보한 점, ③ 원고는 이 사건 금융사고 당시 만 37세의 회사원으로 2005. 2월부터 약 7년 이상 인터넷뱅킹서비스를 이용하여 왔는데, 그 과정에서 위 팝업창을 보거나 이메일 또는 문자메시지를 수신하였을 것으로 보이는 점, ④ 그럼에도 원고는 피고의 홈페이지를 가장한 사이트에 접속되자, 로그인조차 하지 않은 상태에서 전자금융거래나 공인인증서 재발급에 필요한 접근매체인 계좌번호, 계좌비밀번호, 이체 비밀번호 등을 노출한 것으로 보이는 점 등에 비추어 보면, 원고의 위와 같은 금융거래정보 노출행위는 전자금융거래법 제9조 제2항 제1호, 제3항, 같은 법 시행령 제8조 제2호, 피고의 전자금융거래 기본약관 제20조에서 정한 금융사고의 발생에 이용자의 중대한 과실이 있는 경우에 해당한다 .

( 다 ) 원고의 책임 범위

다만 갑 4, 5호증에 변론 전체의 취지를 종합하여 인정되는 다음의 사정을 종합하여 보면, 이 사건 금융사고로 인한 손해 중 70 % 를 원고가 부담함이 상당하 ① 2012. 6. 26. 부터 300만 원 이상의 돈이 계좌이체되는 경우 자동화기기 ( CD, ATM 등 ) 를 이용한 인출이 10분 동안 지연되는 ' 지연인출제도 ' 가 시행되었는데, 이는 금융감독원 등 관계기관의 보이스피싱 피해사례 분석을 통하여 평균 이체횟수가 2. 1회이고, 300만 원 이상의 돈이 이체된 비율이 전체 이체건수의 84 % 이며, 피해금액의 50 % 가 이체된 때로부터 5분 이내에, 75 % 가 10분 이내에 인출된 것으로 확인되자, 피해자의 신고 또는 은행의 자체 모니터링을 통한 의심계좌 적발 등을 위하여 시행된 제도이다 .

② 한편 지연인출제도의 시행 이전부터 여러 언론매체에서 보이스피싱 사기범들이 300만 원 미만의 금액을 여러 차례 또는 복수의 계좌로 분산 이체함으로써 지연인출제도를 회피할 수도 있음을 보도하였고, 이에 대하여 관계기관에서는 은행 내부적으로 300만 원 미만의 분산 이체에 대하여 모니터링을 하고 있어 별다른 문제가 되지 않는다는 입장을 표명하였다 .

③ 지연인출제도가 시행된 이후로는 대부분의 보이스피싱, 파밍 등의 금융사고가 300만 원 미만의 금액이 피해자들의 계좌에서 복수의 상대계좌로 여러 차례 분산이체 되는 형태로 발생하고 있다 .

④ 이 사건 금융사고도 이 사건 계좌의 1회 이체한도가 1, 000만 원임에도 김수영의 계좌로 2013. 8. 28. 21 : 04경부터 같은 날 21 : 17경까지 6회에 걸쳐 1, 200만 원 ( 1회당160만 원 내지 240만 원 ) 이, 강대봉의 계좌로 21 : 19경부터 21 : 32경까지 6회에 걸쳐 1, 200만 원 ( 1회당 180만 원 내지 220만 원 ) 이 각 이체되는 등 합계 60, 668, 091원이 단시간 내에 1회 인출한도의 약 1 / 5에 불과하여 지연인출제도가 적용되지 않는 금 액으로만 상대계좌 1개당 5회 내지 6회씩 총 32회에 걸쳐 분산이체되는 형태로 발생하였다 .

⑤ 위와 같은 언론보도, 지연인출제도가 시행된 이후로 이 사건 금융사고 발생 이전까지 약 1년 2개월 동안 분산 이체를 이용한 보이스피싱, 파밍 등의 범행이 지속적으로 발생하였던 점 등에 비추어 금융기관인 피고는 지연인출제도 회피를 위한 분산이체 등의 수법에 대하여 잘 알고 있었을 것으로 보인다 .

⑥ 일반적인 계좌이체 등 금융거래 형태, 지연인출제도 시행 이후로 지속적으로 발생하고 있는 분산 이체를 이용한 보이스피싱 등 범행수법에 비추어 단시간 내에 동일인에게 1회 이체한도에 비하여 현저히 적은 금액, 즉 지연인출제도가 적용되지 않는 300만 원 미만의 금액이 수차례 계좌이체 되는 등의 거래는 지연인출제도를 회피하기 위한 비정상적인 거래임이 분명하다 .

⑦ 이 사건 금융사고와 같은 파밍 피해의 발생 자체를 방지할 수는 없다고 하더라도 적어도 위와 같은 비정상적인 이체거래가 반복되는 경우 자동으로 일정한 횟수 이후의 이체거래를 정지시키거나 추가적인 인증절차를 거치게 하는 등의 방법으로 피해 규모를 줄일 수는 있었을 것으로 보인다 ( 이러한 경우 아래에서 살피는 이상금융 거래 탐지시스템과 달리 인터넷뱅킹 이용자의 접속정보, 거래내용 등에 관한 데이터베이스 축적 등이 필요한 것으로는 보이지 않는다 ) . ( 3 ) 소결론

따라서 피고는 원고에게 손해배상금으로 피해금액 60, 563, 431원의 30 % 인18, 169, 029원과 이에 대하여 원고가 구하는 바에 따라 이 사건 소장부본 송달일 다음 날인 2014. 4. 26. 부터 피고가 이행의무의 범위에 대하여 항쟁함이 상당한 이 판결 선고일인 2015. 4. 21. 까지는 민법에 정한 연 5 %, 그 다음날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법에 정한 연 20 % 의 각 비율로 계산한 지연손해금을 지급할 의무가 있다 .

나. 계약 위반으로 인한 손해배상청구에 대하여 ( 1 ) 원고 주장의 요지

피고는 원고의 금융정보를 유출하였을 뿐만 아니라 이 사건 금융사고와 같은 이상금융거래를 탐지하기 위한 시스템을 구비하지 않았고, 원고가 스마트폰 뱅킹을 이용한 적이 없음에도 성명불상자에게 스마트폰 뱅킹이 허용되었으며, 이 사건 금융사고 당시 성명불상자가 사용한 IP 주소는 그 이전부터 블랙리스트로 지정되어 있었을 뿐만 아니라 그 접속지가 중국임에도 인터넷뱅킹 접속이 차단되지 않았고, 보안카드에 보안카드 번호의 전체입력을 금지하는 경고문구도 기재되어 있지 않았다 .

따라서 이 사건 금융사고는 원고와의 금융거래계약에 기한 선량한 관리자로서의 주의의무 및 합리적 주의의무를 위반한 피고의 과실로 발생하였으므로, 피고는 이 사건 금융사고로 인한 원고의 손해를 배상할 책임이 있다 . ( 2 ) 판단

살피건대, 피고가 2012. 6월 및 같은 해 10월경 각 원고의 성명, 주민등록번호, 이메일 주소, 신용카드번호, 결제정보 등을 유출한 사실, 성명불상자가 중국에서 스마트폰을 이용하여 피고의 인터넷뱅킹 홈페이지에 접속한 후 원고의 예금 등을 제3자의 계좌로 이체한 사실은 당사자 사이에 다툼이 없고, 이 사건 금융사고가 지연인출제도를 회피하기 위한 비정상적인 이체거래로 발생하였음은 앞서 본 바와 같다 .

그러나 앞서 든 각 증거에 변론 전체의 취지를 종합하여 인정되는 다음의 사정, 즉 ① 이 사건 금융사고는 피고의 최종 정보유출일로부터 약 10개월 이상 경과한 2013. 8. 28. 경 발생하였고, 위 금융사고 당시 원고가 노출한 정보에는 피고가 유출한 정보도 포함되어 있는 점 등에 비추어 위 금융사고 당시 피고가 유출한 원고의 정보가 사용되었다고 보기 어렵고 피고가 유출한 정보만으로는 예금 등의 계좌이체가 불가능한 점, ② 스마트폰의 급속한 보급에 따라 기존에 컴퓨터를 이용하던 인터넷뱅킹 이용자들이 스마트폰 뱅킹을 이용하는 사례가 급증하였을 것으로 보이므로, 원고가 이 사건 금융사고 이전에 스마트폰 뱅킹을 이용한 적이 없다는 이유만으로 스마트폰을 이용한 인터넷뱅킹 접속이 차단되어야 한다고 보기는 점, ③ 피고가 인터넷뱅킹 이용자의 해외 출국 여부를 일일이 확인하여 미출국자 계정을 이용한 해외 인터넷뱅킹 접속을 차단하거나 특정 국가를 접속지로 하는 금융사기범죄가 빈발한다고 하여 해당 국가의 IP를 이용한 인터넷뱅킹접속 자체를 차단하는 것은 법률상 · 사실상 불가능할 것으로 보이는 점, ④ 피고는 인터넷뱅킹 이용자에 대한 이메일이나 문자메시지 전송, 홈페이지 화면상의 팝업창 등을 통하여 보안카드 번호의 전체입력 금지 등 파밍 피해 예방을 위한 조치를 취하였고, 이용자의 신청이 있는 경우 이용자가 사전에 지정한 PC에서만 전자금융거래가 가능하도록 제한하는 PC 사전지정서비스를 제공하고 있는 점, ⑤ 성명불상자가 이용한 IP 주소가 이 사건 금융사고 이전부터 블랙리스트로 지정되어 있었음을 인정할 만한 자료가 없는 점, ⑥ 금융위원회는 2013. 7월경부터 피고를 비롯한 은 행들에 이상금융거래 탐지시스템 도입을 권고하였는데, 위 시스템 구축에는 이용자별 거래정보의 수집, 분석, 평가 후 데이터베이스로 변환 등을 위하여 상당한 기간이 소요 되고, 이 사건 금융사고 당시 국내에는 이상금융거래 탐지시스템을 갖춘 은행이 없었던 점 등에 비추어 보면, 원고가 주장하는 사정만으로는 피고에게 선량한 관리자로서의 주의의무 등을 위반한 과실이 있다고 보기 어려우므로, 원고의 위 주장은 이유 없다 .

3. 결론

그렇다면, 원고의 청구는 위 인정범위 내에서 이유 있어 인용하고, 나머지 청구는 이유 없어 기각하기로 하여 주문과 같이 판결한다 .

판사

판사 안복열

arrow