해킹 피해자도…"개인정보 관리 못한 '잘못' 있다" 法 판단

해킹을 당한 사실이 확인됐더라도 경제적 손실을 완전히 복구하려면 난관을 지나야 한다. 해킹 유형 중 가장 빈번한 범죄 가운데 하나인 스미싱의 경우 상황에 따라 손실 회복 여부와 정도가 달라진다. 스미싱은 통상 악성 애플리케이션(앱) 설치를 유도한 다음 피해자 명의로 대출 등 금융거래를 진행해 돈을 빼가는데 이때 금융기관이 본인확인 의무를 소홀하게 했다는 점이 입증되면 손실을 원상 복구할 수 있다.

하지만 금융기관 과실을 입증하는 게 간단할 리 없다. 금융기관들이 본인 확인 의무를 다했다고 주장하거나 법적 규율을 받지 않는 금융거래에 해당하지 않는다고 항변하는 사례들이 부지기수여서다.

문자 한 통에 본인도 모르는 대출…"계약 무효" 왜?

가장 최근에도 이 같은 사례가 확인됐다. 1일 법조계에 따르면 서울중앙지법 손승우 판사는 스미싱 피해자 A씨가 현대캐피탈 상대로 낸 채무부존재 확인 소송에서 원고승소 판결했다. 손 판사는 A씨 명의를 도용해 이뤄진 현대캐피탈 신용대출계약을 존재하지 않는 것으로 봐야 한다고 판시했다.

A씨는 지난해 7월 "어머님이 어제 오후 위독하셔서 돌아가셨습니다. 장례식장으로 와주세요"라는 문자를 받았다. 이 문자를 통해 A씨 휴대폰에는 악성 앱이 설치됐다. 해킹범은 A씨 휴대폰을 원격 조정해 다른 통신사로 번호이동을 진행하고 새 전화번호도 개통했다. 이후 현대캐피탈에 신용대출을 신청, 4000만원을 가로챘다.

이 과정에서 현대캐피탈이 본인확인 의무를 다했는지 여부가 쟁점으로 다뤄졌다. 전자문서법은 전자문서 수신자가 해당 문서를 작성자 의사에 따라 작성된 것으로 볼 만한 정당한 이유가 있을 때 작성자 의사표시로 보고 행위할 수 있다고 규정했다. 현대캐피탈은 이 조항을 근거로 해킹범이 낸 전자문서를 A씨 의사에 따른 문서로 보고 대출을 진행한 것이라고 주장했다.

하지만 현대캐피탈이 A씨 명의로 제출된 운전면허증을 제대로 확인하지 않은 사실이 드러나면서 승패가 갈렸다. 현대캐피탈이 받은 A씨 명의의 운전면허증엔 발급처가 '경기지방경찰청장'으로 나와 있는데 이 면허증 발급일인 지난해 4월엔 경기지방경찰청이 존재하지 않았다. 도로교통공단이 2018년 도입한 운전면허증 홀로그램도 보이지 않았다.

손 판사는 "운전면허증 위조 정도가 상대적으로 조악해 진정한 면허증이 아니라는 것을 알 수 있었다고 보이고, 대출신청 전자문서도 A씨 것이 아님을 미뤄 충분히 알 수 있었다"며 "대출계약 효력이 A씨에게 미친다고 할 수 없다"고 판단했다.

보험사 상대 대출 발생 땐 피해 회복 더 어려워

현대캐피탈 사건에선 본인확인 의무가 주로 다퉈졌지만 스미싱 범죄가 보험사를 상대로 이뤄질 경우 쟁점이 늘어난다. 법정에서 공방을 벌여야 할 주제가 그만큼 많아지는 것이다.

서울중앙지법 제1-3민사부(재판장 최성수)가 지난 1월 판결한 보험사 스미싱 피해 사건이 대표적이다. 이 사건에선 보험사를 통해 진행된 대출이 금융실명법상 금융거래에 해당하는지, 금융거래가 아닐 경우 본인확인 의무가 없는지 여부 등이 쟁점이 됐다.

해킹범은 모바일 청첩장을 보내 피해자 B씨 휴대전화에 악성 앱을 설치했다. 이어 B씨 개인정보와 금융정보를 취득, 보험사 2곳과 주택청약 기관 1곳을 상대로 대출거래약정·보험약관대출·주택청약종합저축 해지 등을 통해 총 1억287만원을 받아냈다. 이 돈 중 일부를 B씨 명의로 된 통장에서 받은 뒤 타인의 계좌로 이체한 것.

보험사는 보험료를 대상으로 한 거래는 금융실명법상 금융거래에 해당하지 않는다고 주장했다. 본인확인 조치를 이행할 의무가 없다는 얘기다. 금융거래로 볼 수 있다 해도 본인확인 의무를 이행했다고 항변했다. 주택청약이 해지됐던 기관은 휴대전화 문자를 통해 인증번호를 보내는 방식으로 통신사기피해환급법상 본인확인 조치를 취했다면서 저축 해지가 유효하다고 맞섰다.

이 사건의 경우 1심에서 B씨 손을 들어줬다. 보험사들과의 대출거래약정·보험약관대출 모두 존재하지 않는 것으로 봤고 주택청약 저축 기관엔 B씨에게 일정 금액을 지급해야 한다고 판단했다.

1심은 이들 기관이 본인확인 조치를 제대로 이행하지 않았다고 봤다. 휴대전화 문자인증 방식만으로는 이미 스미싱 피해를 당한 상황에서 전혀 의미가 없다는 지적이다.

법원 "피해자도 관리 못한 잘못"…피해 회복 '발목'

하지만 항소심에서 한 보험사에 한정해 판단이 갈렸다. 이 보험사는 항소심에서 B씨가 자신의 개인정보와 금융정보를 제대로 관리하지 못한 책임이 있다고 주장했다.

2심은 이 주장을 받아들여 대출금액 중 50%만 보험사가 책임지도록 했다. 피해자가 개인정보를 잘 관리했는지 여부로 판단이 일부 달라진 것이다.

2심 재판부는 보험사가 본인확인 절차를 제대로 이행하지 않았다면서도 "B씨는 범행을 당할 당시 이 같은 범행이 만연하고 있다는 점에 대해 충분히 인식할 수 있었던 것으로 보이고 보험사는 B씨가 2009년부터 썼던 거래계좌로 대출금을 송금했다"며 "B씨도 개인정보를 제대로 관리하지 못한 과실이 인정된다"고 지적했다.

최근 판결을 종합하면 스미싱 등 해킹 피해로 자신의 의사와 무관하게 발생한 대출도 입증 여부와 피해자 과실 정도에 따라 결론이 달라질 수 있단 얘기다.

한 화이트해커는 "최근 스미싱이 더욱 교묘해지면서 통상 기준으로도 구분이 어려운 상황이 됐다"며 "문자나 여러 경로로 나타나는 링크가 조금이라도 수상하거나 미심쩍다면 누르지 않는 게 최선"이라고 조언했다.

김대영 한경닷컴 기자 kdy@hankyung.com