모바일 청첩장 링크를 눌렀다가 스미싱 범죄에 노출돼 자신도 모르게 금융사, 보험회사 등으로부터 1억 원이 대출된 피해자에 대해 법원이 ‘갚을 돈이 존재하지 않는다’는 판결을 내렸다. 대출을 승인한 회사들의 보안절차가 충분치 않았다는 점을 문제 삼았다.
8일 법조계에 따르면 최근 서울중앙지법 민사83단독(재판장 한나라 판사)는 피해자 A씨가 B인터넷은행, C보험회사, D은행을 상대로 제기한 채무 부존재 확인 소송에서 “A씨의 청구는 모두 이유 있어 인용하기로 한다”며 원고 승소 판결했다.
A씨는 2023년 3월 자신의 휴대전화에 도착한 모바일 청첩장 URL을 눌렀는데, 이는 스미싱 문자였고 이후 A씨 휴대전화에는 원격제어를 가능케 하는 악성 앱이 설치됐다.
스미싱 범죄집단은 악성 앱을 통해 A씨 개인정보와 금융정보를 알아냈고 이를 이용해 명의의 휴대전화를 새롭게 개통하고 신규 계좌도 개설했다.
이들은 새 휴대전화로 B인터넷은행 앱을 내려받아 8150만 원의 대출을 받았고, A씨가 2010년부터 납입한 D은행의 주택청약통장도 해지해 1179만 원을 차지했다.
뿐만 아니라 A씨가 2009년부터 들어 둔 C보험회사의 종신보험계약에 대해서도 958만 원의 보험계약대출을 실행해 피해 금액만 1억 원이 넘게 됐다.
A씨는 며칠 뒤 이 같은 피해 사실을 알게 돼 경찰에 신고했고, 범행 인출책 역할을 한 범죄자가 검거돼 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 위반 등 혐의로 기소돼 징역 4년을 선고받았다.
A씨는 이후 B인터넷은행, C보험회사, D은행을 상대로 이번 채무부존재확인 소송도 제기했다. 이 회사들이 본인 확인 조치와 피해 방지에 최선의 노력을 다하지 않았다는 게 주장의 골자다.
반면 금융사와 보험회사는 휴대전화를 통해 문자, ARS 본인인증을 거쳤고 운전면허증 정보를 업로드하는 등의 보안 절차를 거쳤기 때문에 스미싱 피해 방지를 위한 노력을 기울였다며 맞섰다. 또 개인정보를 안전히 관리하지 못한 A씨 과실도 참작돼야 한다고 주장했다.
상황을 살펴본 재판부는 A씨 주장에 힘을 실어줬다.
재판부는 스미싱 범죄에 노출되는 경우 URL을 통해 휴대전화에 악성 앱이 설치되고 이후부터는 범죄 집단이 해당 휴대전화를 원격제어할 수 있다는 사실이 널리 알려져 있다면서, 이 같은 상황에서 문자나 ARS 정도로 본인인증 절차를 마치는 것은 효용이 없다고 봤다.
재판부는 “A씨처럼 자신의 신분증 사본을 여러 필요에 의해 휴대전화에 이미지 파일 형태로 보관하는 것은 사회 통념상 이례적인 행위가 아니고, (이 같은 개인정보를 탈취해) 불법적인 목적으로 타인의 명의를 도용하려는 자들에게 단지 ‘원본을 촬영하라’는 주의 문구는 사실상 무의미하다”는 점을 지적했다.
그러면서 “금융결제원은 2024년 1월 4일부터 금융회사가 비대면으로 실명을 확인할 때 실제 고객과 신분증 제출인이 동일인지를 즉시 확인할 수 있도록 안면인식시스템을 구축해 금융회사에 제공했고, 신분증의 진위뿐만이 아니라 신분증 도용 여부까지 확인하도록 했다”는 점도 강조했다.
또 “비대면 금융거래를 주된 업으로 하는 경우 고객 얼굴이 직접 노출되도록 (신분증 등을) 촬영하게 하거나 영상통화를 추가로 요구하는 등 본인확인 조치 방법을 보강했어야 하고 이는 기술적으로 현저히 어려운 조치도 아니다”라면서 이들 회사의 귀책을 판결문에 명시했다.