보이스피싱 피해 관련 분쟁의 해결기준[메신저피싱 사례를 통해서 알아보는 분쟁해결기준]

[김영미]

(해결기준) 보이스피싱 분쟁의 해결 기준.hwp

154.50KB

금융감독원 분쟁사례자료

민원정보공유 확대 관련
◈ 보이스피싱 피해 관련 분쟁의 해결기준
- 메신저피싱 사례를 통해서 알아보는 분쟁해결기준 -

분쟁 개요
▹(금융소비자 주장) 지인을 사칭한 피싱 사기범에게 카카오톡으로 개인정보를 노출하였는데, 이후 사기범에 의하여 제 명의의 계좌가 비대면으로 개설된 뒤, 대출 및 예금인출이 발생하였습니다. 콜센터에 피해 신고를 하였음에도 피해금이 인출되었습니다. 금융회사가 보이스피싱 대응을 소홀히 한 책임이 있으므로 배상을 요구합니다. ▹(금융회사 주장) 금융회사는 보이스피싱 관련 법규를 준수하였으므로, 배상 요구를 수용할 수 없습니다.

보이스피싱이란

｢전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법｣상 보이스피싱, 즉 ‘전기통신금융사기’란 전기통신을 이용하여 타인을 기망·공갈함으로써 재산상의 이익을 취하거나 제3자에게 재산상의 이익을 취하게 하기 위해 ①자금을 송금·이체하도록 하는 행위 또는 ②개인정보를 알아내어 자금을 송금·이체하는 행위이다.

보이스피싱의 수법은 여러 가지가 있다. 고전적인 수법으로 ①계좌를 통하여 자금을 이체받는 '계좌이체형', ②직접 현금을 건네받는 '대면편취형', ③실제 금융기관의 사이트와 유사한 가짜 사이트를 만들어 일으키는 '파밍', ④메신저로 피해자에게 접근한 뒤 개인정보를 빼내 명의도용 금융거래를 일으키는 '메신저피싱' 등이 있다. 최근 금융감독원에는 ④메신저피싱과 관련한 금융분쟁 민원이 주로 접수된다.

메신저피싱은 주로 자녀를 사칭한 피싱 사기범이 피해자에게 문자메시지로 ①신분증 ②결제정보(신용카드, 계좌 비밀번호 등) ③원격조종 앱 등 출처가 불분명한 앱을 설치해 달라고 요구한 뒤 여기에 응해 정보가 유출되면 이를 이용하여 피해자 명의의 예금을 인출하거나 대출을 일으켜 자금을 편취하는 사기수법이다

금융감독원이 ’22.4.20. 발표한 󰡔21년 보이스피싱 피해 현황 분석󰡕에 따르면 메신저피싱 피해액은 ’21년 중 991억원으로 전년대비 165.7%(+618억원) 증가하여 ‘21년 전체 보이스피싱 피해액 1,682억원 중 가장 큰 58.9%의 비중을 기록했다.

2. 보이스피싱 관련 법규 및 가이드라인

1) 비대면 실명확인 관련 법규 및 가이드라인

① 비대면 계좌개설 및 공동인증서 발급과 관련한 본인확인 절차

비대면 계좌개설과 관련하여, ｢금융실명거래 및 비밀보장에 관한 법률｣(이하 ’금융실명법‘)은 제3조에서 금융회사 등이 거래자의 실지명의로 금융거래를 할 의무를 부과하고 있으며, 구체적인 실명거래의 확인 방법 및 절차는 하위법규에 위임하고 있다.

공동인증서 발급과 관련하여, ｢전자서명법｣은 제14조에서 전자서명인증사업자는 전자서명인증서비스에 가입하려는 자의 신원을 ｢금융실명법｣에 따른 방법을 준용하여 확인할 의무를 부과하고 있다.

현행 금융위원회 유권해석(2015.5.18.) 및 󰡔비대면 실명확인 관련 구체적 적용방안(은행연합회 및 금융투자협회(2017.7.))󰡕의 내용은 다음과 같다.

󰡔비대면 실명확인 관련 구체적 적용방안』 (은행연합회 / 금융투자협회 공동)


Ⅱ. 비대면 실명확인 방식


①실명확인증표 사본 제출 : 고객이 실명확인증표(원본)를 사진촬영 또는 스캔 후 컴퓨터 또는 모바일 기기를 통해 이메일, 파일 업로드 등의 방식으로 제출


②영상통화 : 금융회사 또는 금융회사 직원이 영상통화 등을 통해 실명확인증표상 사진과 고객의 얼굴을 대조


* 고객이 위협이나 강박상태에 있는 등 의심할 만한 정황이 있는 경우 다른 비대면 방식을 통한추가 확인이나 대면확인 요구 가능


③접근매체 전달과정에서 확인 : 본인만 수취할 수 있는 우편 등을 통해 고객에게 현금카드, 통장, OTP, 보안카드 등 접근매체 전달과정에서 실명확인증표 확인


④기존계좌 활용 : 타 금융회사에 이미 개설되어있는 고객의 기존계좌로부터 금융회사가 소액이체를 받는 등의 방식*을 통해 고객이 동 계좌에 대해 사용권한이 있는지 확인


* 예 : ❶고객이 금융회사가 지정한 금액을 이체, ❷금융회사가 기존 계좌에 소액이체 후 고객이 해당 자금을 금융회사에 재이체, ❸고객의 기존 계좌에 대해금융회사가 소액이체 등의 방식을 통해 1회용 인증번호등을 전송하고 고객이해당 인증번호를입력하는 방법 등


⑤기타 이에 준하는 방법* : 금융회사에 생체정보**(이하 “바이오정보”라 한다)를 등록한 고객은 사전에 대면‧비대면 등으로 등록한 바이오정보와 비교를 통해 확인


* 바이오정보 외에 새로운 방식의 실명확인 방안에 대한 금융위원회의 승인은 불필요하고, 금융회사가 자체적으로 판단하여 적용 가능


** 지문, 정맥, 얼굴(안면), 홍채, 음성, 서명, 키스트로크, 보행 등 개인의 신체적또는 행동적 특징을디지털화한 정보


⑥타 기관 확인결과 활용 : 공인인증서, 아이핀(I-PIN), 휴대폰과 같이 인증기관 등에서 신분확인 후 발급한 파일, 아이디․비밀번호, 전화번호 활용


⑦다수의 고객정보 검증 : 고객이 제공하는 정보(예 : 전화번호, 주소, 이메일, 직장정보 등)와 신용정보회사 등이 보유한 정보를 대조


Ⅲ. 금융실명법상 비대면 실명확인 의무


□ 비대면 실명확인시 개별 비대면 방식의 단점을 보완할 수 있도록 위 ① ~ ⑤ 방식중 2가지 이상을 중첩하여 적용 (의무사항)


* 예시 : ①실명확인증표 사본 제출 + ➃기존계좌 활용


◦ 이와 함께 금융회사 자체적으로 추가 확인방식을 적용함으로써 가급적 다중의 검증과정을 거친 후 계좌개설 (권고사항)

② 대출 및 예금해지와 관련한 본인확인 절차

｢전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법｣은 전기통신금융사기 피해 방지를 위하여 이용자가 대출을 신청하거나 예금 등 금융상품을 해지하는 경우 금융회사에 본인확인의무를 부과하고 있다.

같은법 시행령에서는 본인확인을 위한 구체적인 방법으로 금융회사에 등록된 전화, 대면 또는 앞서 기재한 ｢금융실명법｣에 따른 실지명의 확인 방법을 따라 본인확인 조치를 할 것을 규정하고 있다.

2) 지급정지 관련 법규

｢통신사기피해환급법｣은 피해자가 피해구제 신청을 하는 경우 피해구제의 신청을 받은 금융회사는 자사 계좌에 대하여 ’지급정지 조치를 취할 의무‘를 규정하고 있고, 다른 금융회사 계좌에 대하여는 ’지급정지를 요청할 의무‘를 각 규정하고 있다. 이 경우 금융회사는 거래내역 등의 확인을 통하여 전기통신금융사기의 사기이용계좌로 의심할 만한 사정이 있다고 인정되면 즉시 해당 사기이용계좌의 전부에 대하여 지급정지 조치를 하여야 한다.

3. 분쟁의 배경

1) 비대면 금융거래에서 ’본인확인‘

금융회사에 이용자 본인확인 의무가 있으나, 비대면 금융거래의 경우 거래유형 및 관련 법규에 따라 본인확인에 필요한 정보가 정확히 입력되면 금융회사로서는 본인확인 의무를 마친 것이 되어 설령 제3자에 의해 이루어진 거래라 하더라도 본인에게 그 효력이 미치게 된다. 이와 관련된 분쟁은 대부분 금융회사가 해당 법에 따른 본인확인 조치를 제대로 이행하였는지에 대한 신청인과 금융회사 간의 의견 대립이 원인이 되어 발생한다.

2) 지급정지의 적시성

보이스피싱 사기범이 사기이용계좌에서 피해금을 모두 출금하는 경우에는 피해금환급절차를 거치더라도 피해를 구제받기 사실상 어렵다. 때문에 ｢통신사기피해환급법｣은 피해자의 신고시에 금융회사가 자행의 계좌를 즉시 지급정지하고, 피해금이 입금된 타행의 계좌가 있는 경우 다른 금융회사로 지급정지를 요청할 의무를 부과하고 있다. 이와 관련하여서는 금융회사의 지급정지가 적시에 이루어져 피해를 최소화하였는지에 관련한 분쟁 민원이 접수되고 있다.

4. 분쟁사례별 구체적 판단기준

1) 비대면 실명확인 관련 분쟁

대표 사례
▹A는 신분증, 휴대폰번호, 계좌번호, 계좌비밀번호 등을 피싱범에게 노출하였고, 피싱범은 이 정보를 이용하여 휴대폰을 개통한 후, 개통된 A명의 휴대폰을 이용하여 공동인증서를 재발급하였다. 그리고 금융회사에서 공동인증서를 통한 본인인증 후 본인이 대출을 하는 것처럼 인터넷 대출을 신청하여, 금융회사로부터 대출금을 계좌로 송금받는 즉시 인출하는 방법으로 총 1억원을 가로채었다.

이 사안에서는 금융회사가 법규에서 정하고 있는 본인확인 의무를 준수하였는지 여부가 중요하다. 이에 대하여 대법원 판결은, 전자문서에 의한 거래에서 공인인증기관이 발급한 공인인증서에 의하여 본인임이 확인된 자에 의하여 송신된 전자문서는, 설령 본인의 의사에 반하여 작성·송신되었다고 하더라도, 특별한 사정이 없는 한 전자문서법 제7조 제2항제2호에 규정된 ‘수신된 전자문서가 작성자 또는 그 대리인과의 관계에 의하여 수신자가 그것이 작성자 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있는 자에 의하여 송신된 경우’에 해당한다고 판단하고 있다.

즉 금융회사는 전화 통화나 면담 등의 추가적인 본인확이 절차 없이도 전자문서에 포함된 의사표시를 A의 것으로 보아 법률행위를 할 수 있다. 따라서 사례와 같이 전자적으로 이루어진 비대면 전자금융거래에서 금융회사는 법규에서 정하고 있는 본인확인 의무를 준수하였다고 봄이 타당하고, 해당 대출채무의 책임은 A에게 미친다.

2) 지급정지 관련 분쟁

대표 사례

▹피해자는 금융거래 정보를 피싱범에게 노출하였고, 피싱범은 이 정보를 이용하여 본인이 대출을 하는 것처럼 A은행에 인터넷 대출을 신청하여, 17:03 A은행으로부터 3,000만원의 대출금을 A은행 계좌로 입금받은 직후 그 중 600만원을 다시 B신협의 제3자 계좌로 송금하였다. ▹피해자는 18:24에 A은행 콜센터에 보이스피싱 피해 신고를 하였는데, A은행은 자행 계좌에 대하여 지급정지를 실시한 후, B신협 계좌에 대해서는 아무런 조치를 실시하지 않았다. ▹A은행이 B신협에 대하여 아무런 조치를 하지 않은 18:22~18:27 동안 600만원의 피해금은 100만원씩 6차례에 나누어 B신협의 제3자 계좌에서 모두 출금되었고, 이후 피해자가 재차 콜센터에 전화하여 지급정지를 요청하자 A은행은 피해금이 모두 출금되고 난 후인 18:43에 이르러서야 B신협에 지급정지를 요청하였다.

이 사안에서는 금융회사가 ｢통신사기피해환급법｣ 제3조 제2항의 지급정지 의무를 준수하였는지 여부가 중요하다. ｢통신사기피해환급법｣ 제3조 제2항은 “피해구제의 신청을 받은 금융회사는 다른 금융회사의 사기이용계좌로 피해금이 송금ㆍ이체된 경우 해당 금융회사에 대하여 필요한 정보를 제공하고 지급정지를 요청하여야 한다.”라고 규정하고 있으며, 이는 ｢통신사기피해환급법｣에서 부과하고 있는 보이스피싱 피해를 방지할 금융회사의 법률상 의무에 해당한다.

이에 대하여 분쟁조정위원회 결정에 따르면 금융회사의 지급정지 요청의무는 지급정지 요청을 받은 금융회사의 사기이용계좌에 대한 실효성 있는 지급정지 조치가 이루어지게 하기 위한 전제가 되는 의무로, 금융회사는 긴급하거나 부득이한 사유가 있는 피해자가 금융회사에 전화 또는 구술로 피해구제를 신청할 경우 거래내역을 확인하여 다른 금융회사에 지급정지를 요청할 법적 의무를 부담한다. 사안에서 피해신고 당시 피해자가 다른 B신협에 송금·이체된 사기이용계좌에 대한 지급정지를 요청할 필요성을 언급하였음에도 아무런 조치를 취하지 아니한 A은행에게는 ｢통신사기피해환급법｣상의 의무 위반이 인정되고, 불법행위로 인한 손해배상책임으로서 피해자에게 배상책임이 발생한다.

5. 분쟁해결기준 요약

1) 비대면 실명확인 관련 분쟁

메신저피싱 등으로 발생하는 대표적 금융거래 유형인 비대면 계좌개설, 인증서 발급, 대출, 예금해지와 관련하여 금융회사는 금융위원회 유권해석 및 󰡔비대면 실명확인 관련 구체적 적용방안(은행연합회 및 금융투자협회(2017.7.))󰡕 등 현행 제규정에 따라 본인확인 절차를 준수할 의무가 있다. 이에 관련 분쟁을 해결함에 있어, ｢전자문서법｣에 규정된 ‘수신된 전자문서가 작성자 또는 그 대리인과의 관계에 의하여 수신자가 그것이 작성자 또는 그 대리인의 의사에 기한 것이라고 믿을 만한 정당한 이유가 있는 자에 의하여 송신된 경우’인지 제반 법규와 개인정보 유출상황을 종합적으로 고려하여 판단하여야 한다.

2) 지급정지 관련 분쟁

｢통신사기피해환급법｣상 지급정지 의무의 준수 여부에 대하여 판단하는데, 금융회사가 지급정지 필요성을 인지하거나 인지할 수 있었던 사정과 이후 조치 등 구체적 사실관계에 따라 그 판단결과는 달라질 수 있다. 또한, 금융회사의 의무 위반이 인정되더라도 의무위반으로 인한 손해, 즉 법률상 인과관계 있는 손해에 대해 배상책임을 지게 되므로, 보이스피싱으로 인한 피해금액 중 일부에 대해서만 배상책임이 인정될 수 있다.

6. 소비자유의사항

가족 및 지인 등이 문자 또는 메신저로 금전 및 개인(신용)정보를 요구하는 경우 놀란 마음에 바로 응하여서는 아니 된다. 반드시 별도 유선통화 혹은 대면을 통해 실제 가족의 연락인지 여부를 확인하여야 한다. 사기범들은 대부분 딸·아들을 사칭하여 온라인 소액 결제, 회원인증 등을 사유로 부모에게 문자로 접근하고, 결제, 인증 등의 사유로 피해자에게 주민등록증 사진, 신용카드 번호 및 비밀번호가 필요하다며 개인정보를 요구한다. 핸드폰 고장, 분실 등의 사유로 원격조종 앱 등 악성 앱 설치를 유도하는 수법은 사기범들의 전형적인 수법이므로 출처가 불분명한 앱 설치 요구시 더욱더 주의할 필요가 있다.

일단 보이스피싱 피해를 입은 것으로 의심되는 경우에는 입출금이 발생한 금융회사 콜센터 또는 금융감독원 콜센터(☎1332)에 전화하여 해당 계좌에 대한 지급정지 요청 및 피해구제신청을 접수해야 추가피해를 최소화할 수 있다.

[김영미]

https://cafe.daum.net/insuranceprofit/CtEO/225

[김영미]

https://cafe.daum.net/insuranceprofit/CxHR/93

[김영미]

https://cafe.daum.net/insuranceprofit/Bo3A/939