신종 보이스피싱에 속아 추가 인증절차가 없이 일회용 비밀번호(OTP, One Time Password)를 유출해 고객이 피해를 입었다면 은행이 일부 배상해야한다는 법원의 판결이 나왔다.

서울중앙지법 민사항소4부(부장판사 이대연)는 이모씨가 A은행을 상대로 제기한 3042만5000원 손해배상 청구소송 항소심에서 A은행은 이씨에게 1680만원과 이자 23만8000원 등 총 1703만8000원을 배상하라고 판결했다고 7일 밝혔다.

이씨는 일요일인 2014년 9월28일 지방세를 납부하기 위해 은행 홈페이지에 접속했다가 '금융감독원 사기예방 계좌 등록 서비스'라는 팝업창이 나타나자 지시에 따라 계좌 비밀번호, 공인인증서 비밀번호, OTP 번호를 입력했다.

곧 이어 2100만원이 출금됐다는 문자메시지가 왔고 다시 50분 뒤 OTP 번호만 입력하라는 창이 다시 뜨자 보안등록 절차라고 생각한 이씨는 다시 OTP 번호를 입력해 900만원이 출금됐다.

이씨는 당시 공인인증서가 재발급된 사실이 없어 출금이 불가능하다고 믿었고 은행에서 공지한 바와 달리 추가 인증절차도 없이 돈이 빠져나갔다며 은행을 상대로 피해액 3000만원과 이자로 지급한 42만5000원에 대해 손해배상 청구 소송을 냈다.

은행은 휴일에 OTP 이용고객에 대해 추가인증을 생략할 수 있다는 금융위원회의 가이드라인에 따른 것으로 추가 인증은 법적인 의무가 아니었다며 이씨의 과실을 주장했다.

항소심은 이씨의 1차 출금 2100만원 중 80%에 대해 은행의 책임이 있다고 보고 일부 승소판결을 내렸다.

항소심은 은행이 2014년 1월부터 휴일 100만원 이상 이체 거래에 대해 휴대폰 SMS 또는 ARS를 통한 추가인증을 실시한다고 공지했으나 사고 발생일이 휴일이고 100만원 초과금액임에도 최종승인 확인 절차 등 추가인증 절차가 실행되지 않았다며 은행의 과실을 인정했다.

이씨가 공인인증서가 재발급됐다는 취지의 문자메시지를 받지 못하는 등 재발급 사실을 알지 못한 상태에서 추가 인증절차 없이 돈이 출금되지 않으리란 신뢰가 있었다는 점과 무작위로 생성되는 비밀번호를 이용하는 OTP 방식이 기존 보안카드 입력 방식보다 외부 노출과 해킹으로부터 인전하다고 홍보됐다는 점 등도 고려했다.

다만 은행이 전자금융사기 예방을 위한 안내메일을 발송했고 1차 출금 과정에서 허위 팝업창에 중요한 개인 정보를 입력하는 등 이씨에게도 책임이 있다고 보고 은행의 과실을 100% 인정한 1심과 달리 은행의 책임을 80%로 제한했다.

반면 2차 출금 900만원의 경우 이씨가 공인인증서 인증과 추가 인증절차도 없이 계좌이체가 된다는 사실을 의심하지 못했다면서 은행의 책임이 없다고 판단했다.

이씨와 은행 모두 대법원에 상고한 상태다.