휴대전화 문자메시지로 온 모바일 청첩장을 눌렀다가 스미싱 범행을 당해 대출금을 떠안게 된 피해자는 돈을 갚아야 할까? 그렇지 않다.

A씨는 2023년 3월 성명불상자가 보낸 모바일 청첩장을 열었다가 자신의 휴대전화에 악성 애플리케이션이 설치되는 스미싱 범행을 당했다. 성명불상자는 A씨의 휴대전화에 있던 개인정보와 금융정보 등을 취득해 A씨 명의의 휴대전화를 개통하고 계좌를 개설했다.

이후 A씨의 명의로 개통한 휴대전화에 케이뱅크 등의 애플리케이션을 설치한 뒤 A씨의 본인인증, 계좌인증을 거쳐 8150만 원을 대출받았다. 또 A씨가 가입한 미래에셋생명보험의 종신보험으로 대출을 신청해 950만 원을 지급받았고, 농협은행에 있던 A씨의 주택청약종합저축계좌를 해지해 1179만 원을 지급받아 다른 계좌로 보내기도 했다.

A씨는 지난해 4월 경찰에 피해사실을 신고한 뒤 케이뱅크 등을 상대로 “대출거래약정, 보험약관대출 및 저축 해지 처리 과정에서 본인확인조치 및 피해방지를 위한 노력을 다하지 않았다”며 “따라서 해당 약정, 대출 등의 효력이 자신에게 미치지 않으므로 각 대출에 대한 채무는 존재하지 않고, 피해금액을 반환할 의무가 있다”며 소송을 제기했다.

이에 대해 은행과 보험사는 “금융실명거래 및 비밀보장에 관한 법률상 실명확인의무가 없는 금융거래에 해당하거나 본인확인 조치를 이행했다”며 각 거래가 유효하다고 맞섰다.

서울중앙지법 민사83단은 2024년 5월 A씨가 케이뱅크, 미래에셋생명보험, 농협은행을 상대로 제기한 채무부존재 확인 소송에서 원고승소 판결했다(2023가단517275).

법원은 “이 사건과 같이 ‘전자문서’에 의해 이뤄지는 ‘전자금융거래’이면서 ‘비대면’으로 이뤄지는 경우, 금융회사로서는 주의의무를 다하고 사고를 방지하는 행위를 다함으로써 책임에서 벗어나기 위한 적극적인 조치를 취할 필요가 있다”며 “문제는 스미싱 등 범행에서 ‘비대면 실명확인방안’ 인증 방식의 허점이 악용된다는 것”이라고 설명했다.

그러면서 “스미싱 범행의 경우 명의자의 휴대전화 제어권을 범인이 확보하고 있어 인증의 실효성이 적은 ARS 추가 인증 절차만을 추가로 진행했을 뿐”이라며 “당시 전자금융거래 이용자가 고객의 얼굴이 직접 노출되도록 실명확인증표를 촬영하도록 하거나 영상통화를 추가로 요구하는 등의 방식으로 본인인지 확인하는 조치를 다할 의무를 제대로 이행했다고 보기 어렵다”고 판시했다.

공증인가 법무법인 누리