9월 4일 자 경향신문은 금융·공동인증서비스를 제공하는 한국금융결제원(이하 ‘금결원’)이 운영하는 오픈뱅킹이 전기통신금융사기의 창구로 악용되고 있음에도 시중은행들과 본인확인조치 책임을 서로 떠밀고 거짓말만 하고 있어서 피해 배상이 이루어지지 않고 있다고 지적했다. 경실련 역시 최근 피해자 고발대회를 열고 금융사들의 엉터리 핀테크 비대면 신분증 사본인증 금융사고를 문제제기 했다.
- 오픈뱅킹: 금융결제원에 참가한 기관(시중은행 및 일부 카드사, 카카오뱅크, 토스 등 )이 상호간 금융정보 조회와 이체 등을 통합해서 제공하는 서비스.
그러나 여전히 금융당국과 금융기관들은 사건-사고간 법률관계를 잘못 오도하여 아무런 책임도, 현재 아무런 대책도 없는 상황이다. 이에 전자서명인증업무를 처리하는 본인확인기관인 금결원 등의 ‘타인명의·사자명의·가명’ 엉터리 신원인증 실태와 그 위험성에 대해 추가 고발하여 금융사고의 책임 소재를 가리고, 나아가 명의도용 가능한 인증서 등 접근매체의 위‧변조 개선은 물론 ‘실지명의’(주민등록표상의 명의, 사업자등록증상의 명의 등 대통령령으로 정하는 명의) 기준의 신원확인 방법과 검증 절차부터 준수해야 한다. 좀 더 구체적인 해법을 살펴보자.
[box type=”info”]
금결원? 정부기관(X)일까, 민간업체(O)일까?
“그렇다면 금결원은? 국가기관과는 전혀 관계가 없는 민간업체입니다. 공인인증시스템을 구축해서 운영하고 있고, 수익사업을 통해 최근 수년간 매년 600억 원가량의 순이익을 남기고 있는데도 “비영리 사단법인” 지위를 계속 유지하고 있는 신기한 업체이기도 합니다. (김기창 고려대 교수, ‘공인인증서 커넥션: 재직 중 받으면 뇌물, 퇴임 후 받으면 ‘감사 연봉’ 중에서, 2013. 6. 18)
[/box]
1. 우선 금결원은 타인명의‧사자명의‧가명 인증서 발급 중단해야
첫째, 금결원 등은 타인명의‧사자명의‧가명으로 발급 가능한 금융인증서 및 공동인증서비스를 당장 중지하고 전저서명법의 신원확인 방법과 검증 절차부터 준수해야 한다.
전자서명법 시행규칙 제5조 ‘실지명의 기준의 신원확인 방법’은 본인확인기관으로 지정된 전자서명인증사업자인 금융기관(아래 박스 해설 참조)이 전자서명인증서비스에 가입하려는 개인의 신분증을 ‘직접 대면’하여 또는 ‘직접 대면에 준하는 비대면 방법’을 쓴다.
[box type=”info”]
본인확인기관으로 지정된 전자서명인증사업자 명단
- 공동인증서: 금융결제원(YesKey 공동인증서 및 금융인증서), ㈜코스콤 (SignKorea 공동인증서), 한국정보인증㈜ (공동인증서 S-Pass), SKT, KT, LGU+ (PASS 앱 인증서)
- 사설인증서: 국민은행(KB모바일인증서), 농협은행(NH원패스 또는 NH모바일인증서), 신한은행 (신한Sign 또는 신한인증서), 비바리퍼블리카 토스뱅크·페이(토스인증서), 카카오뱅크·페이 (카카오인증서), 하나은행 (하나OneSign 인증서 또는 하나원큐 모바일인증서)
[/box]
즉, ‘신분증 진위확인’을 통해 ‘신원의 진위여부를 확인’하여 ‘가입자의 고유식별정보를 직접 처리’하거나 또는 ‘본인확인기관으로부터 처리된 연계정보를 제공’ 받아 정보처리시스템 내 고유식별정보를 사전에 확보한 뒤 ‘서명자의 전자서명생성정보에 해당하는 인증서’를 비롯한 ‘접근매체’ 등 추가 인증수단을 실명확인 후에 발급‧교부’하여 두 정보를 독립적으로 교차검증하도록 신원인증 절차를 규정하고, ‘금융기관에 등록된 그 이용자의 휴대전화를 이용하여 본인확인조치 하도록 책임을 규정’하고 있다(아래 그림 참조).
그러나 신규거래를 늘리기 위해 자사에 미등록된 이용자의 휴대전화나 타인의 휴대전화까지도 무차별 동원하여 위‧변조된 신분증 사본의 진위확인 절차를 거치지 않고서 고유식별정보를 허위로 처리하여 위‧변조한 사설인증서를 제공하는 본인확인기관인 시중은행이나 해당 시중은행으로부터 허위로 처리된 연계정보를 이용해 엉터리 공동인증서비스를 제공하는 그 밖의 금융회사등은 물론이고, 이러한 시중은행과 금융회사등에 금융·공동인증서비스를 제공하는 금결원은 심지어 타인명의·사자명의·가명 등 엉터리 가입자들의 실명확인조차 하지를 않고서 휴대전화 번호만을 기준으로 부적법한 신원확인과 전자서명인증업무를 처리하고 있다.
물론, 개별 금융회사 등에 실명확인 책임이 있기 때문에 본인확인기관의 가명 인증서가 발급‧교부되는 일은 없다. 하지만 시중은행을 비롯 금결원이 제공하는 전자서명인증서비스의 경우 위‧변조 신분증의 진위여부나 실지명의 기준 신원의 진위여부를 교차검증하여 확인하지 않기 때문에 누구든지 신분증 사본과 대포폰만 있으면 타인명의‧사자명의 엉터리 인증서가 타인에게 발급‧교부 가능하고, 신분증 사본 하나면 해당 휴대전화에 보안에 매우 취약한 일체형 모바일‧간편인증서나 디지털 OTP를 비롯한 엉터리 접근매체 등 추가 인증수단까지도 원스톱 방식으로 몽땅 위‧변조해주기 때문에 전기통신금융사기 피해를 비롯한 전자금융실명거래 사고로 계속 이어지고 있는 실정이다.
따라서 금결원은 금융회사 등에 미등록된 이용자의 휴대전화 접근을 차단하고, 등록된 이용자의 ‘휴대전화(번호, 기기고유실별번호)—신분증 원본(고유식별정보)—신원 정보(개인신용정보) —전자서명 (전자서명생성정보)’ 간의 진위 확인과 교차검증 절차를 철저히 준수해야 한다.
2. 전자금융실명거래 사고에 대한 연대책임
둘째, 휴대전화를 이용한 전자서명인증서 등 전자금융거래 접근매체의 발급‧교부 시 실명확인 절차를 위반한 전자금융실명거래 사고에 대한 연대책임과 철저한 배상이 필요하다.
전자금융거래법 제6조는 금융회사 등이 각종 접근매체(아래 박스 해설 참조)를 발급‧교부할 때 본인임을 확인한 후에 발급 또는 대체발급(재발급)하고, 이용자의 신원‧권한‧거래지시 내용을 확인하도록 규정한다(동법 제2조 10호)
[box type=”info”]
접근매체의 종류
- 전자식 카드‧정보 (예: 모바일카드, 가상카드번호 등)
- 전자서명인증서 (예: 구 공인인증서, 현 시중은행 사설인증서, 금융기관 공동인증서 등 전자문서)
- 이용자번호 (예: 계좌번호, 핀테크번호 등)
- 생체정보 (예: 지문, 안면, 홍채, 정맥 등)
- 비밀번호 (예: 전자식 카드의 결제암호, 전자서명인증서의 인증Key암호, 정보 접근‧사용에 필요한 로그인‧계좌‧이체 암호, OTP(일회용암호)‧보안카드 등 보안매체 등 모든 비밀번호)
[/box]
만약, 다음과 같은 전자금융거래 사고가 발생한 경우에는 관련법은 금융회사 등의 ‘무과실 책임’ 및 ‘연대책임을 규정하는데, 그 사고는 다음과 같다.
- 접근매체의 위‧변조로 발생한 전자금융거래 사고
- 계약체결 또는 거래지시 전자문서 발송‧처리 과정에서 발생한 전자금융거래 사고
- 그 밖의 부정한 방법으로 획득한 접근매체로 인한 전자금융거래 사고
특히 본인확인조치를 하지 않아 발생한 전기통신금융사기 피해나 전자금융실명거래 사고에 대해서는 손해배상책임(특별법 제2조의4)을 명시하고 있다. 다만, 이용자에게 고의‧중과실이 있는 경우에 한해 관련계약과 이용약관에서 정한 합의에 따라 그 책임의 범위를 정하도록 한다.
그러나 앞서도 문제제기한 바, 관련 법을 위반한 업무처리로 인하여 금융사고를 낸 경우에는 금융기관에 명백히 민법상 ‘공동불법행위’ 책임이 있다. 설사 고의 또는 과실이 없다 하더라도 ‘무과실 연대책임’이 성립하는 데는 의심이 없다.
현행법을 위반하여 자기계산에 따른 금결원의 오픈뱅킹 이용약관이나 금융회사등의 전자금융거래 이용약관과 같은 ‘비대면 실명확인 사설 가이드라인(‘비대면 실명확인 관련 구체적 적용방안’; 은행연합회&금융투자협회, 무권해석 2017. 7. 비공개 개정안)은 현행법에 우선할 수 없고, 위법한 업무처리에 기인한 합의는 전부 무효에 해당하기 때문이다.
따라서 신원인증 방법과 검증 절차 등 관련 법을 위반한 금결원을 비롯한 시중은행들에게 손해배상 연대책임이 있다. 그럼에도 금융당국과 금융기관들은 사고책임을 묵과하고, 금융기관의 위법한 업무처리로 인해 대출사고나 재산피해를 당한 피해자들을 소송으로만 내몰고 있는 현실이다.
따라서 위법한 업무처리로 인한 비대면 이체‧대출사고 피해자들에 대한 원상회복은 물론, 그 밖에도 보이스‧메신저 피싱 등에 대한 부당한 업무처리로 인해 전기통신금융사고를 당한 피해자들에 대한 정당한 환급이 이루어져야 한다.
사기범 검거 조건 회수예금만 반환? 대출사고금 원리금 징구? 양아치 짓!
물론, 이러한 금융기관들 역시 전기통신금융사기 사건의 기망을 당한 또다른 “피해자”이다. 하지만 그렇다고 해서 자기계산에 따라 비대면 신분증 사본인증 등 위법한 업무처리로 인한 자기책임을 금융사고를 당한 소비자들에게 전부 뒤집어씌워서 분쟁을 만드는 것은 현행 법률관계를 잘못 오도하고 있는 것이다.
특히 금융회사로부터 엉터리 비대면 신분증 사본인증 등 억울한 전자금융실명거래 사고를 당한 소비자들에 대해 ‘전자금융사고 책임보험’이나 사기범과 관련 금융기관들을 상대로 ‘구상권’을 청구하지 않고서 사기범이 붙잡히는 것을 조건으로 회수된 예금잔액만을 반환하거나 대출사고금에 대한 소멸은커녕 원리금을 징구하는 것을 조건으로 전기통신금융사기 신고나 채권말소를 받아주는 것은 소위 사채업자들이 하는 ‘양아치 짓’에 다름없다. Kbank나 롯데카드‧캐피탈 등에는 금융소비자 보호 교육을 제대로 시킬 필요가 있다.
그러므로, 금결원과 시중은행들을 비롯한 사고금융기관들은 소비자와의 원상회복을 위한 연대책임은 물론, 엉터리 인증서 등 접근매체의 위‧변조를 제거하여 ‘실지명의’ 기준의 비대면 신원확인 방법과 검증 절차를 조속히 마련하고 이행해야 할 책임은 금융사기 사건의 피해자인 소비자에게 있는 게 아니라 사고 금융금기관에 있다.
특히 전기통신금융사기의 창구로 악용되고 있는 오픈뱅킹에 대해서는 엄연히 본인확인 책임이 있는 금결원과 참가은행들에 대한 공동불법행위책임이 막중한 만큼 금융당국의 진상조사와 국회의 국정감사를 통한 신분증 분산처리시스템에 대한 적법한 비대면 인증기술에 따른 실명거래확인 제도 개선이 시급하다.
이는 윤석열 대통령의 국정과제 중 하나다. 국회와 정부는 금융기관의 국민재산 침해를 감안하여 비대면 신분증 사본인증으로 인한 전기통신금융사고에 대한 ‘원스톱 피해구제’ 지원 방안까지 마련하여 강력한 법률지원, 신속한 구제절차, 실질적인 피해 환급이 이루어질 수 있도록 최대한으로 지원해야 한다. 경실련도 금융소비자 보호를 위해 최선의 노력을 다하겠다.
