금융당국 보이스피싱 은행 책임유무 가려 보상하는 기준 검토

[재경일보 이형석 기자] 보이스피싱(전화금융사기) 피해에 대한 은행의 책임 유무를 가려 보상하는 기준이 검토되고 있는 가운데 은행들은 법률과 약관의 면책조항을 들어 `한 푼도 물어낼 수 없다'고 맞서고 있어 논란이 일 것으로 보인다.

12일 금융권에 따르면, 금융감독원은 건당 수백만~수천만원에 이르는 피해에 은행도 책임을 져야 한다는 민원이 쇄도하자 이를 판단할 잣대가 필요하다는 이유에서 보이스피싱 피해와 관련한 보상 기준을 마련할 수 있는지 법률검토에 착수했다.

피해자의 과실 정도와 은행의 책임소재를 따져 은행이 피해금을 보상할 수 있는 사례와 그렇지 않은 사례를 구분하려는 것이다.

또 은행이 자발적인 피해 구제에 소극적인 점도 고려된 것으로 보인다. 지난해 `카드론 보이스피싱'이 극성을 부리자 카드사들은 본인확인 의무를 강화하고 일제히 피해금의 40~50%를 보상했지만 은행은 이같은 움직임이 전혀 없다.

아울러 은행들이 몇몇 `극성 민원인'에게만 비공식적으로 피해금 일부를 보상하고 있는 행태도 형평성에 문제가 있다는 판단에서다.

지난해부터 올해 3분기까지 신고된 보이스피싱 피해는 1만2886건에 1516억원이다. 이 중 올해 1~3분기 경찰에 들어온 보이스피싱 피해신고는 4642건에 달하며, 피해금액은 497억원이다. 지난해 연간 8244건의 피해신고가 들어왔던 것과 비교하면 상대적으로 줄어들었다고는 하나 여전히 적지 않다. 또 소액 피해의 경우 경찰에 신고하지 않고 넘어가는 경우도 많다는 점을 고려하면 실제 피해는 더욱 클 것으로 예상된다.

금감원의 한 관계자는 "은행도 카드론 보이스피싱 피해 구제와 같은 방식을 채택할 수 있는지 등을 살펴보겠다"고 말했다.

다른 금감원 관계자는 "피해자로서는 큰돈을 잃게 되니 억울할 수밖에 없다. 하지만 은행은 한번 보상해주면 보상요구가 줄줄이 이어질 수 있다는 점 때문에 자발적으로 나서기를 꺼리고 있어 어떤 방법이 있을지 찾아보는 것"이라고 설명했다.

하지만 은행들은 보이스피싱이 전적으로 사기범에 속은 피해자의 잘못에서 비롯한 만큼 은행이 져야 할 책임은 없다고 맞서고 있어 기준 마련에 난항이 예상되고 있다.

이들은 은행권 공동으로 적용하는 `전자금융거래 기본약관'과 전자금융거래법의 면책조항에 따라 피해자의 과실로 입증되면 보상할 수 없다는 입장이다.

현행 은행권의 `전자금융거래 기본약관'에 따르면 전자금융사고가 일어났을 때 과실책임은 일차적으로 은행 등 금융회사에 있다.

그러나 실상을 들여다보면 보이스피싱 피해자 중 은행에서 보상받은 경우는 드물다.

보이스피싱 피해자 상당수가 사기범에게 속아 자신의 개인정보를 알려준 경우가 많은데 이는 피해자의 중과실로 여겨져 은행은 책임이 없는 것으로 간주하기 때문이다.

현행 약관 20조(손실부담 및 면책) 1항은 접근매체의 위·변조나 거래의 전자적 전송·처리에 발생한 사고로 손해를 입히면 원금과 이자를 보상하도록 규정했다.

그런데 2항을 보면 사기범 등 제3자가 권한없이 이용자의 접근매체로 전자금융거래를 할 수 있다는 점을 알았거나 쉽게 알 수 있었다면 은행은 책임을 면한다.

전자금융거래 기본약관 2항 3호를 보면, `제3자가 권한없이 이용자의 접근매체를 이용해 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 자신의 접근매체를 누설 또는 노출하거나 방치한 경우' 은행은 금융사고 책임을 지지 않아도 된다고 돼 있다.

전자금융거래법 10조도 금융회사가 접근매체의 도난·분실을 통보받기 전에는 배상책임이 없다고 명시했다.

은행들은 이를 근거로 보이스피싱 피해자가 사기범에게 보안카드번호, 계좌비밀번호 등을 넘긴 것은 `중과실'에 해당해 보상 책임이 없다는 입장이다.

문제는 어느 선까지를 소비자의 `중과실'로 봐야 하는지 모호하다는 것이다.

피해자들은 자신이 사기범에 속는 사실을 `알았거나 쉽게 알 수 있었다'면 애초 보이스피싱에 당하지 않았을 것이라면서 면책조항이 문제가 있다는 입장이다.

금융소비자협회 백성진 사무국장은 "보이스피싱 피해는 고객정보 유출에서 비롯했다"며 "금융회사들이 과거 해킹 등의 사고로 고객의 정보를 유출해놓고는 면책조항을 핑계로 피해자들에게 책임을 전가하고 있다"면서 근본적 책임은 해킹 등으로 정보가 유출된 금융권에 있다는 입장이다. 그러면서 "소비자 보호를 위해서 면책조항을 대폭 줄여야 한다"고 주장했다.

전문가들 사이에도 개인의 신상정보가 유출됐을 때 소비자가 발설한 것이라고 해도 금융회사에 손해배상 책임을 묻는 금융회사의 정보 유출 책임을 강화한 개인정보보호법을 고려해 관련 법과 약관을 고쳐야 한다는 목소리도 나오고 있다.

전자금융거래법 10조 2항을 보면 금융기관은 이용자가 접근매체를 분실 또는 도난당했다고 통보하기 전까지는 배상 책임을 지지 않지만 이보다 유리하게 적용될 수 있는 규정이 있으면 그 법령을 우선 따라야 한다.

단국대 법학과 정준현 교수는 "현행 약관에는 은행이 빠져나갈 구멍이 너무 많다"며 "민법이 선언한 `신의성실' 원칙에 따라 전자금융거래법도 소비자의 과실 유무를 떠나 은행이 책임을 지도록 해야 한다. 소비자에게 중과실이 있어도 금융회사가 일정 부분 책임을 지는 것이 타당하다"고 말했다.

이어 "관련 법 규정상 보이스피싱 피해자는 스스로 정보를 알려준 경우에도 자신에게 유리한 개인정보보호법을 적용받을 수 있다. 또 금융회사의 책임을 좀 더 강화하면 은행들도 보이스피싱 피해를 줄이려고 좀 더 애쓸 것"이라고 강조했다.