해킹 등 부당한 전자금융 사고에 대해 은행에 책임을 묻는 전자금융거래법 개정안이 지난주 통과되면서 금융보안 시장에 `태풍의 핵`으로 떠올랐다.
그동안 반대의사를 피력해 왔던 은행 등 금융권은 패닉 상태에 빠졌고, 금융 피해를 당한 소비자는 손실보상의 희망을 키우고 있다. 지금까지는 전자금융 사고가 발생해도, 손실보상에 대한 명확하고 명시적 규정이 없었다.
◇전자금융 사고, 은행이 입증책임
개정안은 은행 등 금융사업자의 책임을 명문화한 게 특징이다. 이 법은 공포직후 6개월 후 시행될 예정이다. 해킹 사고가 발생하면 일단 금융사가 책임을 지게 된다. 물론 이용자 고의나 중과실이 있으면 은행이 면책을 받을 가능성도 있지만, 입증 책임은 은행이 지는 게 달리진 점이다.
개정안은 제9조 1항에 `해킹(정보통신망 등에 침입해 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고)에 대해서는 전자금융사업자 등이 이용자에게 손해를 배상하도록 함`이라고 명시했다.
법안심사소위 위원장을 맡은 박민식 새누리당 의원실 관계자는 “은행이 해킹 사고 책임을 명확히 한 게 이번 개정안의 특징”이라며 “금융회사가 주의하도록 하자는 의도가 가장 크다”고 법률 개정 취지를 설명했다.
이준길 법률사무소 선경 변호사는 “미국은 1978년 만들어진 전자자금이체법에 따라 금융사고 발생 이틀 안에 신고하면 피해액을 돌려 받는다”며 “늦은 감이 없지 않지만 우리나라도 개정안이 통과돼 은행 등 금융권의 보안 투자가 늘어날 것”이라고 내다봤다.
◇은행·금융거래 피해자 상반된 반응
은행권은 개정안이 통과되자, 당황한 모습이다. 은행연합회 관계자는 “금융회사에 무과실 책임을 지우게 한 게 안타깝다”며 “해킹을 가장한 악용사례를 막을 방법이 없어졌다”고 밝혔다.
수사권이 없는 상황에서 보험사기와 같은 해킹 사기가 늘어날 수 있다는 지적이다. 은행은 2채널 확대 및 이체한도를 줄이는 방안 등 대응책 마련에 돌입했다.
보이스피싱 피해자들은 법적 대응에 착수했다. 230여명에 달하는 보이스피싱 피해자들은 현재 은행 등 금융권을 상대로 법적소송에 돌입했다. 상대는 국민은행 신한은행 우리은행 등 메이저 은행들이다. 국민은행을 상대로 한 첫 재판은 오는 23일 서울중앙지방법원에서 열린다. 보이스피싱 피해는 지난 7년 간 5만건, 5000억원에 달하는 것으로 업계는 추정한다.
고봉식 금융보안연구원 본부장은 “공인인증서를 스캔한 뒤 보관하는 일부 이용자 책임문제도 법적으로 짚어줘야 한다”고 강조했다. `선량한 관리자로서의 주의를 다해야 한다`는 이른바 선관주의 의무도 시행령 논의 과정에 포함시켜야 한다는 지적이다.
◇시행령 놓고 공방 치열할 듯
전문가들은 결국 시행령, 시행규칙을 놓고 치열한 로비와 공방이 벌어질 것으로 전망한다. 은행 증권 등 금융권은 전자금융거래법이 통과됐지만, 개인의 과실이 존재할 경우 면책조항을 마련하는 방안을 하위법령 및 내부 약관에 명시하는 방안을 추진할 것으로 예상된다. 은행이 면책을 받을 수 있는 `고의나 중대한 과실의 범위` 개념 규정이 최대 쟁점이다.
마이너스 통장 및 CMA 계좌에서 부당하게 돈을 빼내가는 해킹 사고가 끊이지 않고 있는 가운데 금융 증권 및 2·3 금융권을 중심으로 보안 투자도 늘어날 것으로 예상된다.
전문가들 사이에서는 금융사고를 줄이기 위해선 이체한도를 낮추고, 계좌이체 시 지연 타임을 두는 방안을 제안한다.
법조계 인사는 “이체한도가 너무 높다 보니 (해커들에게는)유혹이 생길 수밖에 없다”고 지적했다. 현행 전자금융감독규정에는 개인이 인터넷뱅킹 및 모바일뱅킹을 통해 1회 이체할 수 있는 한도는 1억원, 하루 총액은 5억원이다.
김원석기자 stone201@etnews.com