80세 A씨는 휴대폰 문자메시지로 온 전자 청첩장 주소를 눌렀다가 휴대폰에 저장된 주민등록증 사진을 탈취한 스미싱범에 의해 본인 명의로 휴대전화와 계좌가 개설되고 대출이 실행되면서 피해를 입었다. A씨는 본인의 과실로 악성앱을 휴대전화에 설치했지만, 계좌번호와 인증번호, 비밀번호 등을 직접 제공하거나 노출하지는 않았다. A씨가 이용하는 B은행은 비대면 대출시 악성앱 탐지체계를 도입하지 않았고 그동안 앱 사용 기록이 없었던 고령자에 대한 이상거래 탐지 규정을 적용하지 않았다.

금융감독원은 이 같은 사건이 발생했을 때 이용자 과실도 있지만 은행의 의심거래 탐지 및 조치 기능 부실 등으로 은행이 피해금액의 20~50% 안팎을 배상해야 한다고 5일 밝혔다. 은행의 의심거래 탐지 기능이 사실상 작동하지 않았을 경우 최대 50%까지 배상이 가능하다고 설명했다.

이용자가 보이스피싱범에게 비밀번호 등 금융거래에 필요한 개인정보를 모두 제공한 경우는 은행의 예방노력에 따라 배상비율은 0~30% 안팎으로 정해진다. 은행이 '이상금융거래탐지시스템(FDS)'을 구축했지만 실효성이 거의 없는 경우 최대 30% 가량을 배상해야 한다.

5일 금감원과 19개 국내은행은 비대면 금융사고 예방을 위한 'FDS 운영 가이드라인'과 '비대면 금융사고 책임분담기준'을 내년 1월 1일부터 시행하는 내용의 협약을 체결했다. '비대면 금융사고'에 대한 은행권의 자율배상을 처음으로 시행하는 것이다.

금감원은 "그간 신분증 노출 또는 악성앱 설치에 따른 휴대전화 통제권 상실 등의 경우 이용자의 중과실로 간주돼 피해배상을 받지 못하는 경우가 많았으나, 앞으로는 고객의 과실뿐만 아니라 은행의 금융사고 예방노력 정도를 감안해 합리적 범위 내에서 책임을 분담하게 된다"고 밝혔다. 법원은 판례를 통해 이상금융거래임에도 FSD시스템이 작동하지 않았다면 금융회사의 일부 과실을 인정하고 있다. 영국과 미국에서도 비대면 금융사기 관련 배상제도를 운영하고 있다.

책임분담기준은 비대면 금융사고로 이용자에게 금전적 손해가 발생한 경우 금융회사의 손해배상 책임을 명시하고 있다. 이용자가 사고로 인해 손해배상을 청구하는 경우 해당 금융사고의 발생과 손해의 발생사실은 본인이 입증해야 하지만, 손해가 이용자의 고의나 중대한 과실에 의해 발생했다는 점과 손해 발생에 금융회사의 고의나 과실이 없다는 점은 금융회사가 입증해야 한다.

금융회사의 입증책임이 큰 만큼 피해자들의 입증 부담이 줄어들지만, 강제력 없는 자율배상 조치여서 금융회사들이 얼마나 합리적으로 배상액을 결정하고 피해자들이 이를 수용할지 여부가 제도 정착의 관건이다. 금감원은 일단 은행을 상대로 제도를 시행한 후에 전체 금융회사로 확대는 방안을 검토할 예정이다.

배상비율과 배상액은 은행의 사고예방 노력과 소비자 과실 정도를 종합 고려해 결정된다.

은행의 사고예방 노력은 'FDS운영 가이드라인'을 토대로 FDS가 구축됐고 실효성 있게 운영되고 있는지 등을 통해 판단된다.

FDS운영 가이드라인의 적용 업무범위는 전자금융거래의 시작단계부터 수행 및 종료에 이르기까지 전자금융거래 진행과 관련된 모든 업무가 포함된다. 주요 10개 피해유형에 대한 51개의 공동이상거래탐지룰이 적용된다. 예를 들어 탐지조건을 '미성년자 또는 특정 연령 예상의 고객 계좌에서 단시간 내 과거 입금 내역이 없는 계좌로 특정 횟수 이상 이체시'로 설정하면 자동으로 은행의 대응이 이뤄진다. 은행이 고객에게 전화를 하거나 영상통화 등을 통해 추가인증을 하고, 특정횟수 이상 미수신 또는 통화내용상 사고로 판단시 전자금융거래를 차단하는 대응 시나리오가 작동되는 것이다.

전 은행권에 '공동이상거래탐지룰'이 공통적용되고, 여기에 개별 은행의 자체 탐지룰이 추가적으로 적용된다. 유출된 개인정보로 대포폰 개통 후 추가인증을 우회하는 사례가 늘고 있어 관련 탐지 건에 대해서는 본인확인(전화 또는 화상통화)이 강화된다.

이복현 금감원장은 이날 협약식에서 "FDS운영 가이드라인에서는 모바일 등 비대면 채널을 통해 실행되는 금융거래의 전 과정에서 금융회사가 더욱 정교하게 금융사고를 예방할 수 있는 방법과 절차를 제시했다"며 "책임분담기준에서는 소비자의 과실뿐만 아니라 은행의 금융사고 예방 노력 수준을 함께 고려해 책임이 분담되도록 배상책임의 기준을 설계했다"고 밝혔다.

협약의 효력은 'FDS 운영 가이드라인'을 반영한 시스템 구축 등 준비기간을 거쳐 내년 1월1일 이후 발생한 사고부터 은행권에 우선 적용된다.

다만 은행의 자율배상 절차로 진행되는 만큼 강제력은 없다. 피해자들은 은행의 배상안 수용을 거부할 수 있고 금감원 금융분쟁조정신청을 통해 금융당국의 판단을 받거나 소송을 제기할 수 있다. 책임분담기준이 있지만 배상과 관련된 선례가 거의 없어 배상비율을 놓고 금융분쟁이 급증할 가능성도 있다. 결국 금감원의 분쟁조정을 통해 세부적인 배상 지침이 마련될 것이라는 전망도 나온다.

금감원은 "은행들은 보다 강화된 FDS 구축·운영 등 사고 예방노력을 기울일 동기부여가 됨으로써 궁극적으로 비대면 금융사고 발생을 줄이는 효과를 발휘하게 될 것"이라며 "다만, 이용자가 휴대전화에 신분증 사진이나 비밀번호를 저장해 금융사고로 이어지는 경우 피해구제가 제약될 수 있다는 점을 유의해 주기 바란다"고 밝혔다.

이번 협약에 참여한 은행은 19곳(국민, 신한, 우리, 하나, SC제일, 씨티, 농협, 수협, 기업, 산업, 대구, 경남, 부산, 광주, 전북, 제주, 카카오뱅크, 케이뱅크, 토스뱅크) 이며, 이날 우정사업본부도 비대면 금융사고 예방을 위한 업무협약을 체결했다. 따라서 내년 1월부터 발생하는 우체국 관련 보이스피싱 등에 대해서도 배상이 가능해진다.

[관련기사]
▶ '보이스피싱 피해' 은행에 책임 물린다