누가 처음 퍼트렸는지 모르겠지만, “미국은 사고거래 책임을 고객이 지고, 한국은 은행이 진다”라는 터무니 없는 소문이 돌고 있습니다. 국내 보안업계 종사자분들 중에는 이말을 끝없이 퍼나르는 분들이 계시고, 심지어는 KISA나 정부부처의 담당 공무원까지도 이런 근거 없는 주장을 되풀이하고 있습니다. 기술인력이 법률을 모른다고 나무랄 일은 아니지만, 정부 공무원이 확인도 안하고 이런 헛소문을 퍼나르는 것은 책임있는 자세가 아닙니다.
사실은 이렇습니다.
- 한국 : 금융회사가 배상 (전자금융거래법 제9조)
- 단, 개인고객의 고의, 중과실을 금융회사가 입증하면 고객 부담
- 미국 : 금융회사가 배상 (EFTA; 15 U.S.C. § 1693g(a))
- 접근매체(신용카드 그 자체, 또는 OTP생성기 등)이 유출/분실되었음을 고객이 “알고나서 이틀 내에 신고하면” 그 사이에 아무리 많이 사고거래가 이루어졌더라도 50 달러만 고객부담. 고객 과실여부 불문.
- 신용카드 그 자체가 아니라 ‘신용카드 번호’를 공격자가 알아내서 거래한 경우, 고객이 해당 거래사실을 통보 받은 날(거래명세서를 배달받은 날)로부터 60일 내에 이의 제기하면, 고객 부담은 0달러. 고객 과실여부 불문.
- 문제의 거래내역을 통지받고 60일이 지나도록 고객이 문제 제기를 안하면, 고객 부담액 증가.
- 영국: 금융회사가 배상 (Financial Conduct Authority 규정)
- Your bank may only refuse a refund for an unauthorised transaction if it can prove you are at fault because you acted fraudulently, or because you deliberately, or with gross negligence, failed to protect the details of your card, PIN or password in a way that allowed the transaction.
- 고객이 허락하지 않은 거래에 대하여 금융회사는 고객이 기망적으로 행동했거나, 고의 또는 중대한 과실로 카드정보, 계좌비밀번호, 온라인 계정암호 등을 보호하지 않아서 그 결과로 그런 거래가 발생했다는 점을 입증하지 못하면 고객에게 전액 환불해야 함
전자금융 사고거래 책임을 개인고객에게 지우겠다는 발상은 어느 나라도 채택하지 않습니다. 거래 솔루션이나 기술을 개인고객이 선택한 것도 아니고, 사고의 책임을 고객에게 지우면 은행은 보안에 투자할 이유가 없습니다.
규제 당국의 올바른 자세는, “금융회사들은 각자 알아서 보안기술을 선택해라. 단, 사고가 나면 철저히 물어줘야 한다” 입니다. 이건 상식입니다.
금융위/금감원이 금융회사에게 특정 보안기술(공인인증서)을 사용하도록 강제할거면, 사고거래 책임도 그 기술을 사용하라고 강요한 금융위/금감원 해당 공무원이 지는 것이 옳지 않겠습니까? 배상해 주지도 않을거면서, 보안기술에 개입해서 이래라 저래라 강요하는 금융위/금감원은 무책임한 권력을 마구 휘두르고 있을 뿐입니다.
KISA는 더 황당한 이야기도 퍼나르고 있어요. “인터넷뱅킹 사고금액은 미국이 한국보다 약 290 배”(2009년)라는 주장입니다. 그게 사실이면 어째서 이런 ‘획기적인’ 공인인증서 기술을 미국 업계나 학계에 가서 자랑스럽게 발표하지도 않고, 한국 보안기술을 미국에 수출하지도 않는지 궁금하기 짝이 없지요.
금감원은 1년에 전자금융거래 사고가 “2건”(2006년), “14건”(2009년)이라고 국회에 보고하기도 했습니다. 한마디로 이성을 잃은 분들이라고 밖에는…
무언가 말못할 이해관계가 걸려있지 않고서야, 이런 황당한 주장을 내세울 수 있을까요? 한두번도 아니고.