개인정보 도용 금융사고가 발생했을 때 현행 전자금융거래법(이하 전금법)에 법적 근거가 미비한 것으로 나타났다. 해커 등 제 3자에게 개인정보가 도용돼 부정결제가 이뤄지는 사례가 늘어나고 있지만 법적 사각지대는 여전하다. 현행 법을 보강해야 현장의 혼란을 줄일 수 있다는 지적이다.
24일 업계에 따르면 현행 전금법 사각지대가 부각되고 있다. 이용자 개인정보가 도용돼 부정결제가 이뤄진 경우 전자금융업자와 이용자 간 책임 범위를 규정한 조항은 현행법에 존재하지 않기 때문이다.
실제 개인 카드번호와 계좌번호, 주민번호 등 개인정보가 도용된 부정결제 사례가 끊이지 않고 있다. 부정결제가 일어난 서비스까지 덩달아 곤욕을 치루는 모양새다. 최근 벌어진 토스와 카카오뱅크 부정결제를 사례로 들 수 있다.
전금법 제9조는 전자금융업자 책임을 명시했다. 금융사고로 이용자 손해가 발생하면 손해를 배상하도록 정의했다. 배상 범위에는 △접근매체의 위·변조 △계약체결 또는 거래시 전자 전송이나 처리 과정에서 발생한 사고 △전자적 장치 또는 정보통신망에 침입해 부정한 방법으로 획득한 접근매체 이용이 포함됐다. 공인인증서, 생체정보, 비밀번호 등 접근매체 변질, 서비스 내부 오류, 전자금융업자 데이터베이스 해킹 상황을 상정했다.
토스와 카카오뱅크 부정결제 사고는 현행 법에서 사각지대에 놓여있는 사례로 꼽힌다. 이용자 개인정보가 금융사 데이터베이스가 아닌 외부 경로를 통해 유출된 것으로 추정되기 때문이다. 개인정보 탈취로 벌어진 부정결제에 대해선 책임 소재가 불명확하다. 피해자 보상은 전자금융업자의 사내 규정과 선의에 기댈 수밖에 없는 상황이다.
법적 책임이 명확하지 않을 경우 유사한 부정결제 사고가 발생할 때마다 논란을 키울 공산이 크다. 블랙컨슈머가 법망 허점을 악용할 수 있다는 우려마저 나온다. 전자금융업자 차원에선 이상금융거래탐지시스템(FDS) 강화와 배상 정책 정비, 당국은 법적 근거를 마련해 업계 혼란을 줄여야 한다는 지적이다.
업계 고위 관계자는 “해외 개인정보 도용 사고사례를 살펴보면 금융사의 배상액이 상당했다. 업계가 자율적으로 내부 정책을 수립, 적극 보상을 실시하기 때문”이라며 “현행 법에선 개인정보 도용으로 부정결제가 발생해도 책임을 가릴 근거가 부족하다. 전자금융업자 선의에 기댈 수밖에 없는 측면이 있다”고 말했다.
김승주 고려대 정보보호대학원 교수는 “9조 2항의 이용자 중대 과실 기준을 이용자 친화적으로 개선해야 한다. 금융사고에서 소비자는 약자이기 때문”이라며 “법 기준에만 맞추려는 국내 업계 풍토도 개선해야 한다. 해외 기업처럼 합리적 수준에서 고객 피해를 보존하는 적극적 내부 정책을 갖춰야 한다”고 설명했다.
금융위는 현재 전금법 개정을 추진하는 만큼 검토 가능성을 내비쳤다.
금융위 관계자는 “전금법 개선과제에 대해서는 연내 개정을 목표로 하위 법령을 정비하고 있다”면서 “법망 허점을 최소화하기 위해 다각적 검토할 것”이라고 말했다.
【표】전자금융거래법 제 9조
이영호기자 youngtiger@etnews.com, 김지혜기자 jihye@etnews.com