전자금융거래 사고의 책임 - 접근매체 위조, 변조의 의미
Liability for Unauthorized Online Financial Transactions:the meaning of “forged or falsified means of access"
김기창(고려대학교)
17권 3호, 145~174쪽
초록
전자금융거래법 제2조는 “접근매체”라는 개념을 매우 제한적으로 나열하면서, 현재 알려진 몇가지 보안 기술만을 임의로 선별하여 제시하고 있다. 동법 제9조는 “접근매체의 위조나 변조”, “계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서발생한 사고”, “전자적 장치 또는 정보통신망에 대한 침입” 등 기술적으로 상세한 ‘요건 사실’을 피해자인 원고가 주장하고 입증하도록 하고 있다. 현재의 법문에 따르면일회용 비밀번호는 “접근매체”에 포함되지 않는 것으로 보일 뿐 아니라, 최근에 나온몇개의 하급심 판례는 공격자가 피해자로부터 부정한 방법으로 입수한 정보를 사용하여 공인인증서를 재발급 받은 경우, 이를 접근매체의 위조나 변조에 해당하는 것으로 볼 것인지도 분명하지 않은 점이 있다. 그 뿐 아니라, 접근매체의 위조나 변조로발생한 손해도 결국에는 “계약체결 과정에서 발생한 사고거래”라고 파악될 여지도있는데, “접근매체의 위조나 변조”를 굳이 별도의 요건 사실로 특정한 점도 선뜻 납득이 가지 않는다. 무엇보다도 피해자 자신이 승인한 바도 없고, 이해하지도 못하는 방법으로 이루어진 사고거래에 대하여 피해자가 그 기술적 내막을 소상히 가려내어 그거래가 “접근매체의 위조나 변조”로 인한 것인지, “계약 체결과정에서 발생한 사고거래”인지, “거래지시의 전송이나 처리과정에서 발생한 것”인지, “전자적 장치나 정보통신망에 대한 침입”으로 발생한 것인지 등을 가려내어 주장, 입증하도록 피해자에게부담을 지우는 현행법의 태도는 피해자에 대한 구제를 이유없이 어렵게 만들고 있을뿐 아니라, 기술 전문지식이 없는 피해자에게 구조적으로 불리하게 되어 있다. 미국이나 영국의 입법례를 참조하여, 복잡한 기술적 요건 사실을 제한적으로 나열해둔 현행규정을 삭제하고, “이용자가 허락하지 않은 전자금융거래로 인하여 이용자에게 손해가 발생한 경우”라는 기술 중립적 규정으로 개정하는 것이 바람직할 것이다.
Abstract
In order to be compensated for an unauthorised electronic financial transaction, the plaintiff is required, under Article 9 of the Electronic Financial Transaction Act (“EFTA”), to allege and prove that the transaction in question was due to “forged or altered means of access”, “accident in the course of conclusion of contract or transmission of processing of transaction instructions”, or “intrusion attacks to electronic devices or network”. For some unaccountable reasons, the Act defines “means of access” in a very restrictive manner. According to the current definition, One-Time Password device is not included in the “means of access”. Several cases recently decided by lower courts also show that it is not clear whether transactions effected by means of a fraudulently secured digital certificate (by applying for ‘re-issue’ of the victim’s digital certificate using certain credentials fraudulently obtained from the victim) are covered by Article 9 of EFTA. It is difficult to understand why fraudulent transactions due to “forged or altered means of access” are singled out and separately stipulated when they are, after all, transactions which are due to “accident in the course of conclusion of contract”. Most of all, since the current provision is requiring the victim of fraudulent transactions to allege and prove whether the transaction was due to “forged or altered means of access”, “accident in the course of conclusion of contract”, or “intrusion attacks to electronic devices or network”, it forces the victim to find out the accurate technical details of the transaction which he/she did not authorise and does not understand. Such a provision makes it unnecessarily difficult for a victim to seek redress of a fraudulent transaction. The provision is putting an unjust burden on the victim considering that it is the bank which is in a position to understand the technical details of the transaction in question. The paper proposes that, reflecting the comparable statutory provisions in the US or the UK, the current Korean EFTA Article 9 must be reformed to use a non-technical expression such as “unauthorised electronic transaction”. It is sufficient to require the financial institutions to compensate the victim “in the event a user sustains loss caused by unauthorised electronic transaction”. No useful purpose is served by enumerating technical details of possible attacks in a statutory provision and requiring the victim to prove them.
- 발행기관:
- 한국정보법학회
- 분류:
- 법학