접근매체를 이용하는 전자금융사기의 범위에 관한 소고

• Published in: 법학연구 Vol. 31; no. 2; pp. 45 - 99
• Main Author: 김동민(Dong-Min Kim)
• Format: Journal Article
• Language: Korean
• Published: 충남대학교 법학연구소 01.05.2020; 법학연구소
• Subjects: 법학; phishing; 전자금융거래법; 위조와 변조; access device; 공인인증서의 재발급; Article 9 of the EFTA; forgery and falsification; 접근매체; 피싱; 스미싱; Electronic financial fraud; memory hacking; reissuance of an accredited certificate; pharming; 일회용 비밀번호; 파밍; 메모리해킹; single-use password; smishing; 전자금융사기
• ISSN: 1229-2699; 2671-8553
• DOI: 10.33982/clr.2020.05.31.2.45

전자금융거래는 온라인에서의 비대면거래라는 특성상 이용자 본인 확인 및 거래지시의 진정성도 전자적 장치를 통해 자동화된 방식으로 이루어져서 오프라인에서의 대면거래에 비하여 상대적으로 금융사기에 취약하므로, 이러한 맹점을 악용하는 각종 사기범죄에 쉽게 노출되고 있다. 그리하여 피싱이나 파밍, 스미싱이나 메모리 해킹 등의 수법으로 피해자의 금융정보를 취득한 후 이를 이용하여 금융기관 시스템에 접속하여 피해자의 금원을 편취하는 소위 ‘전자금융사기’에 제대로 대응하지 못하는 문제가 발생하고 있다. 하지만 전자금융거래법 제2조에 규정된 접근매체의 범위, 동법 제9조에 열거된 전자금융사기 등의 개념과 범위에 관하여 명확한 해석이 이루어지지 않아서, 접근매체를 이용한 전자금융사기의 범위를 제대로 확정하지 못하는 문제가 발생하고 있다. 따라서 접근매체가 아닌 금융정보를 이용한 금융사기가 동법 제9조 제3호에 해당하는지, 그리고 ‘피싱’이나 ‘파밍’ 등의 수법으로 공인인증서를 재발급 받는 금융사기를 동법 제9조 제1호에 포섭시킬 수 있는지 등에 관한 논의가 필요하다. 구체적으로 ‘보이스피싱’은 전기통신금융사기에 해당하여 ‘피싱’이나 ‘파밍’ 사기와 구별되는데도 불구하고 이를 혼용하여 사용하고 있는 문제가 있으며, 접근매체에 해당하지 않는 1회용 비밀번호 등을 접근매체에 해당하는 것으로 해석하여 동법 제9조 제1항의 전자금융사기 범주에 포함시키는 등의 오류를 범하고 있다. 그리하여 본 논문에서는 ⅰ) 전자금융거래법 제9조 제1항이 적용되는 “전자금융사기의 개념”을 정의한 이후, 사기범이 취득하는 금융정보에 접근매체가 포함되는지의 여부에 따른 전자금융사기의 유형과 범위를 살펴보고, ⅱ) 동법 제2조 제10호에서 규정하고 있는 “접근매체의 개념”을 명확하게 정리한 후에, 동법상 접근매체에 해당하지 않은 금융정보를 이용한 금융사기가 동법 제9조 제1항에 해당할 수 있는지 등을 고찰하며, ⅲ) 사기범이 탈취한 보안카드나 OTP 단말기 등의 “일회용 비밀번호”가 동법 제2조 제10호의 접근매체에 포함되어 이를 노출하는 행위가 동법 시행령 제8조 제2호의 접근매체의 노출에 해당하여 피해자에게 중과실이 인정될 수 있는지 등에 관하여 살펴보면서, 이와 관련된 대법원과 하급심 판례의 입장을 분석하고 그 문제점과 해결방안을 제시하였다. Recently, 'electronic financial fraud' is frequently occurring in which criminals who have obtained the victim's financial information through phishing, pharming, smishing, and memory hacking use this financial information to access the banking system to obtain the victim's money, and the problem that damages to these crimes cannot be properly restored has become a social issue. So this paper deals with three subjects related to electronic financial fraud prescribed in Article 9 of the Electronic Financial Transactions Act (EFTA). The first subject is the concept and scope of ‘electronic financial fraud’ to which Article 9 (1) of the EFTA applies. Therefore electronic financial fraud can be distinguished a phishing or farming that acquires 'information other than the access device' and smishing or memory hacking that acquires the 'access device' depending on whether or not an access device is included in the financial information acquired by the criminal. The second subject is interpretation of the 'access device' stipulated in Article 2 (10) of the EFTA, and the content and scope of electronic financial fraud by means of access device. However, since EFTA restricts the number of access device, there is a limitation that it cannot include access device newly introduced by new technologies, and there may be legislative gaps that do not govern new types of access device. Therefore, the concept of access device must be reorganized using terms that are collectively referred to. The third subject is whether a ‘single-use password' of security card or OTP terminal is included in the access device of Article 2 (10) in the EFTA, and the act of exposing a single-use password exposes an access device of Article 8 (2) of the Enforcement Decree of the EFTA. Since the single-use password is not an access device, the act of acquiring the victim's money by a method of entering the number on the bank's website after the criminal acquires the number does not fall under the electronic financial fraud in Article 9 (1) of EFTA. KCI Citation Count: 1