파밍은 악성코드에 의하여 발생되는 전자금융사기이다. 클릭 한 번으로 이용자 PC에 들어온 악성코드는 금융정보를 조용하게 탈취하여 범인에게 넘겨주고, 범인은 이를 이용하여 이용자 모르게 거액의 돈을 빼내간다.

포털 검색이나 브라우저의 바로가기를 통하여 이용자를 가짜사이트에 유도한 다음, 보안카드 번호 전부를 입력하는 것이 파밍의 전형적인 모습이었다.

인터넷하지만 최근에 나온 파밍, 이른바 메모리 해킹은 가짜사이트가 아닌 정상사이트에서 이용자의 금융정보를 털어가고 있다. 정상적인 은행사이트에서 보안카드 번호 2개를 정상적으로 입력하면 악성코드에 의하여 이용자의 PC는 멈춘다. 이후 범인이 다른 곳에서 이용자 계좌로 다시 로그인하여 접근하면 PC가 멈출 당시의 보안카드 번호 2개가 그대로 반복되므로, 범인은 이 점을 이용하여 쉽게 금융사기를 저지르고 있다.

하지만 이것도 올드한 것이 되고 있다. 정상사이트에서 이용자가 입력한 송금계좌, 송금액을 그 짧은 시간에 범인이 변조하여, 범인이 원하는 계좌에 범인이 원하는 금액을 보내는 수법이 등장하였다.

파밍기법은 이렇게 나날이 진화하고 있는데, 반면 나날이 늘어만 가는 피해자에 대한 구제는 뒤로 후퇴하고 있다.

국회는 최근 올해 11월 23일부터 시행될 예정인 개정 전자금융거래법 제9조를 통과시키면서 명확하게 파밍 사고에 대한 피해에 대하여도 원칙적으로 금융기관이 법적 책임을 부담하도록 의결하였다. 다만 예외적으로 이용자의 고의ㆍ중과실이 있는 경우에는 금융기관이 면책될 수 있다.

개정된 법의 취지에 따르면, 파밍사고에 대하여 금융기관은 이용자의 고의ㆍ중과실이 없는 한, 무조건 법적 책임을 떠안아야 한다. 하지만 최근 정부는 『전자금융거래법 시행령』 제8조 제3호를 신설ㆍ입법예고하여 금융회사의 면책범위를 정하고 있는데, ‘보안강화를 위하여 전자금융거래 시 요구하는 본인확인절차를 이용자가 정당한 이유 없이 거부하여 사고가 발생한 경우’에는 금융회사의 책임을 면할 수 있다고 규정하고 있다.

시행령의 의미를 달리 표현하면, 금융기관이 제공하는 보안 프로그램을 따르지 않았다면 설사 금융사고가 발생하였더라도 금융기관은 법적 책임을 지지 않는다는 것이다. 이 시행령 조문의 적용범위는 광범위하면서 모호하고, 금융기관의 면책범위는 지나치게 넓다. 이 시행령이 그대로 적용되면, 앞으로 파밍사고에 대하여 금융기관이 책임질 일이 없어질 것이다.

법의 취지는 금융기관의 원칙적 책임부담인데, 시행령의 취지는 금융기관의 원칙적 면책이다. 금융선진국의 경우 사고발생 사실을 일정한 기간 안에 통지만 해 주면 소송 없이 이용자가 면책되는데 비하여, 우리나라 이용자는 힘든 소송을 해서 구제를 받아야 하는데, 소송을 해도 보상받을 가능성이 극히 적어지게 된다. 법치국가인데 법률 안에서 시행령을 만들어야 하지 않을까?

* 법무법인 민후 김경환 대표변호사 작성, 아시아투데이(2013. 9. 26.), 디지털데일리(2013. 9. 27.), 리걸인사이트(16. 2. 24) 기고.