배재현(45) 전 카카오 투자총괄대표 계좌 해킹 사건은 2023년 SM 엔터테인먼트 시세 조종 혐의로 그가 법정 구속돼 외부와의 소통이 단절된 직후 발생했다는 점에서, 고도화된 타겟형 범죄의 전형으로 관심이 집중됐었다.
이 해킹 조직은 사전에 유출된 개인 정보를 기반으로 위조 신분증과 무단 개통된 알뜰폰을 사용해 , 미래에셋증권 홈트레이딩시스템(HTS)에 불법적으로 접속했다. 이들은 ID 찾기 및 비밀번호 재발급 절차를 거쳐 , 당시 배재현 전 대표의 계좌에 있던 주식(약 39억 3천만 원)을 전량 매도하고 현금(약 37억 3천만 원)을 합쳐 총 76억 6천만 원을 확보했다. 이후 빼낸 자금은 배 전 대표 명의의 다른 금융사 계좌(삼성증권, 케이뱅크)로 이체됐고, 최종적으로 미회수된 손실액은 15억 8천만 원으로 집계됐다.
이후 양측은 1년여간의 긴 협상을 벌였으나 당사자들은 피해 산정 기준과 책임 범위에 대한 이견을 좁히지 못하고 끝내 소송전에 돌입했다.
<핵심 법리 논쟁 1>
110억 원 (특별손해냐) vs. 15.8억 원 (통상손해냐)
이 사건에서 피해액 산정의 극단적인 차이(110억 원 vs 15억 8천만 원)는 손해배상액 산정의 법적 기준, 즉 민법 제393조의 손해 범위 해석에 대한 충돌에서 비롯된다.
배재현 전 대표 측이 주장하는 110억 원은 해킹 조직이 강제로 매각한 주식을 계속 보유했을 경우 현재 시가를 기준으로 평가한 금액이다. 이는 실제 매도된 금액이 아닌, 주식 보유를 통한 투자 기회 상실에 대한 손해를 청구하는 것으로, 법리적으로 민법상 특별손해에 해당한다.
특별손해는 채무자(여기서는 미래에셋증권)가 그 손해 발생의 특별한 사정을 알았거나 알 수 있었을 때에 한하여 배상 책임이 인정된다는 엄격한 요건을 요구한다. 미래에셋증권이 해킹 발생 시점에 해당 주식이 미래에 급등하여 110억 원이 될 것을 예견했거나 예견할 수 있었다고 입증하기는 사실상 불가능하다.
그러나 미래에셋증권 측의 주장은 해킹으로 유출된 총액 76억 6천만 원 중 최종적으로 회수되지 못한 15억 8천만 원만이 손해배상의 범위라고 반박한다. 이는 해킹이라는 불법행위와 상당한 인과관계가 있는 직접적이고 일반적인 손해, 즉 통상손해의 최소 기준으로 해석된다.
과거 국내 법원은 증권사 전산 장애로 인해 투자자가 주식 매도 기회를 상실한 사건에서, 투자자가 주장하는 최고가나 최고 지수를 기준으로 손해를 인정하지 않고 , 전산 장애가 없었을 경우 실제 체결 가능했던 평균 가격을 기준으로 보상액을 산정하는 보수적인 경향을 보여왔다. 이러한 판례를 미루어 볼 때는, 배재현 전 대표 측의 110억 원 주장은 법원에서 특별손해 요건 불충족으로 배척될 가능성이 매우 높으며, 법원은 15억 8천만 원을 중심으로 통상손해 범위를 확정할 가능성이 클 것으로 일부 법률전문가들은 예측하고 있다.
<핵심 법리 논쟁 2>
전자금융거래법(EFTA) 엄격 책임과 금융사의 면책 주장
이 소송의 승패를 가르는 두 번째 핵심 축은 전자금융거래법(EFTA) 제9조 제1항의 금융사 책임 원칙 적용 여부이다.
EFTA 제9조 제1항은 금융회사의 엄격 책임을 규정하며, 특히 다음과 같은 사고로 이용자에게 손해가 발생한 경우 금융사가 책임을 져야 한다고 명시한다.
접근매체의 위조나 변조로 발생한 사고 (제1호) : 위조 신분증을 이용한 계좌 접근 및 알뜰폰 무단 개통이 여기에 해당한다.
정보통신망에 침입하여 부정한 방법으로 획득한 접근매체 이용 사고 (제3호) : 해킹 조직이 개인 정보를 이용해 HTS에 접속한 일련의 과정이 해당한다.
따라서 원고 측은 위변조된 수단이 사고의 직접적인 원인이 된 만큼, 미래에셋증권이 이용자의 고의나 중과실이 없는 한 손해를 전액 배상해야 한다는 법적 논리를 견지하고 있다.
이에 맞서 미래에셋증권은 회사의 책임이 제한적이라는 세 가지 핵심 방어 논리를 펼치고 있다.
3단계 인증 통과: 해킹 조직이 휴대폰 본인 인증, 정부 시스템을 통한 신분증 진위 확인, 1원 입금 등 모든 필수 3단계 인증 절차를 정상적으로 통과했기 때문에, 시스템 결함으로 볼 수 없다는 주장이다.
동일 명의 계좌 이체: 유출된 자금이 곧바로 타인 명의로 빠져나간 것이 아니라, 배재현 전 대표 본인 명의의 타 금융사 계좌로 이체된 후 최종 유출되었기에, 미래에셋증권이 직접적인 손해를 끼쳤다고 보기 어렵다는 논리이다.
합리적 주의의무 이행: EFTA 제9조 제2항에 따라 법인 이용자의 경우 금융사가 사고 방지를 위해 합리적으로 요구되는 충분한 주의의무를 다했을 때 책임을 면할 수 있다고 주장한다. (다만 원고가 개인인 점이 변수다).
법인 이용자의 경우에는 금융사가 주의의무를 다했는지를 객관적이고 합리적인 기준으로 평가하기 용이하며, 법인의 행위나 관리 책임이 조직적이고 체계적이라는 점에서 금융사가 충실한 주의의무 이행을 입증하면 책임 면책이 상대적으로 명확해진다.
그러나 원고가 개인인 경우에는 개인의 주의력, 지식 수준, 주의 범위 등이 법인과 달라 금융사의 주의의무 이행만으로 책임 면제 여부를 판단하기 어렵다. 즉, 개인은 법인과 달리 금융 거래에 관한 정보력과 위험 인지 능력에 차이가 크고, 금융사는 개인의 특수한 사정이나 이해관계를 좀 더 세밀하게 고려해야 할 필요가 있다.
이 때문에 금융사가 충분한 주의의무를 다했음을 입증하더라도, 개인 원고의 입장에서는 금융사가 그 개인의 특수 상황이나 주의 능력을 충분히 감안하지 않았다는 점을 근거로 책임을 면하기 어려운 변수가 된다는 뜻이다. 결국, 법인과 개인 사이의 주의의무 이행과 책임 판단의 기준과 적용 범위 차이가 '변수'로 작용하는 것입니다.
특히 미래에셋증권의 방어 논리는 형식적인 절차 준수에 초점을 맞추고 있으나, EFTA 제9조 제1항의 '엄격 책임 구조'를 회피하기는 어려울 전망이다. 비록 정부 시스템을 거쳤다 하더라도, 해킹 조직이 사용한 위조 신분증에 육안상으로도 주소지나 직인 등의 결함이 있었다는 점 은 증권사가 합리적인 주의 의무를 다하지 못했다는 방증 자료로 작용할 수 있다. 배재현 전 대표가 법정 구속이라는 특수 상황에 있던 고객 계좌에서 대규모 주식 일괄 매도 후 이체 한도 상향 등의 명백한 이상 징후가 포착되었어야 함에도, 시스템이 이를 걸러내지 못했다는 것은 금융사의 보안 관리 소홀로 해석될 여지가 높다. 또 법원은 자금 유출의 시발점이 된 접근매체 위변조를 통한 시스템 침입 과정을 중시할 것으로 보인. 타 계좌 이체는 범죄 조직의 자금 세탁 '매개 단계'에 불과하며, 만약 미래에셋증권이 이상 거래를 초기에 막았더라면 손해는 발생하지 않았을 것이라는 상당 인과관계가 인정될 가능성이 높다.
더구나 1차 이체를 받은 삼성증권이 일부 금액 인출 시도에서 이상 거래를 감지하고 계좌를 동결했다는 사실 은 미래에셋증권의 초기 대응 부실에 대한 강력한 반증이 될 수 있다.
법원은 EFTA 제9조 제1항에 따라 미래에셋증권의 손해배상 책임을 인정할 가능성이 매우 높다. 이용자(배재현 전 대표)가 구속 중이었다는 특수한 상황 때문에 금융사 측이 면책 요건인 이용자의 고의나 중대한 과실을 입증하기는 사실상 불가능하다.
배상액의 예측은 통상손해인 15억 8천만 원을 중심으로 이루어질 것이며, 미래에셋증권의 보안 실패 정도와 인과관계를 종합적으로 고려하여 법원이 책임 비율(과실 상계)을 결정하게 된다. 금융사 측의 과실이 높게 인정될 경우 미회수액 전액에 대한 배상 책임이 부과될 수 있다.
Copyright ⓒ 저스트 이코노믹스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
