사회적관심 판례
- 제목
-
[임시비밀번호 정식비밀번호]영업점 직원이 고객의 이용자ID와 임시비밀번호를 이용하여 정식비밀번호를 등록하였다면, 이와 같은 스마트뱅킹 이용 전의 정보처리업무가 전자금융거래법 상 전자금융거래에 해당하는지 여부, 전자금융거래에 해당한다면 개인정보보호법과 전자금융거래법의 관계는 어떻게 되는지 여부, 임시비밀번호를 이용하여 정식비밀번호를 등록하도록 스마트뱅킹 시스템을 운영한 경우「전자금융거래법」 제21조 제2항, 「전자금융감독규정」 제37조의 적용 대상인지 여
- 작성일
- 2021.02.20
- 첨부파일0
- 조회수
- 225
[임시비밀번호 정식비밀번호]영업점 직원이 고객의 이용자ID와 임시비밀번호를 이용하여 정식비밀번호를 등록하였다면, 이와 같은 스마트뱅킹 이용 전의 정보처리업무가 전자금융거래법 상 전자금융거래에 해당하는지 여부, 전자금융거래에 해당한다면 개인정보보호법과 전자금융거래법의 관계는 어떻게 되는지 여부, 임시비밀번호를 이용하여 정식비밀번호를 등록하도록 스마트뱅킹 시스템을 운영한 경우「전자금융거래법」 제21조 제2항, 「전자금융감독규정」 제37조의 적용 대상인지 여부 및 전자금융거래의 종류·성격· 위험수준 등을 고려한 안전한 인증방법에 해당하는 것인지 여부
질의요지
통상적으로 은행 영업점을 이용하여 스마트뱅킹을 신청할 경우 창구에 비치된 핀패
드를 이용하여 고객이 직접 임시비밀번호를 등록하고, 이후 전자적 장치를 통해 고
객이 설정한 이용자ID와 임시비밀번호를 입력하는 과정을 거쳐 스마트뱅킹 정
식 비밀번호를 지정하도록 함
* 해당 스마트 뱅킹 시스템에서는 이용자 ID 및 임시비밀번호 입력시에는 최초 비밀번호등
록 화면으로 이동하여 비밀번호의 등록절차까지만 진행될 뿐, 해당 시스템을 통한 고객정보
의 조회 등을 위해서는 등록한 최초 비밀번호를 이용하여 별도의 로그인 절차를 거쳐야할 뿐만아니라, 송금·이체 등을 위해서는 공인인증서 ARS 등 추가인증이 필요
만약 이러한 과정에서 영업점 직원이 고객의 이용자ID와 임시비밀번호를 이용하
여 정식비밀번호를 등록하였다면,
1) 이와 같은 스마트뱅킹 이용 전의 정보처리업무가 전자금융거래법 상 전자금융
거래에 해당하는지 여부
2) 전자금융거래에 해당한다면 개인정보보호법과 전자금융거래법의 관계는 어떻게
되는지 여부
3) 「전자금융거래법」 제21조의4에서 정한 접근권한을 가지지 않은 자에 의한 전
자금융거래에 이용되는 전자금융기반시설에 접근하는 행위에 해당하는지 여부
4) 임시비밀번호를 이용하여 정식비밀번호를 등록하도록 스마트뱅킹 시스템을 운영
한 경우「전자금융거래법」 제21조 제2항, 「전자금융감독규정」 제37조의 적용 대상인지 여부 및 전자금융거래의 종류·성격· 위험수준 등을 고려한 안전한 인증방법에 해당하
는 것인지 여부
회답
□ 첫째, "전자금융거래"란 금융회사 등의 자금의 융통, 송금·자금이체 등 지급거
래, 그 밖에 전자적 장치를 통해 이루어지는 '금융상품'의 제공 자체에 한정되
는 개념이라기 보다는, 금융상품의 제공 과정에서 수반되거나 밀접한 관련
을 가지고 이용자에게 제공되는 '서비스'로서 개인정보·신용정보·전자금융거래
기록 등을 비롯한 일체의 '정보 처리'를 포함하는 법개념으로 해석됩니다.
ㅇ 스마트뱅킹 이용 전 정보처리업무도 금융상품의 제공 과정에서 수반되거나 이
에 밀접한 관련을 가지고 있으므로, 「전자금융거래법」 상 전자금융거래에 해
당한다고 볼 수 있습니다.
□ 둘째,「전자금융거래법」은 다른 법률에 특별한 규정이 있는 경우를 제외하
고는 원칙적으로 모든 전자금융거래에 적용되므로(법 제3조제1항), 금융회사등
의 전자금융업무로서 개인신용정보에 해당하지 아니하는 개인정보의 처리 및
보호에 대해서도 일반법인 「개인정보보호법」에 우선하여 금융 분야의 사이
버보안에 관한 특별법으로서 「전자금융거래법」이 우선 적용됩니다.
□ 셋째, 최초 비밀번호를 등록하기 위한 정보처리시스템도 "전자금융기반시설"에 해
당할 뿐만 아니라, 은행의 영업점 직원 등이 해당 시스템을 통해 임시 비밀번호
를 이용하여 최초 비밀번호를 등록하였으므로 특별한 사정이 없는 한「전자
금융거래법」제21조의4제1호에서 정하는 "전자금융기반시설에 접근"하는 행
위에 해당합니다.
ㅇ 앞서 밝힌 바와 같이 “전자금융기반시설”의 개념요소로서 전자금융거래에
는 금융상품의 제공 뿐만 아니라 그에 수반되거나 밀접한 관련을 가지고 제
공되는 서비스로서 일체의 정보처리업무가 포함되므로, 전자금융기반시설
또한 자금의 융통, 송금·자금이체 등 금융상품의 제공업무에 관한 정보처리
시스템 부분에 한정되지 아니하고, 그에 수반되거나 밀접한 관련이 있는 정보
를 처리하는 시스템 부분도 포함되기 때문입니다.
ㅇ 고객은 은행과 그 영업점에서 스마트뱅킹 서비스를 이용하기로 하는 전자금
융거래계약(법 제2조제7호 참조)을 체결하였고, 그 전자금융거래계약에 따라 은
행으로부터 부여받은 이용자ID와 고객이 영업점에서 직접 등록한 임시비밀
번호를 통해 최초 비밀번호를 등록하는 행위를 하였다면, 비록 그 정보처리시스템
부분에서는 송금·이체 등 금융상품의 제공업무가 이루어지지 않는다고 할지라
도 최초 비밀번호 등록행위를 통해 스마트뱅킹 서비스라는 '금융상품의 제공업
무에 수반되거나 밀접한 관련이 있는 정보를 처리하는 시스템'으로서 "전자금
융기반시설에 접근"하는 행위가 있었다고 평가할 수 있습니다.
□ 끝으로, 귀하께서 질의하신 행위가「전자금융거래법」제21조의4제1호에서
정하는 '데이터의 조작' 등에 의한 전자적 침해사고 등에 해당하는지 및 은
행 영업점 직원의 이러한 행위에 대해 시스템적인 통제가 이루어지지 아니
한 해당 은행 및 관련 임직원들이 같은 법 제21조제2항 등에 따른 안전성
확보의무 등을 위반한 것으로 볼 수 있는지 등에 대해서는 보다 구체적인
사실관계를 확인해야 할 필요가 있다고 판단됩니다.
이유
1. 「전자금융거래법」에 따른 ‘전자금융거래’의 의미
□ "전자금융거래“란 금융회사 또는 전자금융업자가 i)전자적 장치를 통하여 ⅱ)
금융상품 및 서비스를 제공(이하"전자금융업무")하고, ⅲ)이용자가 금융회사 또는 전
자금융업자의 종사자와 직접 대면하거나 의사소통을 하지 아니하고 자동화된
방식으로 이를 이용하는 거래를 말합니다(「전자금융거래법」제2조제1호). 이 경우, 질
의하신 해당 스마트뱅킹 시스템이 전자금융거래의 개념중 ⅰ)·ⅲ)의 개념요소
를 포함하고 있음은 명백하지만 그 시스템에서 ⅱ)의 '금융상품 및 서비스의 제공'
이 이루어지는지 여부는 추가로 살펴 보아야 합니다.
ㅇ 「전자금융거래법」에서는 전자적 장치를 통한 '금융상품 및 서비스의 제공',
즉 전자금융업무에 대해서는 별도로 개념을 정하고 있지는 아니합니다. 그
런데, '금융상품 및 서비스’에 대해서는 자금의 융통과 관계된 상품 또는 서
비스를 제공하는 경우에 국한하지 않고, 금융회사 등이 제공하는 금융 관련상
품 및 서비스 일반을 의미한다고 보아 인터넷을 통한 신용정보, 자산보유또
는 거래내역 조회 서비스 제공도 전자금융업무에 해당한다고 보는 실무해석
관행이 확인됩니다(금융감독원, ‘전자금융감독규정해설’, 2017년참조). 이러한 실무 해
석 관행이 일반적·보편적인 법해석으로 나아가기 위해서는 "문언의 통상적인
의미에 충실하는 것을 원칙으로 하고, 나아가 법률의 입법취지와 목적, 그
제·개정 연혁, 법질서 전체와의 조화, 다른 법령과의 관계등을 고려하는 체계
적·논리적 해석 방법을 추가적으로 동원"할 필요가 있습니다. (대법원2009.4.23.
선고, 2006다81035 판결 등 참조)
ㅇ 먼저, "금융상품"에 관한 다른 법령과의 관계를 살펴보면, 「금융소비자보호
법(2021.9월 시행 예정)」에 따른 "금융상품"이란, 「은행법」에 따른 예금 및 대
출, 「자본시장법」에 따른 금융투자상품, 「보험업법」에 따른 보험상품등을
의미하고,「자본시장법」에 따른 "금융투자상품"이란 이익을 얻거나 손실을
회피할 목적으로 현재 또는 장래 특정시점에 금전, 그밖의 재산적 가치가 있
는 것을 지급하기로 약정함으로써 취득하는 ‘계약상의 권리’를 말하며, 「보
험업법」도 보험상품을 위험보장을 목적으로 우연한 사건발생에관하여 금전
및 그밖의 급여를 지급할 것을 약정하고 대가를 수수하는 '계약'으로 정의하는
점 등에 비추어 볼 때 금융상품의 통상적 의미에는 계약이라는 개념요소를
포함하고 있음을 확인할 수 있습니다.
ㅇ 한편, 금융상품의 계약적 요소 등으로 인해 대부분의 전자금융업무 처리
과정에는 그 계약당사자를 확인하는 과정을 거치게 됩니다. 특히, 금융회사
등과 이용자 간에 비대면, 자동화된 방식으로 이루어지는 전자금융거래의
특성 상, 계약당사자의 진실성과 정확성을 확인하는 절차도 전자적으로 이
루어 질 수 밖에 없습니다. 이는 「전자금융거래법」에서 전자금융거래에 있
어서 거래지시를 하거나 이용자 및 거래내용의 진실성과 정확성을 확보하
기 위하여 사용되는 수단 또는 정보로서 "접근매체"에 대해 별도의 규율을
두고 있는 점(법 제2조제10호) 등에서도 확인됩니다. 이와 같이, 전자금융업무
에는 계약당사자의 확정 등을 위한 개인정보, 거래내역 등에 관한 신용정보,
거래지시 등에 관한 전자금융거래기록 등 다양한 정보 처리가 필수적으로 수반
된다고 할 수 있습니다.
ㅇ 따라서, 스마트뱅킹 이용 전 정보처리업무 역시 금융상품의 제공 과정에서 수반되
거나 이에 밀접한 관련을 가지고 있으므로, 「전자금융거래법」 상 전자금융거래
에 해당한다고 볼 수 있습니다.
2. '전자금융거래'에 있어「개인정보보호법」과 「전자금융거래법」의 관계
□ 그런데, "전자금융거래"의 법률관계를 명확히 하여 전자금융거래의 안전성과
신뢰성을 확보"(법 제1조)하는 것을 입법목적으로 하는 「전자금융거래법」의 취
지상, 전자금융업무에 이용되는 정보처리시스템 및 그 시스템에서 보유·처리
되는 정보의 기밀성·무결성·가용성을 보장하고 그 안전성을 확보하기 위한
금융보안(Cyber security: 유럽연합 일반정보보호법 제32조 등 참조)에 관한 체계가 마련될
필요가 있습니다.
ㅇ 이를 위해, 「전자금융거래법」에서는 전자금융거래가 안전하게 처리될
수 있도록 '선량한 관리자로서의 주의'를 다할 의무를 금융회사 등에 부과함
과 동시에 이러한 선관주의 의무를 구체화하는 차원에서 전자적 전송이나
처리를 위한 인력, 시설, 전자적 장치, 정보기술부문, 전자금융업무 등에
관하여 금융위원회에서 정하는 기준(「전자금융 감독규정」)을 준수하도록
하는 내용의 안전성 확보의무를 금융회사 등에 부과하고 있으며(법 제21조제
1항 및 제2항), 금융회사등으로 하여금 전자금융업무 및 그 기반이 되는 정보
기술부문 보안을 총괄하여 책임질 정보보호최고책임자를 지정(법 제22조) 하도
록 하는 등 금융보안에 대해 체계적으로 규율하고 있습니다.
□ 따라서, 「전자금융거래법」의 입법취지와 목적, 다른 법령과의 관계 등을
종합적으로 고려할 때, 같은 법에 따른 "전자금융거래"란 금융회사 등의 자
금의 융통, 송금·자금이체 등 지급거래, 그 밖에 전자적 장치를 통해 이루
어지는 '금융상품'의 제공 자체에 한정되는 개념이라기 보다는, 금융상품의
제공 과정에서 수반되거나 밀접한 관련을 가지고 이용자에게 제공되는 '서비스
'로서 개인정보·신용정보·전자금융거래기록 등을 비롯한 일체의 '정보 처
리'를 포함하는 법개념으로 해석됩니다.ㅇ 참고로, 「전자금융거래법」은 다른 법률에 특별한 규정이 있는 경우를 제외
하고는 원칙적으로 모든 전자금융거래에 적용되므로(법 제3조제1항), 금융회
사등의 전자금융업무로서 개인신용정보에 해당하지 아니하는 개인정보의
처리 및 보호에 대해서도 일반법인 「개인정보보호법」에 우선하여 금융 분야의
사이버보안에 관한 특별법으로서 「전자금융거래법」이 우선 적용됩니다(행
정안전부·금융위원회·금융감독원, '금융분야 개인정보보호 가이드', 2017년 참조). 예를 들어,「전자금융거래법」은 「개인정보보호법」과 관련한 다수의 특칙 규정(제21의4
제1호, 제26조 등)을 두고 있는바, 일정한 사실관계 하에서 「전자금융거래
법」에 따른 특칙 규정의 적용·포섭이 문제되는 경우에는 일반법인 「개인
정보보호법」의 해당 규정(제59조제3호, 제18조제1항 등)은 적용되지 아니합니다.
ㅇ 이는 「전자금융거래법」은 금융회사 및 그 임직원이 전자금융업무의 처리
과정에서 수시로 이용자의 개인정보를 비롯한 다양한 정보를 처리한다는
현실을 전제로 하고 있기 때문입니다. 특히, 금융회사등과 고객 간에 비대
면의 자동화된 방식으로 이루어지는 전자금융업무의 특성상, 개인정보 처
리 업무에도 고도의 자율성·독립성을 부여받고 있는 금융회사등으로 하여
금 그 정보 처리의 안전성ㆍ신뢰성을 사전에 확보토록 할 필요가 있습니다.
이에 따라, 「전자금융거래법」은 금융회사등에 강력한 접근권한 통제, 직
무분리 등 전자금융거래의 안전성 확보장치를 마련하도록 하고(법 제21조제2
항), 이러한 안전성 확보 의무를 위반한 금융회사등에 대해서는 그 임직원에
대한 신분제재 및 과태료를 부과하고 있는 등(법 제39조제6항, 제51조제1항제1호)
「개인정보보호법」과 별도로 금융보안에 관한 특별한 규율체계를 채택하
고 있는 점 등에서도 확인됩니다.
3. '전자금융기반시설'에 접근 하는 행위에 해당하는지 여부
□ 우선, "전자금융기반시설"이란 전자금융거래에 이용되는 정보처리시스템 및
「정보통신망이용촉진및정보보호등에관한법률」제2조제1항제1호에 따른 정보
통신망을 말합니다. (「전자금융거래법」제2조제21호)
ㅇ 이 경우, 해당 스마트뱅킹 시스템 중 최초 비밀번호를 등록하는 절차를 구
현하는 부분도 '정보처리시스템'에 해당하는 것은 분명하지만, 해당 시스템 부
분까지만 접근하는 것으로는 송금·이체 등을 할 수 없으므로 '전자금융거
래'에 이용되는 정보처리시스템, 즉 전자금융기반시설에 접근한 것으로 평가
할 수는 없지 않은가 라는 의문이 제기될 수 있습니다. 이러한 의문을 해소
하기 위해서는「전자금융거래법」에 따른 "전자금융거래"의 의미를 먼저
확인하여야 합니다.
□ 위에서 살펴본 바와 같이, 전자금융기반시설의 개념요소로서 전자금융거래에
는 금융상품의 제공뿐만 아니라 그에 수반되거나 밀접한 관련을 가지고 제
공되는 서비스로서 일체의 정보 처리 업무가 포함되므로, 전자금융기반시설
또한 자금의 융통, 송금·자금이체 등 금융상품의 제공 업무에 관한 정보처
리시스템 부분에 한정되지 아니하고, 그에 수반되거나 밀접한 관련이 있는
정보를 처리하는 시스템 부분도 포함된다고 해석됩니다.
ㅇ 질의하신 사실관계만으로 판단한다면, 고객은 은행과 그 영업점에서 스마트
뱅킹 서비스를 이용하기로 하는 전자금융거래계약(법 제2조제7호 참조)을 체결하
였고, 그 전자금융거래계약에 따라 은행으로부터 부여받은 이용자ID 와 고
객이 영업점에서 직접 등록한 임시 비밀번호를 통해 최초 비밀번호를 등록
할 수 있도록 하는 정보처리시스템에 고객의 이용자ID 와 임시비밀번호를
알게 된 은행의 영업점 직원이 이를 이용 하여 최초 비밀번호를 등록하는 행
위를 하였다면, 비록 그 정보처리시스템 부분에서는 송금·이체 등 금융상품
의 제공 업무가 이루어지지 않는다고 할지라도 최초 비밀번호의 등록 행위를
통해 스마트뱅킹 서비스라는 '금융상품의 제공 업무에 수반되거나 밀접한
관련이 있는 정보를 처리하는 시스템'으로서 "전자금융기반시설에 접근"하
는 행위가 있었다고 평가할 수 있습니다.
4. 「전자금융거래법」상 안전성 확보의무 위반 등 관련
□ 다만, 질의하신 행위가 「전자금융거래법」제21조의4제1호에서 정하는 '
데이터의 조작' 등에 의한 전자적 침해사고 등에 해당하는지 및 은행의 영
업점 직원의 이러한 행위에 대해 시스템적인 통제가 이루어지지 아니한 해
당 은행 및 관련 임직원들이 같은 법 제21조제2항 등에 따른 안전성 확보 의
무 등을 위반한 것으로 볼 수 있는지 등에 대해서는 보다 구체적인 사실관
계를 확인할 필요가 있다고 판단됩니다.
출처 2020 법령해석회신문사례집, 금융위원회
http://insclaim.co.kr/21/8635659
[심신미약 심신상실 자살보험금 보상사례 ]심신미약이나 심신상실은 우울증 , 조현병 ,불면증 , 공황장애 , 스트레스 , 음주 , 수면제 , 마약 , 본드 등 극도의 흥분상태에 자살한 경우 자살보험금으로 재해사망이나 상해사망보험금 보상사례
게시물수정
게시물 수정을 위해 비밀번호를 입력해주세요.
댓글삭제게시물삭제
게시물 삭제를 위해 비밀번호를 입력해주세요.