결제 사기(Payment fraud)에 대한 주요국 정책 및 시사점 – 금융회사 책임을 중심으로 > News Insight

최근 해외에서는 이용자에 의해 승인되지 않은 결제사기뿐만 아니라 이용자가 직접 승인한 결제 사기에 대해서도 금융회사에게 책임을 부과하는 제도들이 마련되고 있음. 우리나라의 경우 아직 논의가 미미한데, 디지털 기술의 발달로 사기 기술도 고도화되면서 이용자가 개별적으로 사기에 대응하기 어려운 가운데 사기를 당할 경우 이용자가 받는 충격이 너무 크다는 점, 금융회사의 보다 적극적인 대응을 유인할 수 있다는 점, 피해자의 사기 보고를 유인하여 사기 관련 통계 및 사기 방식 등을 보다 명확히 파악할 수 있다는 점 등을 고려하여 결제사기에 대한 금융회사의 책임을 강화하는 논의를 진행할 필요가 있을 것임.

■ 최근 디지털 금융의 발달과 함께 금융사기가 증가하면서 주요국들의 대응이 강화되고 있는데 특히 해외에서는 이용자에 의해 승인되지 않은 결제사기뿐만 아니라 이용자가 직접 승인한 결제 사기에 대해서도 금융회사에게 책임을 부과하는 제도들이 마련되고 있음.  

  -   최근 이용자를 속여서 정보를 확보한 후 확보한 정보로 자금을 이체해 가는 것뿐만 아니라 이용자가 자금을 직접 이체하도록 속이는 사기들도 증가하면서 주요국들은 이에 대한 대응 수위를 높이고 있음.  

  -    경찰청 자료에 따르면 우리나라의 경우에도 기관사칭 및 대출빙자형 전화금융사기가 2024년 1∼9월 중 14,646건이 발생하였고 피해액은 5,174억원에 달하는 것으로 집계된 바 있음.1)

■ 이용자가 승인하지 않은 결제의 경우 주요국에서는 이용자의 고의나 중과실 등이 입증되지 않는다면 이용자는 일정 금액 한도 이내에서만 책임을 지되 손실은 사업자가 부담하도록 규정하고 있고, 대체로 입증책임을 사업자에게 부과하고 있음. 

  -   미국은 적시(2영업일 이내)에 통지한 경우 최대 $50, 적시는 아니나 60일 이내 통지한 경우 최대 $500 한도에서 이용자가 책임을 지도록 규정하고 있음.  

  -   영국과 EU는 이용자의 고의나 중과실이 없는 상황에서 13개월 이내에 승인하지 않은 결제를 알고 즉시 통지하면 최대 ￡35 또는 EUR 50 한도에서 이용자가 책임을 지도록 규정하고 있음.  

   * 수취인의 결제서비스사업자가 강화된 고객 인증을 수행하지 않은 경우에는 수취인의 결제서비스사업자로 하여금 지급인의 결제서비스사업자 손실을 책임지도록 규정하고 있음.  

  -    호주도 이용자가 손실에 기여하였음을 사업자가 입증하여야 하며, 그렇지 않은 경우 최대 AUD 150 한도에서 이용자가 책임을 지도록 규정하고 있음.  

  -    한편, 싱가포르는 이용자의 부주의함(recklessness)에 의한 손실을 사업자가 입증한 경우 이용자가 책임을 지며, 만약 사업자나 이용자 모두가 의무를 다하였음에도 불구하고 제3자가 개입하여 발생한 손실에 대해서는 이용자에게 SGD 1,000 한도로 책임을 면제해 줌.  

   * 부주의한 행동의 예시: 제3자의 접근이 쉽도록 액세스 코드를 저장하거나 의도적으로 양도한 경우, 금융회사의 알림이나 경고를 무시한 경우, 합리적인 근거 없이 제3자의 지시에 따라 계좌를 개설한 경우 등 

  -   특히 싱가포르의 경우 공공기관, 금융회사 및 합법적인 기업체 등을 사칭하면서 디지털 메시지로 이용자의 정보를 획득하여 발생한 승인하지 않은 거래에 대해서는 통신사에게도 이를 방지할 의무를 부여하고 의무를 다하지 않은 경우 금융사와 함께 손실을 분담하도록 규정함.  

■ 나아가 최근 이용자가 직접 승인한 결제의 경우까지 금융회사의 책임이 확대되고 있는데, 먼저 영국의 경우 직접 승인한 결제에서 발생한 사기에 대해서도 이용자의 고의나 중과실이 입증되지 않는다면 금융회사가 ￡85,000 한도 내에서 책임을 지도록 제도화함. 

  -  수표나 현금 인출, 기업간 대량 결제 등에 대한 결제시스템은 제외하고 은행간 지급결제시스템인 CHAPS 및 신속결제서비스를 이용하는 개인, 소규모 기업, 자선단체를 대상으로 적용함.  

  -  특히 영국의 경우 다른 기관이나 개인 등을 사칭하여 이용자가 의도하던 수취인과는 다른 수취인에게 자금을 지급한 경우뿐만 아니라 로맨스 스캠(scam: 신용사기) 등 수취인이 이용자를 속여서 자금을 이체시키도록 유인한 경우도 광범위하게 배상을 하도록 함.  

  -  배상시 지급인의 결제서비스사업자와 수취인의 결제서비스사업자가 손실을 50:50으로 부담하는 것을 원칙으로 함.  

■ EU는 2023년부터 논의 중인 Payment service directive 개정안에 공공기관 금융회사 및 합법적인 기업체 등을 사칭한 사기로 인해 이용자가 승인한 결제 거래에 대해서 이용자의 고의나 중과실이 입증되지 않는다면 금융회사가 책임을 지는 방안을 포함시킴.

  -   결제서비스사업자뿐만 아니라 전자 통신 서비스 제공자에게도 결제서비스사업자와 긴밀히 협력하고, 통신의 보안과 기밀성을 보호하기 위한 적절한 조직적, 기술적 조치를 마련하여 신속하게 조치할 의무를 부여하고 이를 이행하지 않은 경우 결제서비스사업자의 손실을 부담하도록 명시함. 

■ 호주의 경우 디지털 서비스 관련 스캠에 대한 예방과 대응을 위해 Scams Prevention Framework Act(SPF)를 제정하였는데 여기서는 금융회사뿐만 아니라 통신업체, 소셜미디어기업을 포괄하여 원칙 기반의 의무를 부과한 후 이를 준수하지 않을 경우 상당한 금전적 제재를 부과하기로 함.  

  -   올해 초 제정된 SPF에서는 관련 기업들에게 거버넌스, 예방, 탐지, 보고, 차단, 대응에 대한 합리적인 조치를 하도록 의무를 부과함.  

  -   이 중 예방, 탐지, 차단, 대응 관련 조항을 위반한 경우에는 AUD 5천만, 직간접으로 얻은 이익의 3배, 위반기간 동안 해당 법인의 조정된 매출액의 30% 중에서 최대치를 부과하기로 함.  

  -   그리고 거버넌스, 보고 관련 조항을 위반한 경우에는 AUD 1천만, 직간접으로 얻은 이익의 3배, 위반기간 동안 해당 법인의 조정된 매출액의 10% 중에서 최대치를 부과하기로 함.  

■    미국의 경우 대형은행들이 소유주로 있는 대표적인 P2P 결제 서비스 제공업자인 Zelle이 자율적으로 일정한 조건의 결제 사기에 대해서 손실을 부담하고 있지만 해당 조건의 구체적인 기준은 범죄자들에게 정보를 제공할 수 없다는 이유로 제시하지 않고 있음.  

  -   CFPB는 Zelle의 결제방식이 사기에 취약하다는 점을 이유로 Zelle을 소유한 대형은행들을 상대로 소송을 제기한 바 있으나 트럼프 행정부 출범 이후 소송을 취하하였음.  

■    우리나라는 현재 제도적으로 전자금융거래법과 통신사기환급법에서 매우 제한적으로 금융회사에 책임을 부과하고 있으며, 2024년부터 은행권에서 이용자가 승인하지 않은 결제에 대하여 자율적으로 손실을 부담하기 시작하였지만 이마저도 매우 저조한 상태임.  

  -   전자금융거래법은 접근매체 위변조, 전송 및 처리과정에서의 사고, 해킹 등에 의한 경우 금융회사가 손해를 책임을 질 수 있게 규정하고 있으나, 이 경우에도 이용자의 고의나 중과실이 있는 경우뿐만 아니라 금융회사가 충분한 주의의무를 다한 경우 책임의 전부 또는 일부를 이용자에게 부담시킬 수 있도록 규정하고 있음. 

  -   통신사기피해환급법에서는 대출 또는 예적부금 해지시 본인확인조치를 하지 않은 경우에 한하여 손해를 책임지게 규정하고 있음.  

  -   은행 자율배상에서는 이용자 과실과 은행의 소비자 예방 노력을 모두 고려하여 배상비율을 정하는 것으로 알려져 있는데 미디어2) 에 따르면 2024.1월부터 2025.2월까지 14개월 동안 5대은행의 총 배상 건수는 10건 정도인 것으로 파악되고 있음. 

■    디지털 기술의 발달로 이용자가 개별적으로 조심하여 결제사기를 피하기에는 한계가 있음을 감안할 때 우리나라에서도 금융회사의 책임을 보다 적극적으로 이끌어내고 이용자의 피해를 보호하기 위한 논의를 진행할 필요가 있을 것임. 

  - 금융회사에게 책임을 부과하는 것은 디지털 기술의 발달로 사기 기술도 고도화되면서 이용자가 개별적으로 사기에 대응하기 어려운 가운데 사기를 당할 경우 이용자가 받는 충격이 너무 크다는 점, 금융회사의 보다 적극적인 대응을 유인할 수 있다는 점, 피해자의 사기 보고를 유인하여 사기관련 통계 및 사기 방식 등을 보다 명확히 파악할 수 있다는 점 등의 장점이 있음을 고려할 필요가 있음. <KIF>

-----------------------------------------------------------------------------------------------------------------------------------------

1) 경찰청 (2024.10.24.), “기관사칭형 전화금융사기, 60대 여성을 노린다”, 보도자료. 

2) 조선일보 (2025.3.12.), “5대 은행, 보이스피싱 피해 2만건 중 자율배상 단 10건”, https://www.chosun.com/economy/money/2025/ 03/12/VEP6DWY56BQUJAKIYXUD477NBM/.

​