핀테크 서비스 토스에서 최근 부정결제 사건이 발생했다. 해당 사건은 2020년 6월 3일 3곳의 온라인 가맹점에 누군가가 로그인한 후 8명의 고객(피해자) 명의로 충전된 토스머니를 전자결제한 사실이 언론을 통해 알려졌다. 정확한 사실관계는 수사가 이루어져야 밝혀질 수 있을 것으로 보인다. 언론 내용이나 토스 측 주장을 근거로 사실관계를 정리해 보면 아래와 같다.
사실관계, 피해자 8명으로부터 938만원의 부정결제 사고 발생
피해자가 아닌 제3자가 피해자 정보를 입력해 간편결제를 했다. 이 때 제3자가 입력한 피해자 정보는 이름, 전화번호, 생년월일, 토스 비밀번호(PIN번호)다. 간편결제 과정에서 몇 번의 입력 오류가 발생했다. 앱 결제가 아닌 웹 결제 방식으로 간편결제가 이뤄졌다.
이후 피해자 4명으로부터 민원이 접수됐고 추가 4명은 토스의 자체 조사로 부정결제 사실을 발견했다. 6월 4일 토스는 부정결제한 금액 938만원을 전액 환급해 주었다.
제3자가 간편결제를 한 곳 중 하나가 게임회사인 블리자드다. 경찰은 6월 11일 블리자드를 압수수색해 결제내역과 결제한 회원정보, 접속 IP기록 등을 취득했다.
토스 측은 자신의 서버에 토스 비밀번호를 보유하지 않고 그 해쉬값만 보유하고 있기 때문에 토스 서버가 해킹당했다고 하더라도 토스 비밀번호를 알 수는 없다고 주장했다.
관련 법률을 살펴보자. 이 사건에서 토스의 법적 지위는 전자금융업자다. 그중 선불전자지급수단 발행업자 또는 전자지급결제대행업자다. 전자금융업자 책임은 전자금융거래법 제9조가 우선 적용된다. 전자금융거래법 제9조에 의하면 원칙적으로 전자금융업자가 1차적으로 책임을 진다. 다만 이용자의 중대한 과실이 있는 등은 예외로 한다. 책임의 일부 또는 전부를 이용자에게 넘길 수 있는 셈이다.
법적분석, 토스의 책임과 사용자의 책임
우선 전자서명법이 문제될 수 있다. 이번 건은 진정명의자(피해자)가 아닌 제3자가 사설 전자서명 방법으로 간편결제를 지시했다. 전자서명 법적 효력이 있는지 문제가 될 수 있다.
이 사건에서 토스가 사용한 전자서명 방식은 공인전자서명 또는 공인인증서 방식이 아니다. 간편결제 취지에 부합하는 간이전자서명이다. 즉, 공인전자서명에 적용되는 서명의 진정성이나 전자문서 내용의 진정성이 추정되지 않는다. 토스가 사설 전자서명을 사용한 만큼 그 전자서명 진정성은 토스가 입증해야 한다는 의미다.
피해자들은 자신이 결제를 한 적이 없다고 주장한다. 다시 말하면 피해자들이 전자서명을 하지 않고 제3자가 전자서명을 했다는 것이다. 이렇게 피해자들이 전자서명의 진정성을 부인하고 있다면, 전자서명의 진정성을 원칙적으로 토스 측이 입증을 해야 한다. 이것이 공인전자서명(공인인증서 방식)과 사설 전자서명이 다른 점이다.
그럼 토스는 어떻게 전자서명 진정성을 입증할 수 있을까? 토스는 비밀번호를 피해자가 잘못 관리했다고 주장을 할 수 있을 것으로 보인다. 하지만 이번 사건은 8명의 피해자가 동시에 발생했다. 이런 점에서는 토스의 주장이 신빙성을 얻기는 쉽지 않아 보인다.
만일 토스 측이 자발적 보상을 해주지 않았다고 가정하자. 피해자들이 소송을 해서 피해금액을 보상받으려면, 전자금융거래법 제9조에 근거해 법적 소송을 해야 할 것이다. 전자금융거래법 제9조를 주장하려면 우선 동조 제1항에서 예정하는 3가지 사유에 해당함을 주장해야 한다. 사실관계가 밝혀지지 않은 본 사안에서 어느 사유에 해당하는지는 명확하게 정할 수는 없어 보인다.
피해자들이 전자금융거래법 제9조를 주장하는 경우, 토스 측은 이용자가 토스비밀번호 등을 잘못 관리해 사고로 이어졌다고 주장하거나 합리적인 보안의무를 다했다고 주장해 책임을 일부 또는 전부 면할 수는 있다.
이 외에 피해자들이 주장할 수 있는 조문으로는 민법 제470조 채권의 준점유자의 변제다. 피해자들은 자신의 예금을 토스머니로 충전해 뒀는데, 이 토스머니가 피해자들 의사에 반하여 결제되었으므로, 진정한 채권자가 아닌 준점유자에 대한 변제에 해당한다고 주장할 수 있다. 이 경우 토스 측은 가맹점에서의 결제를 변제로 볼 수 없다는 주장을 할 수 있을 것으로 보인다.
향후 간편결제나 간편송금 등으로 인한 사고는 점점 늘어날 것으로 보인다. 특히 공인전자서명 제도가 폐기된 점을 감안할 때 기존 전자금융사고가 전자금융거래법 제9조에 관한 다툼에 머물렀다면 앞으로는 전자서명의 효력 중심으로 다툼의 중심이 번질 가능성이 커 보인다. 간편결제나 간편송금 등이 이용자의 편의성을 증진시켜 기업의 수익을 올릴 수 있는 근간이 되지만 경우에 따라서는 허술한 전자서명 때문에 손실의 근간이 될 수 있다는 점을 감안해야 한다.
* 법무법인 민후 김경환 변호사 작성, 블로그(2020. 6. 14.), IT조선(2020. 6. 16.) 기고.