[국민청원] 스미싱 통한 비씨카드 부정결제 피해 구제 청원 부탁드립니다

최근 금감원을 통해서 민원처리를 요청하였으나 카드사 입장을 대변하기만 합니다.

아래 글은 최근 저희 아버지가 입은 피해 사례입니다.

법과 약관을 어기고 있는
금융기관 제재를 금융위에 요청합니다.
https://www1.president.go.kr/petitions/Temp/desvNq

========================================
해당 사건은 저희 아버지가 피해를 입으신 사건입니다.

1. 3월 7일 ~ 8일 새벽, 휴대폰으로 웹서핑을 하시다가 주무심

2. 3월 8일 : 알람을 설정하고 소리를 키워놓고 잤으나 무음으로 바꿔져 있었음 (이 떄만 해도 단순 오류라 생각하며 이 당시 스미싱이 발생한 것으로 추정)

3. 농협 및 농협카드에서 부정결제 추정된다고 연락이 와 해당 카드 및 계좌 정지

4. 며칠 후 신한은행 통장에서 잔고가 부족하다고 하여 확인하니 체크카드 결제로 인한 잔고부족이 발견됨

5. 이 당시 카드가 비씨신한카드가 부정사용됨을 확인하고 해당 계좌 정지 및 카드 정지 후 경찰에 신고

비씨카드사와 확인 후 파악된 사항을 정리하면 아래와 같습니다.

3월 8일 새벽에 아버지의 휴대폰을 스미싱한 것으로 추정되며 택배 관련 문자를 클릭한 것이 아닐까 싶습니다.

(아버지 폰으로 단체문자 발송 사이트에 가입도 하고 아버지 폰으로 다른 사람들한테 택배 문자 보낸 내역도 확인을 했기 때문에 아버지도 동일하게 당한 것이 아닐까 싶습니다)

이후 범인은 폰을 무음으로 설정하고 아버지 휴대폰을 뒤져 개인정보를 취득한 것으로 보이며 이를 통해 카드 비밀번호를 추론한 것으로 보입니다 (앞 2자만 확인)

또한 아버지 폰을 통해서 문자인증을 하였으며 이는 스미싱을 통해 가능합니다.

문자인증은 "본인인증"을 위하여 사용되었고

범인은 이후 페이북(비씨카드 결제앱)에 가입하게 됩니다.

그리고 나서 아이디/패스워드를 만든 후 위메프에는 또다른 도용된 개인정보를 활용(아버지가 아님)하여 상품권을 구매한 것으로 확인됩니다.

(4개의 아이피에서 가입을 시도한 흔적 발견)

그런데 문제는 아이디와 패스워드로 로그인을 하게 되면 "본인인증"한 가입자의 카드번호는 기입하지 않아도 나타나게 된다고 브이피(페이북) 담당자의 전언이 있습니다.

보통 카드앱을 통해서 카드 결제를 최초로 시도할 경우, 카드번호를 전부 기입하고 뒤에 cvc번호까지 기입해야 되는데...

페이북은 그렇지 않았던 것입니다. 카드번호는 자동으로 뜨고 카드 비밀번호 앞 두자리만 알면 결제가 된다고 합니다.

그렇게 범인은 위메프에서 24건의 결제 시도 (21건 성공, 3건 실패)를 통해 상품권 구매하였습니다.

각 84만 3천원 씩 결제하였고

총 16백만원 가량 피해입니다.

해당 사건의 문제점은

문제점 1) 약관 및 법률에 의하여 금융소비자는 보호받지 못함

아래의 약관과 법률이 분명히 있으나 카드사는 책임을 회피하고 있습니다.

전자금융거래법 제9조 2항

제9조(금융회사 또는 전자금융업자의 책임) ①금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다. <개정 2013. 5. 22.>

1. 접근매체의 위조나 변조로 발생한 사고

2. 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고

3. 전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고

②제1항의 규정에 불구하고 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 경우에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다. <개정 2013. 5. 22.>

1. 사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우

2. 법인(「중소기업기본법」제2조제2항에 의한 소기업을 제외한다)인 이용자에게 손해가 발생한 경우로 금융회사 또는 전자금융업자가 사고를 방지하기 위하여 보안절차를 수립하고 이를 철저히 준수하는 등 합리적으로 요구되는 충분한 주의의무를 다한 경우

③제2항제1호의 규정에 따른 이용자의 고의나 중대한 과실은 대통령령이 정하는 범위 안에서 전자금융거래에 관한 약관(이하 "약관"이라 한다)에 기재된 것에 한한다.

④금융회사 또는 전자금융업자는 제1항의 규정에 따른 책임을 이행하기 위하여 금융위원회가 정하는 기준에 따라 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다. <개정 2008. 2. 29., 2013. 5. 22.>

전자금융거래 표준기본약관 15조 2항

제15조 (손해배상 및 면책)
1.① 비씨카드는 이용자로부터 접근매체의 분실이나 도난의 통지를 받은 후에 제3자가 그 접근매체를 사용하여 이용자에게 손해가 발생한 경우 그 손해를 배상합니다.
2.② 비씨카드는 다음 각 호의 사고로 인하여 이용자에게 손해가 발생한 경우 그 손해를 배상합니다.1.1. 접근매체의 위조나 변조로 발생한 사고
2.2. 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고
3.3. 전자금융거래를 위한 전자적 장치 또는「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조 제1항 제1호에 따른 비씨카드의 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고

3.③ 제2항의 규정에도 불구하고 비씨카드는 이용자가 고의 또는 중과실로 다음 각 호의 행위를 하였음을 증명하는 경우 이용자에게 손해가 생기더라도 책임의 전부 또는 일부를 지지 아니합니다.1.1. 이용자가 접근매체를 제3자에게 대여하거나 사용을 위임한 경우 또는 양도나 담보의 목적으로 제공한 경우(「전자금융거래법」제18조에 따라 선불전자지급수단이나 전자화폐를 양도하거나 담보로 제공한 경우를 제외합니다.)
2.2. 제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 이용자가 자신의 접근매체를 누설 또는 노출하거나 방치한 경우
3.3. 비씨카드가 접근매체를 통하여 이용자의 신원, 권한 및 거래지시의 내용 등을 확인하는 것 외에 보안강화를 위하여 전자금융거래시 사전에 요구하는 추가적인 보안조치를 이용자가 정당한 사유 없이 거부하여 사고가 발생한 경우
4.4. 이용자가 제3호에 따른 추가적인 보안조치에 사용되는 매체·수단 또는 정보에 대하여 다음 각 목의 어느 하나에 해당하는 행위를 하여 사고가 발생한 경우1.가. 누설·노출 또는 방치한 행위
2.나. 제3자에게 대여하거나 그 사용을 위임한 행위 또는 양도나 담보의 목적으로 제공한 행위

5.5. 법인(「중소기업기본법」제2조 제2항에 의한 소기업을 제외합니다.)인 이용자에게 손해가 발생한 경우로 비씨카드가 사고를 방지하기 위하여 보안절차를 수립하고 이를 철저히 준수하는 등 합리적으로 요구되는 충분한 주의의무를 다한 경우

문제점 2) 페이북 사용은 너무 용이함이 확인

위에 언급했듯이 cvc번호도 최초로 기입하지 않고도 카드가 사용할 수 있단 점은 카드 실물이 아예 존재하지 않아도 된단 점입니다. 상당히 위험하고 개인정보 노출이 용이한 현재 카드 도용결제가 수이 발생할 수 있다고 봅니다.

그렇기 떄문에 법률과 약관으로 소비자를 보호하기 위해 금융사들에게 보안 강화를 요구하고 있는 것입니다.

문제점 3) 동일 금액이 24번이나 결제시도가 되는데 BC신한카드사 FSD팀이 파악을 못함. 반면 농협카드 및 은행에서는 파악하여 전화연락을 준 것과 대비

카드를 평소와 달리 큰 금액을 사용해보시면 카드사에게 연락이 옵니다. 이상거래가 아닐까 싶어서요. 그런데 24번이나 동일 금액을 결제하는데 이를 이상거래로 여기지 않는다면 어떤 거래를 이상거래로 여길까요?

카드사들은 소비자가 쉽게 결제를 하게 만들었으나

그로 인한 사고 가능성은 증대에도 보안에는 관심이 없습니다.

저희 아버지 사례와 같이 스미싱 사례에도 피해보상이 발생하여야만 카드사는 보안에 신경을 보다 쓸 것입니다.

더구나 BC카드사는 케이뱅크 대주주가 되려는 시도도 하고 있는데

이 정도 보안을 유지하고도 케이뱅크 대주주가 되는 것을 용인하실 수 있을까요?

많은 관심과 도움 부탁드립니다.

그리고 힘을 합쳐서 피해구제를 위해 노력하였으면 합니다