§
목록으로 돌아가기
소비자보호

온라인 사기 및 피싱 – 법적 보호 방법

온라인 사기 및 피싱에 대한 법적 대응 수단: 형법 관련 규정, 손해배상, 은행 책임 및 고소 절차에 대해 안내합니다.

D

Dr. Nagy Ildikó

서론

온라인 사기와 피싱 공격은 점점 더 정교해지고 있으며, 매년 증가하는 헝가리 시민들이 피해를 입고 있습니다. 국가 사이버 보안 연구소 자료에 따르면, 2025년 보고된 사이버 사건 수는 3만 건을 넘었으며, 이 중 상당수가 피해자에게 재정적 손실을 초래했습니다. 본 글은 온라인 사기에 대한 법적 대응 수단을 형사법적 책임부터 민사상 손해배상까지 종합적으로 안내합니다.

온라인 사기의 형법적 판단

형법상 사기 구성요건

2012년 제C호 형법(Btk.) 제373조는 사기의 구성요건을 규정하고 있습니다. 이에 따르면, 부당한 이득을 취할 목적으로 타인을 기망하거나 착오에 빠뜨려 손해를 야기하는 자는 사기죄를 범합니다. 온라인 사기는 전통적 사기 구성요건이 인터넷 환경에서 실현되는 형태입니다.

사기의 가중 유형 중 온라인 환경에서 특히 관련되는 것:

  • 상당한 손해를 야기하는 사기 (250,001 HUF – 5,000,000 HUF): 1년에서 5년까지의 자유형
  • 특히 큰 손해를 야기하는 사기 (5,000,001 HUF – 50,000,000 HUF): 2년에서 8년까지의 자유형
  • 특히 중대한 손해를 야기하는 사기 (50,000,000 HUF 초과): 5년에서 10년까지의 자유형

정보 시스템을 이용한 사기

Btk. 제375조정보 시스템을 이용하여 행해지는 사기를 특별 구성요건으로 규정하고 있습니다. 이 구성요건에 따르면, 부당한 이득을 취할 목적으로 정보 시스템에 데이터를 입력하거나, 해당 데이터를 변경·삭제하거나, 데이터 접근을 차단하여 정보 시스템의 작동에 영향을 미쳐 손해를 야기하는 자는 처벌받습니다.

이 구성요건은 일반적으로 다음과 같은 행위를 포함합니다:

  • 위조 웹사이트(피싱 사이트) 제작
  • 은행 시스템에 대한 무단 접근
  • 금융 데이터 탈취를 위한 악성 소프트웨어(말웨어) 유포
  • 온라인 거래 중 “중간자 공격”(Man-in-the-middle) 유형의 공격

불법 데이터 수집

Btk. 제422조불법 데이터 수집 구성요건 역시 피싱 공격과 관련하여 빈번하게 성립됩니다. 개인정보를 무단으로 취득하거나 사용하는 자는 경범죄로 2년 이하의 자유형에 처합니다. 이 구성요건은 가해자가 피해자의 개인정보(로그인 정보, 은행 카드 정보)를 피싱으로 취득하는 경우에 특히 관련됩니다.

피싱의 법적 성격

피싱의 개념 및 유형

피싱(데이터 낚시)은 사회공학(social engineering)에 기반한 공격 형태로, 가해자가 신뢰할 수 있는 기관(일반적으로 은행, 공공기관 또는 유명 서비스 제공자)을 사칭하여 피해자의 기밀 정보(사용자명, 비밀번호, 은행 카드 정보)를 제공하도록 유도하는 것입니다.

피싱의 가장 일반적인 유형:

  1. 이메일 피싱: 가짜 은행 또는 서비스 제공자 안내 형태의 대량 이메일 발송
  2. 스피어 피싱: 특정 개인이나 조직을 겨냥한 맞춤형 표적 공격
  3. 스미싱: 가짜 택배 배송 또는 은행 알림이 포함된 SMS 기반 피싱
  4. 비싱: 전화를 통해 피해자의 기밀 정보를 탈취하려는 전화 피싱
  5. 파밍: DNS 조작을 통한 위조 웹사이트로의 리디렉션

피싱으로 성립되는 범죄의 경합

성공적인 피싱 공격은 일반적으로 다음 범죄의 경합을 구성합니다:

  • 정보 시스템을 이용한 사기 (Btk. 제375조)
  • 정보 시스템 또는 데이터 침해 (Btk. 제423조)
  • 불법 데이터 수집 (Btk. 제422조)
  • 현금 대체 결제수단 남용 (Btk. 제393조) – 가해자가 은행 카드 정보를 취득한 경우

피싱 사건에서의 은행 책임

결제 서비스 제공자에 관한 규정

2009년 제LXXXV호 법률(결제 서비스 제공에 관한 법률)과 2017년 제CLXXXV호 법률(특정 금융 관련 법률의 개정에 관한 법률)에 따라, 결제 서비스 제공자(은행)는 지급 지시를 수행함에 있어 합리적으로 기대되는 주의를 기울여야 합니다.

PSD2 지침과 강력한 고객 인증

유럽 의회 및 이사회 (EU) 2015/2366 지침(PSD2)은 강력한 고객 인증(Strong Customer Authentication, SCA) 요건을 도입했습니다. 이에 따라 온라인 결제 거래 시 최소 두 가지 독립적인 인증 요소를 적용해야 합니다:

  1. 지식 기반 요소: 비밀번호, PIN 코드
  2. 소유 기반 요소: 휴대전화, 보안 토큰
  3. 고유 요소: 생체 인식 데이터(지문, 안면 인식)

은행이 적절한 강력 고객 인증을 적용하지 않아 소비자가 재정적 손해를 입은 경우, 은행의 책임이 성립합니다.

은행의 환불 의무

결제 서비스법 제48조에 따라 은행은 승인되지 않은 결제 거래 금액을 지체 없이, 늦어도 신고일로부터 영업일 1일 이내에 지급인(소비자)에게 환불해야 합니다. 은행은 다음을 입증하는 경우에만 이 의무로부터 면제됩니다:

  • 결제 거래의 인증이 규정에 따라 이루어졌음
  • 결제 거래를 기록하는 시스템이 해당 기간 동안 완벽하게 작동했음
  • 소비자가 고의 또는 중과실로 행동했음

중과실 문제는 피싱 사건의 핵심 쟁점입니다. 판례에 따르면, 소비자가 특히 설득력 있어 보이는 피싱 이메일에 의해 정보를 제공한 경우, 일반 소비자에게 기대되는 주의를 기울였다면 중과실로 보지 않습니다.

대법원(Kúria)의 관련 판례

대법원(Kúria)은 피싱 사건과 관련하여 은행의 책임 문제에 대해 여러 판결을 내렸습니다. 법원의 일관된 입장에 따르면, 은행의 책임은 다음의 경우에 성립합니다:

  • 적용된 보안 솔루션이 해당 시기에 기대되는 기술적 수준에 부합하지 않은 경우
  • 은행이 고객에게 피싱 위험에 대해 충분히 안내하지 않은 경우
  • 은행이 이용 가능한 기술적 수단으로 의심스러운 거래를 필터링하지 않은 경우

고소 절차

절차 개시

온라인 사기 또는 피싱의 피해자가 된 소비자는 다음 단계를 취할 수 있습니다:

  1. 즉각적 조치: 은행 카드 정지, 비밀번호 변경, 은행에 통보
  2. 고소: 고소는 관할 지역 경찰서에서 직접 또는 서면으로 할 수 있습니다. 온라인 고소는 대기경찰 국가수사국 사이버범죄 대응과에서도 가능합니다.
  3. 증거 확보: 피싱 이메일, SMS, 화면 캡처, 은행 거래 명세서의 보존은 수사 성공을 위해 매우 중요합니다.

수사기관의 절차

**2017년 제XC호 형사소송법(Be.)**에 따라 수사기관은 고소를 근거로 범죄 혐의가 존재하는 경우 수사를 개시합니다. 사이버 범죄 수사 과정에서 당국은 일반적으로 다음 조치를 취합니다:

  • IP 주소 및 이메일 헤더 분석
  • 디지털 흔적 분석(로그 파일, 서버 기록)
  • 국제 사법 공조 요청(가해자가 해외에서 활동하는 경우)
  • 은행 계좌 거래 내역 조사

개인정보 침해 시 NAIH 절차

피싱 공격 과정에서 개인정보의 무단 처리가 이루어진 경우, **국가 정보보호 및 정보자유 기관(NAIH)**은 **일반 개인정보 보호 규정(GDPR)**에 따라 절차를 개시할 수 있습니다. NAIH는 개인정보 처리자(예: 피해자의 정보가 유출된 조직)가 데이터 보호를 위한 적절한 기술적·조직적 조치를 적용했는지 조사할 수 있습니다.

민사상 손해배상

Ptk.상 손해배상 청구

Ptk. 제6:519조에 따라 소비자는 위법 행위로 손해를 야기한 자에 대해 민사상 손해배상을 청구할 수 있습니다. 온라인 사기의 경우 손해배상 책임 요건:

  1. 위법 행위: 사기적 행위(피싱)는 명백히 위법
  2. 손해: 소비자 재산의 감소
  3. 인과관계: 위법 행위와 손해 사이의 인과관계
  4. 귀책사유: 가해자의 고의적 행위

은행에 대한 손해배상 청구

소비자는 Ptk. 제6:142조(계약 위반으로 인한 손해)에 따라 은행에 대해서도 손해배상을 청구할 수 있으며, 은행이 결제 서비스 기본계약에서 정한 의무, 특히 안전한 결제 시스템 유지 의무를 위반한 경우에 해당합니다.

예방 권고사항

법적 대응 수단 외에도 예방이 가장 효과적인 방어 수단입니다. 기본적인 조언:

  • 이메일, SMS 또는 전화로 오는 요청에 절대 은행 정보를 제공하지 마십시오
  • 온라인 결제 전 웹사이트 URL과 인증서(SSL)를 확인하십시오
  • 모든 금융 서비스에 2단계 인증을 사용하십시오
  • 소프트웨어를 정기적으로 업데이트하고 바이러스 백신을 사용하십시오
  • 의심스러운 이메일의 경우 공식 연락처를 통해 서비스 제공자에 직접 문의하십시오

결론

온라인 사기와 피싱 공격에 대해 헝가리 법체계는 형사법적 책임 추궁부터 민사상 손해배상, 소비자 보호 및 개인정보 보호 행정 절차까지 복합적인 보호를 제공합니다. 피해자에게 가장 중요한 것은 공격 인지 후 즉시 행동하는 것입니다: 은행 카드를 정지하고, 고소하고, 증거를 확보해야 합니다. 은행이 환불 의무를 이행하지 않는 경우, 소비자는 조정 위원회 또는 민사 소송을 통해 권리를 행사할 수 있습니다.

본 글은 정보 제공 목적이며 법적 자문에 해당하지 않습니다. 개별 사안에 대해서는 전문 변호사의 상담을 권장합니다.

#온라인 사기 #피싱 #사이버 범죄 #소비자 보호
공유: