Experi-Metal 대 코메리카 사건

이 기사는 주요 출처에 대한 언급에 너무 많이 의존하고 있다. 2차 또는 3차 소스를 추가하여 개선하십시오.(2012년 2월) (이 템플릿 메시지를 제거하는 방법 및 시기 알아보기)

Experi-Metal 대 코메리카 은행 사건
코트	미시간 동부 지방 법원
전체 케이스 이름	Experi-Metal, Inc., v. Comerica 은행
결정했다	2011년 6월 13일
인용문	도표 번호: 2:2009cv14890
사례의견
온라인 은행 이체 주문을 받아들이는데 있어서 "신의"는 은행이 공정한 거래의 합리적인 상업적 기준을 충족시키도록 요구한다.이러한 기준을 충족하지 못하면 거래가 무효화될 수 있다.
법원회원권
판사 앉기	혼. 패트릭 더건
키워드
온라인 뱅킹 공격, 피싱 및 인터넷 은행 사기, 송금 사기, 제우스 트로이아

Experi-Metal, Inc. v. Comerica Bank(도켓 번호: 2:2009cv14890)는 Experi-Metal의 온라인 뱅킹 계정을 통해 190만 달러의 무단 송금이 발생한 피싱 공격의 경우 미시간 동부지법에 의해 결정되었다.법원은 코메리카가 이체 사실을 사기행각으로 인식하지 못했을 때 은행이 선의의 행동을 하지 않았다는 이유로 피싱 공격으로부터 회복되지 못한 56만 달러의 손실에 대해 책임을 물었다.

배경

미시간주 매콤브에 본사를 둔 어벤티메탈은 텍사스주 댈러스에 본사를 둔 코메리카와 거래처를 갖고 있었다.Experi-Metal은 인터넷을 통해 결제와 송금을 받을 수 있는 NetVision Wire Transfer 서비스에 가입했다.^[1]

피싱 공격

2009년 1월 22일 오전 7시 35분쯤, Experi-Metal 직원이 "Comerica Business Connect 고객 양식"이라고 주장하는 웹 페이지 링크가 포함된 피싱 이메일을 열었다.이메일의 링크를 따라, 그 직원은 자신의 보안 토큰 식별, WebID, 로그인 정보를 가짜 사이트에 제공하는 것을 계속했다.그 결과 사기성 제3자는 코메리카와 함께 보유한 Experi-Metal의 계좌에 접속할 수 있게 되었다.^[1]

오전 7시30분부터 오후 2시2분까지 6시간 30분 동안 Experi-Metal의 계좌에서 총 US$1,901,269.00에 달하는 93건의 부정 이체가 이루어졌다.송금액의 대부분은 러시아, 에스토니아, 중국의 은행 계좌로 향했다.^[1]

오전 7시 40분부터 오후 1시 59분까지 피싱 공격으로 얻은 정보를 이용한 계좌 중 총 560만 달러의 계좌 이체가 이뤄졌다.한 계좌에서 이체된 금액은 미화 500만 달러의 초과 차입금을 초래했다.^[1]

오전 11시 30분, 코메리카는 러시아 모스크바의 한 은행으로 보낸 의심스러운 송금 사실을 눈치챈 JP모건 체이스 직원의 전화에 의해 사기 가능성에 대한 경고를 받았다.오전 11시 47분에서 11시 59분 사이 코메리카는 Experi-Metal에 이체 사실을 알렸고, 하루 동안 합법적인 계좌 소유자가 어떤 거래도 하지 않았음을 확인했다.코메리카는 오후 12시 25분까지 Experi-Metal의 온라인 뱅킹 거래를 보류하고 코메리카 온라인 서비스에서 이체하는 사람들을 강제로 제거하기 위해 사용자 세션을 '킬'하기 시작했다.^[1]

코메리카는 이적의 일부를 되찾는데 성공했다.총 561,399달러가 피싱 계획에서 발생한 부정 송금에서 손실되었다.^[1]

미시간 지방법원의 의견

법원은 판결에서 두 가지 주요 쟁점을 고려했다.첫 번째 쟁점은 부정 이전을 개시하기 위해 기밀 정보가 사용된 Experi-Metal 직원이 회사를 대신하여 이전을 개시할 수 있는 권한을 부여받았는지 여부, 그리고 나아가 코메리카가 명령을 받아들이는 데 있어서 자체적인 보안 절차를 준수했는지 여부였다.두 번째 쟁점은 코메리카가 Experi-Metal의 계정에 있는 명령들을 받아들이는 데 있어서 '선의'로 행동했는가 하는 것이었다.^[1]

부정 전송을 시작하는 사용자 정보

피싱 사건의 희생자가 된 어벤지-메탈 직원이 회사를 대표해 송금을 할 수 있는 권한을 부여받았는지에 대한 의문도 있었다.이 문제는 코메리카가 2009년 1월 22일 자신의 계정 사용자 정보를 이용해 송금한 유선을 승인하면서 보안 절차를 준수하고 있는지 여부에 대한 맥락에서 제기되었다.

법원은 여러 정황적 요인을 고려한 결과, 자신의 계정 사용자 정보를 제공한 직원이 Experi-Metal을 대신하여 Comerica와 이전을 시작할 수 있는 권한을 부여받았다고 결론지었다.그 결과 코메리카는 명령을 받아들였을 때 자체 보안 프로토콜을 준수하고 있는 것으로 밝혀졌다.

신의성실

이 사건의 두 번째 쟁점은 사기성 제3자에 의해 개시된 송금을 받아들이는 코메리카 측의 '신의' 문제에 관한 것이었다.

미시간 주법에 따르면, 특정 기준을 충족한다면 실제 고객이 주문하지 않더라도 고객의 주문으로 송금 주문이 효과적이다.^[2]이 경우의 쟁점은 주문이 고객의 보안 절차, 서면 동의 또는 지시에 따라 성실하게 수락되었는지 여부였다.만약 Experi-Metal의 계정으로 Comerica에게 내린 명령이 "선의를 표함"하여 받지 못했다면, 효력이 없을 것이다.

법원은 코메리카의 보안 절차가 상업적으로 타당하다고 판단한 반면, 은행은 선의로 부정 송금에 대한 주문을 받아들였다는 것을 입증하지 못했다고 판단했다.미시간 법에 따르면 신의는 "사실상의 정직과 공정한 거래를 위한 합리적인 상업적 기준의 준수"를 요구한다.^[3]

코메리카의 직원들이 부정직한 명령을 받아들이는 데 있어서 부정한 행동을 했다는 암시가 없었기 때문에, 법원은 공정한 거래를 위한 합리적인 상업적 기준을 다루는 선의의 시험의 요소로 이동했다.여기서, 법원은 코메리카가 부정 이체, 특히 Experi-Metal 계좌로의 비정상적인 초과 인출과 관련하여 직원들이 공정한 거래라는 합리적인 상업적 기준을 충족했다는 것을 증명해야 하는 부담을 충족시키지 못했다고 판결했다.이 마지막 부분에서, 법원은 보통 잔고가 0달러인 Experi-Metal 계좌에서 500만 달러의 초과 인출에 대해 구체적으로 언급했다.

결과

법원은 우선 Experi-Metal의 온라인 송금 주문이 선의로 접수되지 않았다는 점을 근거로 Comerica에 Experi-Metal의 손실액을 배상하라고 명령했다.코메리카는 법원의 결정 직후 Experi-Metal과 법정 밖에서 합의를^[4] 이룬 것으로 알려졌다.

의의

Experi-Metal 대 Comerica 사건은 미국의 온라인 뱅킹 사기 사건과 관련된 사건 법의 신흥 영역에서 비교적 이른 결정을 나타낸다.

유사한 미국 온라인 뱅킹 사기 사건

메인주 People's United Bank^[5] 대 People's United Bank에서는 피고 은행이 제우스 키로거 악성코드의 공격으로 인한 것으로 추정되는 부정 송금에 대해 588,000달러의 책임을 지지 않는다고 판결했다.

팻코는 악성코드 공격 당시 피플스뱅크의 온라인 뱅킹 고객이자 계좌 보유자였다.2009년 5월 7일과 5월 16일 사이에 알려지지 않은 제3자가 여러 건의 온라인 송금을 했는데, 이는 팻코 계좌에서 총 588,851달러였다.결국, 그 은행은 243,406달러의 사기 이전을 막을 수 있었다.

팻코는 이 같은 손실이 인민은행의 부족한 온라인 보안과 관련이 있다고 주장했다.법원은 인민은행이 일부 보안상의 약점 때문에 어려움을 겪었지만 전반적으로 보안 절차는 상업적으로 타당하다고 판단했다.따라서, 위원회는 은행이 부정 이체로 인한 손실에 대해 책임지지 않는다는 것을 발견했다.비록 이 사건의 사실들이 Experi-Metal 대 Comerica 대 Comerica의 사실들과 다르지만, 두 결정 사이의 대조를 조화시키는 것은 도전일 수 있다.^{[according to whom?]}그러나 2012년 7월 항소심에서는 이 결정이 번복됐다.당사자들은 나중에 법정 밖에서 해결되었고, 인민연합은행은 팻코의 계좌에서 도난당한 나머지 금액과 4만 5천 달러의 이자를 지불했다.

11~2031호(1심)의 '팻코건설사 대 인민연합은행'에서 열린 제1회 순회상고법원.2012년 7월 3일) People United Bank(d/b/a Ocean Bank)는 PATCO의 은행 계좌에서 도난당한 고객인 PATCO 건설사에 약 58만 달러를 배상하도록 요구되었다.그렇게 함으로써, 법원은 은행에 유리하게 즉결 판결을 내렸던 미국 메인 지방 법원의 판결을 번복했다."^[6]

Village View 대 Professional Business Bank에서도^[7] 이와 유사한 청구가 2011년 6월 캘리포니아 상급법원에 제기되었다.빌리지 뷰는 2010년 3월 16~17일 프로페셔널 비즈니스 은행 계좌에서 허가되지 않은 부정 송금 및 부정 송금에 따른 손실 때문에 소송을 제기하여 총 US$195,874를 기록했다.

이번 공격은 UPS 배송 영수증으로 위장한 은행 트로이 목마가 시작됐으며, 이를 받아들여 의심하지 않는 직원들이 빌리지 뷰 네트워크에 개방했다.이후 이 파일에는 빌리지 뷰의 계좌에서 이체가 이루어질 때마다 은행이 정상적으로 전송하는 이메일 알림 비활성화 등 여러 가지 작업을 수행한 악성코드가 포함된 것으로 드러났다.^[8]부정 이체는 라트비아의 은행을 포함한 국제 계좌로 이뤄졌다.^[9]

빌리지뷰 에스크로는 이번 무단 이적이 프로페셔널 비즈니스 은행의 부적절한 보안 시스템의 결과라고 주장하고 있다.구체적으로, 빌리지 뷰는 프로페셔널 비즈니스 뱅크 측에서 캘리포니아 법에^[10] 따라 '상업적으로 합리적인 보안' 절차를 제공하는 데 실패했으며, 이에 수반되는 유선 전송 명령을 '신의'로 받아들이지 않았다고 주장한다.^[11]

미국의 피싱 및 은행 사기 동향

송금 사기와 피싱은 Experi-Metal에 대해 사용되는 은행 사기의 하위 유형이다.

미국 은행 기관 중에서는 2011년 12월 피싱이 가장 많이 표적으로 삼은 국가 은행이 85%로 가장 많았고, 지역 미국 은행 9%, 미국 신용 ^[12]조합 6% 순이었다.같은 기간 전 세계 피싱 총량을 보면 영국이 50%를 목표로 삼았고 미국 28%, 브라질 5%, 남아공 4%, 캐나다 2% ^[13]순이었다.

제우스 트로이 목마와 같은 악성코드는 범죄자들이 개인 은행 정보를 훔치기 위해 광범위하게 사용되어 왔으며, 이 정보는 피해자의 은행 계좌에서 부정 이체를 하는 데 사용될 수 있다.미국 ^[14]내뿐만 아니라 다른 나라에서도 이번 공격의 가해자들이 붙잡혀 기소되는 경우가 있다.^[15]

온라인 뱅킹 사기 기소 문제

Experi-Metal 대 Comerica의 활동 유형이 컴퓨터 사기 및 남용 법률에 위반될 수 있지만, 온라인 환경에서 사법권을 결정하고 가해자를 식별하고 증거를 수집하는 문제는 그러한 법률을 시행하려는 어떤 시도에서든 잠재적으로 중요한 장애물로 남아 있다.^[16]

참조