국민감사청구 참여 페이지는 여기에: https://openweb.or.kr/fsc/1(캠페인 참여 마감되었습니다.)
금융위원회는 전자금융감독규정(금융위원회 고시)을 제정하여 공인인증서 사용을 지난 13년간 강제해 왔다. 표면상으로 이 조치는 전자금융거래법 제21조에 의하여 부여받은 권한의 행사인 것처럼 보이지만, 실제로는 재량권의 위법한 일탈과 남용일 뿐 아니라, 심각한 부패와 무능으로 인하여 다음과 같이 공익을 현저히 해하고 있다.
공인인증서 사용을 강제해 온 금융위원회의 처사는,
- 첫째, 유저들의 컴퓨터가 해킹 공격의 표적이 되도록 만든다. 공인인증서는 이미 대량으로 유출되어 그 안전성도 의문시 되며(최근 뿐 아니라, 2007년1월에도 이미 5000장 이상 유출) 유저들에게 부가 프로그램 설치를 강요함으로써 국민의 컴퓨터 이용 행태가 해킹 공격에 취약하게 되도록 유도하여 악성코드가 쉽게 전파될 수 있는 환경을 조성해 왔다.
- 둘째, 보안 기술의 자유롭고 공평한 경쟁을 방해하고, 국내 보안 시장의 과점적 지배 상황을 조장/지속하며, 보안 업계 및 보안 기술의 발달과 소비자 후생을 저해한다. 보안 업계의 자율성과 전문성이 부정되고, 과점상태가 인위적으로 유지되어 온 결과 한국의 전반적인 보안 환경은 극도로 열악해 졌고, 세계에 유례가 없는 초대형 금융 보안 참사(농협 사태, 현대 캐피탈 사태, 최근의 금융기관 직원 PC마비 사태)가 거듭 발생하고 있으며, 이것은 모두 금융소비자의 피해로 귀결된다.
- 셋째, 국내 IT 산업의 성장/발전과 국제 무대 진출, 국제 경쟁력 확보를 치명적으로 저해함으로써 국민 경제와 IT부문 일자리 창출에 타격을 가한다.
- 넷째, 공인인증서 사용을 강제하는 금융위 고시는 모법인 전자금융거래법 제6조(접근매체의 선정과 사용 및 관리) 제1항에 위반된다. 동 조항은 “금융기관 또는 전자금융업자는 전자금융거래를 위하여 접근매체를 선정하여 사용”하도록 하고 있는바, 금융위 고시는 금융기관 등이 접근매체를 ‘선정’하지 못하게 하는 것이다.
- 다섯째, 한국정부는 바젤위원회(BCBS)가 채택한 은행감독 원칙을 준수할 국제법적 의무를 지고 있다. 바젤위원회는 “어떤 인증 기법을 사용할 것인지는 … 은행경영진의 평가에 기초하여 은행이 결정하여야 한다“는 원칙을 채택하고 있다(전자금융 위험관리 원칙(Risk management principles for electronic banking) 제4조). 전자금융거래법 제6조 제1항도 이를 국내입법화 한 것이다. 공인인증서 사용을 강제하는 금융위원회의 조치는 국내법을 어김은 물론이고, 바젤위원회가 채택한 감독원칙을 어기는 것이며, 그로 인하여 손해를 입은 외국투자자가 한국정부를 상대로 막대한 손해배상을 청구할 빌미를 제공하고 있다.
공인인증서 사용을 강요하는 금융위원회의 처사는 공인인증업체, 공인인증 솔루션 및 그에 파생되는 보안제품을 공급하는 국내 과점사업자(소프트포럼, 이니텍, 안랩 등)의 단기적 이익만을 옹호하는 것이다.
특정 업계의 이익만을 위하여 낡고, 불편하고, 보안성도 의문시되는 공인인증서 사용을 13년간 강제함으로써 전국민에게 피해를 가하고, 금융 보안을 전반적으로 허약하게 만들며, 국내 IT산업의 국제경쟁력에 치명타를 가할 뿐 아니라, 국내법과 국제 규범에 어긋나는 불합리한 규제로 장차 국민 세금으로 막대한 배상금을 외국투자자에게 물어줘야 할 위험마저 초래하고 있는 금융위원회의 처사는 특정 보안 업계와의 결탁과 부패를 의심하게 만들기에 충분하다.
(1)전세계 어느 나라 금융감독기구도 특정 보안기술 사용을 이런식으로 강요하지 않는다는 사실, (2)금융위원회와 금융감독원은 전자금융사고 규모조차 제대로 파악하지 않고 “일년에 2건”이라고 국회에 보고하는 등(2006년) 터무니 없는 축소 조작을 거듭하고 있다는 사실, (3)공인인증서는 단순히 copy&paste하기만 하면 (암호입력 필요없이) 마구 복제된다는 점도 여태껏 국민들에게 알리지 않음으로써 마치 안전한 기술인 것처럼 일반인들이 오해하도록 하고 있다는 사실, (4)금융기관 등이 접근매체를 ‘선정’하도록 규정하는 전자금융거래법 제6조 제1항을 어기고 있다는 사실을 고려할때, 금융위원회의 처사는 단순히 무능의 문제가 아니라 부정과 부패를 의심할 합리적 근거가 된다고 판단한다.
실제로 안전한 보안기술은 강제하지 않아도 업계가 스스로 채택할 것이다. 강제 규정에 기대어 명맥을 유지하는 보안기술은 진작에 퇴출되어야 할 열악한 기술이다.
0 Comments
Trackbacks/Pingbacks