금융권 CIO/CISO를 위한 전자금융 규제 해설

얼마 전까지만 해도, 국내 금융권 CISO(최고정보보호책임자) 스스로도 윈도우/IE 말고는 이용해 본 적이 없는 분들이 대부분이었습니다. 자기 회사의 솔루션이 무슨 문제를 안고 있는지를 아예 ‘경험’해 본 적이 없는 분들이었습니다. 이제 상황이 약간은 달라진 듯하지만, 불행하게도, 현행 규제의 상세한 내막은 여전히 모르고 계시는 분이 대부분입니다. 금융보안 업계에 ‘구전’되어 내려오는 규제상황에 대한 ‘카더라 통신’은 대략 이런 것입니다.

• 보안프로그램 3종세트(안티키로거, 개인방화벽, 메모리스캔) 설치는 의무사항이다.
• SEED 사용하지 않으면 안된다. (따라서 공인인증서 반드시 사용해야 한다)
• 30만원 미만은 자유롭지만, 30만원 이상은 공인인증서 필수

최근, 현대카드 정태영 사장께서 트윗하신 다음과 같은 내용은 이러한 근거없는 ‘카더라 통신’이 금융회사 최고경영자에게까지 여과 없이 그대로 퍼날라지고 있음을 여실히 보여주고 있다고 생각합니다. 좀 딱한 실정입니다. 전자금융서비스를 ‘핵심 비즈니스’로 삼고있는 회사가 전자금융 규제의 실상이 무엇인지에 대한 제대로 된 자문도 없이 주먹구구식으로 개발자(법률전문가 아님)들 사이에 구전되는 부정확한 정보에 근거하여 사업판단을 하고 계시는 상황이라면…

말씀하신 결제방법은 규제상 허용되는 안전한 방법이 아닙니다. “@chanjin: 조용필앨범을 샀습니다. ActiveX와 공인인증서없이도 결제가 잘되는 ‘알라딘’에서요. 이번에도 xx카드로 더 편하게. 현대카드는 언제나 지원될까요.

— 정태영 (@diegobluff) July 6, 2013

규제의 실상은 이렇습니다.

1. 보안프로그램 설치는 더 이상 의무가 아닙니다.

2011년10월10일 전자금융감독규정(“감독규정”)이 대폭 개정되기 전까지는 전자금융감독규정 시행세칙(“시행세칙”)에 다음과 같은 규정이 있었습니다.

이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에 개인용 침입차단시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능) (2011.10.10 전까지 유효했던 시행세칙 제29조 제2항 제3호)

오픈웹은 이 규정이 “프로그램 설치”에 올인하는 낙후된 보안 기법을 강요하는 것이라고 비판하였고, 금융위는 이런 비판을 결국 수용하여 해당 규정을 시행세칙에서 감독규정으로 격상시키면서 다음과 같이 수정하였습니다:

해킹 등 침해행위로부터 전자금융거래를 보호하기 위해 이용자의 전자적 장치에 보안프로그램 설치 등 보안대책을 적용할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램을 해제할 수 있다)(현행 감독규정 제34조 제1항 제3호)

프로그램을 ‘설치’해야 하는 것이 아니라, 적절한 보안 ‘대책을 마련’하면 됩니다. 예를 들어, 고정암호를 아예 사용하지 않도록 솔루션을 설계한다면, 키 입력값 유출이 치명적이지 않으므로 키보드보안 플러그인을 굳이 설치할 필요는 없는 것입니다. 이른바 “3종 세트”는 원래부터도 규정에 없었고, 지금도 없습니다. 보안플러그인 판매회사들이 별생각 없이 ‘습관적’으로 해오던 일이었을 뿐입니다.
그리고, 애초부터 금융회사가 원하면 보안프로그램 설치 안하고 거래 수행할 수 있었고(위 규정 단서 참조), 실제로 몇몇 국내 금융회사들은 오래 전부터 유저가 키보드보안 플러그인 등의 설치를 거부해도 거래가 가능하도록 운영해 오고 있습니다.

2. SEED 알고리즘 사용 의무는 없습니다.

어떤 분께서는 감독규정 제15조 제2항 제1호가 “정보보호시스템에 사용하는 정보보호제품은 국가기관의 평가·인증을 받은 장비를 사용할 것”이라고 되어있고, 여기서 말하는 ‘국가기관’은 국정원을 뜻하는 것이며, 국정원이 ‘사실상’ SEED 알고리즘 사용을 고집한다고 주장하시기는 하지만, 그런 주장을 뒷받침할 자료는 없고, 설사 그 주장이 사실이라 하더라도 이 규정은 금융회사 내부에 구축되는 “정보보호시스템”에만 국한된 것입니다. 클라이언트(접속 고객)이 어떤 보안 모듈이나 암호 알고리즘을 사용하는지에 대한 규정이 아닙니다. 실제로 국민은행, 우리은행 등은 국제적으로 널리 사용되는 SSL/TLS 암호화 교신을 사용하고 있고, 이 교신에 SEED 알고리즘이 사용되지는 않습니다. https://www.kbstar.com/ https://www.wooribank.com/ (물론 아직도 서버 비인증, 비암호화 교신방식인 http ‘맹탕 접속’을 한 다음, 암호화 교신을 공인인증서/SEED로 구현하는 무개념 국내 은행들이 많지만, 적어도 국민, 우리 은행은 그렇게 하지는 않습니다)
민간 영역의 보안 프로그램이나 암호 알고리즘에 대하여 정부/국정원이 개입하지는 않습니다. 만일 개입한다면 그것은 한국정부도 준수해야 하는 OECD 암호 알고리즘 정책 가이드라인에 위반될 뿐 아니라, 국내 보안기술의 발달을 저해하는 우매한 짓입니다.

3. 30만원 이상 거래에도 공인인증서 사용이 ‘반드시’ 강제되지는 않습니다.

물론 ‘반드시’ 강제 되지는 않지만 실제로 공인인증서 외의 인증방법을 30만원 이상 거래에 사용하려면 꽤 까다로운 절차를 거쳐가야 합니다. 이것이 바로 ‘인증방법평가위원회의 평가’라는 것입니다. 이 제도는 2010년5월31일 국무총리실이 금융위/금감원 등과 합의하여 발표한 전자금융 규제 완화의 핵심내용을 이루는 것입니다. 총리실 보도자료 참조
총리실 보도자료 제목에서 이미 설명되어 있듯이 이것은 “금융기관에게 인증방법 선택권[을] 부여”하고, “공인인증서 이외의 인증방법“(시행세칙 제6조 제1항 제1호)이 국내 시장에 도입될 수 있도록 하기 위한 제도입니다. 골자는 이렇습니다. 다섯가지 기술적 평가기준(1. 이용자 인증, 2. 서버 인증, 3. 통신체널 암호화, 4. 거래내역 무결성 보장, 5. 거래내역 부인방지 기능)이 있는데, 이들을 모두 충족해야 하는 것이 아니고, 그 중 일부 평가기준을 “선택적으로 적용“(시행세칙 제7조 제1항)하여 해당 인증방법으로 수행될 거래의 규모(상한 등)을 금융회사가 자체적으로 결정하고 인증방법평가를 받으면, 그러한 인증방법은 적법하게 사용될 수 있다는 것입니다.
총리실보도자료는 다음과 같이 예를 들어 설명하고 있습니다.

※(예시) 금융기관 또는 전자금융업자는 이용자 인증, 서버인증 및 통신채널 암호화의 요건을 갖춘 경우, 거래한도 등을 정하여 인증방법평가위원회의 평가를 받아 금융거래를 할 수 있다.

즉, 부인방지라는 요건이 필수적인 것도 아니고, 그 요건이 충족되지 않는다고 해서 30만원 미만이라는 금융위/금감원의 일방적이고 자의적인 제약에 구속되는 것이 아닙니다. 이러한 내용은 2012년5월24일 전부개정된 전자금융감독규정시행세칙 제7조에 모두 반영되어 있습니다.
현재 인증방법평가위원회는 인증방법 평가기준을 “가군”, “나군”으로 나누고 있고, 그 어느 부류에 속하건 간에 30만원 미만이라는 일방적, 자의적 제약을 금감원이 가할 수 있는 근거 규정은 없습니다. “가군”이건 “나군”이건, 금융회사가 해당 인증방법의 거래 상한을 자율적으로 정하도록 되어있습니다. “‘나군’ 인증방법은 금융회사가 거래 상한을 자율적으로 정하지 못하고 30만원 미만 거래에만 사용 가능하다”는 주장이 일각에서 제기된 바는 있으나, 이런 주장은 감독규정이나 시행세칙 규정 어디에도 근거가 없을 뿐 아니라, 현행 시행세칙 제7조에 반하는 개인적 견해에 불과합니다.
30만원 미만 결제거래에는 공인인증서가 애초부터 강제되지 않았고 지금도 강제되지 않으므로, “나군” 인증방법으로 평가받아야 하는 것이 아니라, 인증방법평가를 아예 받을 이유가 없습니다. 인증방법평가 제도는 ‘가군’이건, ‘나군’이건 간에 거래 상한을 금융회사가 정하고, 인증방법 선택권을 금융회사에게 부여하기 위한 제도입니다.
현재 인증방법평가를 받은 거래솔루션은 두가지 입니다. 페이게이트의 금액인증 솔루션과 LG씨엔에스의 스마트폰 간편결제. http://www.fss.or.kr/fss/kr/bsn/sign/evaluate/accept.jsp