금융위원회에 드리는 건의

by | Nov 21, 2013 | 오픈블로그, 혁신과 규제 | 4 comments

12월 초순에 국회정무위 법안심사 소위원회 일정이 잡혀있다는 소식을 전해들었습니다. 지난 여름 오픈넷은 이종걸 의원실과 함께, 현행 전자금융거래법 제21조 제3항(공인인증서 강제 근거규정)을 다음과 같이 개정하고자 노력하였습니다:

금융위원회는 제2항의[=전자금융거래의 기술적 및 관리적 측면에 관한] 기준을 정함에 있어서 보안기술과 인증기술의 공정한 경쟁을 저해하거나, 특정 기술 또는 서비스의 사용을 강요하여서는 아니된다.

그러나, 이 법안은 금융위의 반대로 인하여 현재 계류 중인 상태이므로 통과여부가 불투명 합니다. 하지만 최근에 금융위는 지난 10여년간 끌고 왔던 공인인증서 사용 강제가 여러모로 무리한 시책이라는 점을 조금씩 인식하는 모습입니다. 이번 기회에 전자금융 감독 체제 및 전략이 근본적으로 개선, 전환되기를 바랍니다.
금융위는 다음과 같이 수정된 문구도 이번 기회에 검토해 보시고 전향적 결단을 내려주시면 고맙겠습니다:

③금융위원회는 제2항의 기준을 정함에 있어서 보안기술의 공정한 경쟁 환경 조성을 위한 시책을 수립, 시행하여야 하며, 전자거래의 당사자가 그 거래를 위하여 적절한 인증방법을 상호 결정하는 것을 금지하여서는 아니된다.

수정된 문구는 (1)한국정부(금융위포함)도 준수해야 하는 “OECD 암호정책 가이드라인” 내용과, (2)이미 국내법의 일부로서 구속력이 있는 한미FTA 제15.4조 제1항을 그대로 반영한 것입니다.

  • OECD암호정책 가이드라인의 핵심 골자는 “민간이 사용하는 암호규격을 정부가 정해서는 안된다”는 것입니다. 해당 가이드라인에는 “이용자는 관련법에 따라 암호기법을 선택할 권리를 누려야 한다”, “암호 기법의 개발과 제공은 개방적, 경쟁적 환경에서 시장을 통하여 결정되어야 한다. 이렇게 해야, 기술변화 속도에 뒤지지 않을 수 있고 이용자의 수요와 정보통신망 보안에 대한 공격기법의 진화에도 적시에 대응할 수 있게 된다”고 되어 있습니다. 상세한 설명은 여기
  • 한미FTA 제15.4조 제1항(가)는 “어떠한 당사국도 전자거래의 당사자가 그 거래를 위하여 적절한 인증 방법을 상호 결정하는 것을 금지하는 법령을 채택하거나 유지할 수 없다”고 되어 있습니다.

전자금융감독규정 개정 방향
이와 관련하여, 혹시 참고가 될지 몰라서 지난 7월17일 국내 금융권 CIO/CISO(보안책임자)들께서 모인 조찬 강연에서 제가 발표한 내용 중 일부를 소개합니다.
현행 전자금융감독규정 제3장은 대단히 상세하고 구체적인 기술적 내용으로 되어 있습니다. 그러나 정부가 보안 기술에 이렇게 깊숙히 개입해서 이래라 저래라 할 경우, 민간의 활발한 경쟁과 혁신, 기술 발전은 말살됩니다. 정부의 역할은 보안 “기술”에 개입하는 것이 아니라, (1)사고 거래의 패턴과 규모를 정확히 파악하고, (2)신속한 대응을 위하여 필요한 수준에서 사고거래 분석 결과를 적절히 공개/공유하고, (3)사고거래의 피해자들이 신속하고 적정하게 피해 보상을 받을 수 있도록 중립적 지위에서 모니터링을 하는 것이라고 생각합니다. 이런 작업은 오직 금융위/금감원이 할 수 있고, 해야 하는 일입니다. 이것을 팽겨쳐두고(“일년에 사고거래가 2건”이라고 금감원이 국회에 보고한 적도 있습니다), 자신이 마치 공인인증으로 먹고사는 업체의 판촉 사원인양 공인인증서를 꼭쓰라 어째라 하는 현재의 규제전략은 잘못된 것입니다.
금융권 CIO/CISO분들께서도 현행 전자금융감독 규정이 과도하게 세밀한 기술적 내용을 경직적으로 규정화해두고 있어서, 새로운 보안기술 도입에 오히려 장애가 되고있다고 느끼고 계십니다. 그리고 현행 규정은 사고 발생시에 금융권에게 일종의 면죄부로 작용하기 때문에 정작 필요한 보안 강화를 위한 예산을 CISO가 최고경영진으로부터 따내는데 큰 장애가 되고 있다(“그거 꼭 필요해? 규정이 하라는 것 다 했고, 그러면 배상 책임 안져도 되잖아?”라는 CEO의 반문에 대하여 CISO가 할 말이 없어진다)는 점을 시인하고, 변화가 필요하다는 공감대가 형성되어 있다고 저는 느꼈습니다. 관련 보도 참조.
아래 제시된 감독규정 개정방향은 (1)정부가 할 일, 민간이 할 일을 적절히 나누어 “민간-정부” 간에 적절한 역할 분담이 가능하도록 하고, (2)특정 기술에 대한 언급을 완전히 삭제함으로써 기술들 간에 공평한 경쟁을 보장하고, (3)첨단 보안 기술에 대한 투자 및 보안감사 서비스 시장의 활성화를 촉진하려는 것입니다(특히 제26조, 제27조, 제28조를 눈여겨 봐주시기 바랍니다).

전자금융감독규정 제3장 (현행 감독규정 제7조-제41조)의 개정 방향 [예시]

제3장 전자금융거래의 안전성 확보 및 이용자 보호

  • 제1절 규제자의 임무
  • 제2절 금융회사 최고 경영진의 책임
  • 제3절 보안 통제 조치
  • 제4절 법적 책임 및 평판에 관한 사항
  • 제5절 보안감사 서비스

제1절 규제자의 임무

제7조(금융소비자 보호) 금융위원회와 금융감독원은 전자금융 서비스가 기술 발전을 반영한 합리적 방법으로 안전하게 제공되고, 전자금융거래와 관련된 분쟁이 신속하고 정당하게 해결되도록 하여 금융소비자가 적절히 보호되는데 필요한 감독을 수행한다.
제8조(금융회사 등의 책임성 확보) 금융위원회와 금융감독원은 금융회사 등이 우월적 지위를 남용하거나 법령이 정한 책임을 부당하게 소비자 또는 다른 사업자에게 전가하거나 회피하지 않도록 하는데 필요한 감독을 수행한다.
제9조(기술 및 서비스의 자유로운 경쟁과 발전) 금융위원회와 금융감독원은 전자금융거래 서비스 제공에 사용되는 거래기술, 보안기술 및 보안감사 서비스가 활발하고 공정하게 경쟁하고 발전할 수 있는 시장 환경이 손상되지 않도록 감독을 수행한다.
제10조(규제의 투명성 및 형평성) 금융위원회와 금융감독원은 전자금융거래 서비스와 관련된 정보가 적절한 수준에서 투명하게 공개되고 규제의 형평성이 유지되도록 한다.

제2절 금융회사 최고 경영진의 책임

제11조(관리 감독 체계의 확립) 금융회사 등의 이사진과 최고 경영진은 전자금융 사업에 관한 위험을 관리하고 책임소재를 분명히 하는데 필요한 관리 감독 체계를 자체적으로 확립하여야 한다.
제12조(일괄 위임의 금지) 금융회사 등의 이사진과 최고 경영진은 자신의 전자금융 사업에 적용되는 보안 통제 절차의 핵심적 사항을 직접 검토하고 승인한다.
제13조(외주 계약 관계 등의 점검과 관리) 금융회사 등의 이사진과 최고 경영진은 자신의 전자금융 사업이 외주 계약 관계 등 제3자에게 의존하는 부분에 대하여 적절히 점검하고 관리하는데 필요한 상시적 체계를 수립한다.
제14조(직원의 훈련 및 교육) 금융회사 등의 이사진과 최고 경영진은 전자금융 사업에 수반되는 위험을 관리하는데 필요한 인력을 충분히 확보하고 그들에 대한 상시적이고 정기적인 훈련 및 교육 프로그램을 마련한다.

제3절 보안 통제 조치

제15조(적절한 인증기술의 채택) 금융회사 등은 거래의 성격과 해당 거래에 수반하는 위험의 수준을 고려하여 업계의 기술 수준을 반영한 합리적인 당사자 인증 기술을 채택하여야 한다.
제16조(분쟁 예방 및 대처) 금융회사 등은 거래 내용을 고객이 분명히 이해할 수 있도록 유저 인터페이스를 설계하고, 거래의 주체와 거래의 내역을 신뢰성 있는 방법으로 확인하고, 거래 데이터가 변조되지 않도록 하며, 변조 여부를 판별하는데 필요한 합리적 조치를 채택함으로써 전자금융거래와 관련된 분쟁을 예방하고, 분쟁에 대처하여야 한다.
제17조(업무 권한의 분할) 금융회사 등은 전자금융거래 시스템, 데이타베이스, 프로그램의 운용에 있어서 각 직원의 임무가 적절히 분리, 분할되도록 하는데 필요한 조치를 취함으로써 자신의 전자금융 업무가 직원들 간에 상호 검증될 수 있도록 해야 한다.
제18조(접근, 출입 권한의 통제) 금융회사 등은 전자금융거래 시스템, 데이타베이스, 프로그램에 대한 접근 권한 및 출입 권한 통제가 적절히 이루어지도록 함으로써 각 직원이 자기 권한을 스스로 변경할 수 없도록 하며, 업무권한의 분리, 분할을 통한 상호 검증 체계가 우회되지 않도록 해야 한다.
제19조(거래 기록 등의 보호) 금융회사 등은 전자금융거래 내역, 거래 기록 등의 정보가 변경되지 않고 보존될 수 있도록 하는데 필요한 조치를 마련하여야 한다.
제20조(검사 이력 및 증거 확보) 금융회사 등은 고객의 모든 전자금융거래에 대하여 감사/검사 이력(audit trails)이 남도록 하고, 법원에 제출될 수 있는 증거자료를 평소에 확보하고, 증거자료가 사후에 변조되지 않도록 하는데 필요한 적절한 조치들을 상시로 취해야 한다.
제21조(고객의 비밀 보호) 금융회사 등은 전자금융거래 내역의 비밀성을 유지하는데 필요한 적절한 조치를 마련하여야 한다.

제4절 법적 책임 및 평판에 관한 사항

제22조(고객에게 제공되어야 할 정보) 금융회사 등은 고객이 거래할지 여부를 제대로 판단하는데 필요한 정보(명칭, 규제상황 등)를 적절히 제공하여야 한다.
제23조(개인정보보호) 금융회사 등은 고객의 개인정보를 법령에 따라 보호하여야 한다.
제24조(사업지속에 필요한 대비책) 금융회사 등은 전자금융 서비스가 상시 제공될 수 있도록 사업 규모, 사업지속 및 비상 대책에 관한 사전 기획 절차를 마련하여야 한다.
제25조(재난 회복 및 사고 대응책) 금융회사 등은 전자금융 서비스에 대한 내부자의 공격이나 외부자의 공격 등 불의의 사태를 관리하고 피해를 최소화 하는데 필요한 사고 대응책을 적절히 개발하여 시행한다.
제26조(사고 보고 및 분쟁절차 모니터링) 금융감독원은 전자금융 사고거래의 내용과 규모를 정확히 파악하고, 공평하고 신속한 분쟁해결을 위하여 다음 조치를 취한다:
1. 전자금융 서비스와 관련된 소비자의 불만, 이의, 환불신청 등을 통합적으로 접수할 수 있는 페이지(금융소비자 보호페이지)를 금융감독원이 관리하고, 각 금융회사는 이 페이지의 링크를 자신의 홈페이지에 게시한다.
2. 금융감독원은 금융소비자 보호페이지를 통하여 접수된 소비자의 불만, 이의, 환불신청을 해당 금융회사 등에 이첩하고, 분쟁해결 과정을 모니터링 한다.
3. 금융감독원은 각 금융회사 별 사고거래의 내용과 규모를 신뢰성 있는 방법으로 파악하여 보안기술의 연구 개발 및 서비스 품질 향상에 필요한 한도에서 적절한 수준과 방법으로 공표한다.

제5절 보안감사 서비스

제27조(정기적, 전문적, 독립적 보안감사) ①금융회사 등은 다음 중 하나의 보안점검 기준에 따른 보안감사를 수행할 전문성과 독립성이 있는 보안감사 업체와 계약을 체결하고 보안감사를 년1회 이상 받아야 한다.
1. PCI DSS 등 국제적으로 인정받는 금융거래 보안 기준
2. 금융감독원이 공표하는 별지의 보안 기준(금융감독원 데이터 보안 기준; Korea Financial Supervisory Service Data Security Standards)(이하, FSS DSS라 함)
② 금융감독원은 FSS DSS의 지속적인 업데이트 및 국제화 작업, FSS DSS 기준에 따른 보안감사 서비스 제공자의 자격 요건 및 품질 관리에 필요한 업무를 지원한다.
제28조(신규 솔루션에 대한 제3자 검증) ①금융회사 등이 전자금융 거래 솔루션을 신규로 채용할 경우에는 독립적이고 전문적인 보안감사 업체의 검증을 받고, 그 검증 보고서를 해당 서비스 개시 후 6개월 이내에 금융감독원에 제출하여야 한다.
② 전항의 검증 보고서는 해당 금융회사의 웹사이트에도 공지하여야 한다.
전자금융감독규정 개정방향 pdf 내려받기
오픈넷

4 Comments

  1. JINU

    아무리 좋은 말로 해줘도 못 알아 ‘처먹는’ 정부라 참 답답합니다.

    Reply
  2. JINU

    아무리 좋은 말로 해줘도 못 알아 ‘처먹는’ 정부라 참 답답합니다.

    Reply
  3. Caffaddict

    그래도 일단 뭔가 의미있는 변화가 있기를 기대합니다. 네이티브 클라이언트 플러그인 없이도 리눅스나 맥북에서도 가능하게 말이죠.

    Reply
  4. Caffaddict

    그래도 일단 뭔가 의미있는 변화가 있기를 기대합니다. 네이티브 클라이언트 플러그인 없이도 리눅스나 맥북에서도 가능하게 말이죠.

    Reply

Submit a Comment

Your email address will not be published. Required fields are marked *

최신 글