오늘 보도된 내용을 보면, 금융위가 이종걸 의원이 지난 6월에 발의한 전자금융거래법 개정안 내용을 대체로 수용하여, 앞으로 전자금융거래에서 공인인증서 사용을 강제하지 않기로 입장을 정한 듯 합니다. 조만간 금융위의 공식적인 입장(어째서 이 법안을 수용하기로 결정했는지, 앞으로 전자금융 감독은 어떤 원칙과 기준에 근거하여 수행할 것인지 등에 대한 입장) 표명이 있으면 좋겠다는 생각입니다.
2010년에도 마치 앞으로는 공인인증서 사용이 강제되지 않을 듯한 내용의 뉴스 보도들이 쏟아져 나온 적이 있습니다. 불행하게도, 당시 금감원은 그 산하에 인증방법평가위원회라는 것을 만들어서 그것을 통과하는 인증방법은 “허용”하겠다고 하면서 실은 지난 3년간 아무 진전도 없도록 인증방법평가 제도를 파행으로 몰고 간 전력이 있습니다.
감독당국의 그러한 불행한 과거 행태가 반복되지 않으려면, 금융감독당국이 “해서는 안될 일”과 “해야 할 일”을 분명히 나누어 제대로 인식할 필요가 있습니다.
해서는 안될 일
1. 자신이 마치 보안전문가 집단인 양 행세하면서, “이 기술이 안전하다”, “이 기술을 반드시 써라”는 식으로 강제 또는 지시하는 행위. 지금까지 금융감독당국은 이렇게 하는게 자신의 임무라고 착각해 왔고, 이런 식으로 보안 기술에 개입해 온 결과, 한국은 스미싱 천국이 되었고 온국민은 “Yes Men”으로 되는 끔찍한 결과를 낳았습니다.
2. 자신이 “보안 점검”을 직접 해주겠다고 나서는 일. 이른바 보안성 심의라는 절차를 운영하면서 마치 자신이 보안 컨설팅 전문업체인 양 행세하면서 “우리가 OK해 주겠다”, “우리가 OK해야 된다”는 입장을 견지하는 행위. 이것 좀 그만해 주세요. 감독당국이 제대로 된 보안 점검을 꼼꼼히 할 역량도 없을 뿐 아니라, 신규 솔루션 출시 시점에 단 한번 형식적 서면 심사로 제대로 된 보안 점검이 될리도 없습니다. 감독당국이 이런 제도를 유지하면, 정작 제대로 된 보안 점검 및 보안 감사(security audit) 서비스 시장은 파괴됩니다(아예 들어설 수도 없습니다).
3. 소비자에게 책임을 떠넘기는 행위: 이른바 “부인 방지”라는 것을 거론하면서, “고객의 전자서명을 받아두면, 고객이 부인할 수 없게 만들 수 있다”는 주장을 감독당국이 내세우면서 금융회사 편을 들고 나서는 행위. 이런 주장은 전자서명에 사용되는 개인키가 마구 유출/재발급되는 국내의 현실을 도외시 한 억지 주장일 뿐 아니라, 소비자를 보호해야 할 금융감독 당국이 결코 입에 담아서는 안될 말입니다. 유출/재발급이 쉬운 인증서 개인키로는 부인방지라는 것이 “현실적으로는” 아예 불가능한 이상론에 불과합니다. “부인방지”는 전자서명 솔루션을 판매하려는 업체가 선전용으로 내세우는 과장된 장미빛 환상일 뿐입니다.
4. 사고거래의 규모를 숨겨 덮으려는 행위. 고의로 은폐하지는 않는다 하더라도, 사고거래의 규모를 신뢰성 있게 감독당국이 스스로 파악하려는 노력이나 고민은 아예 하지도 않으면서, “우리는 금융회사가 보고해 오는 것을 집계만 할 뿐이다. 달리 우리가 어떻게 사고거래 규모를 파악할 수 있겠나?”라는 식의 태도를 취해 온 금융감독당국은 이제 그 입장을 근본적으로 전환할 필요가 있습니다. 조금만 고민해 보시면, 사고거래 규모를 신속하고 신뢰성 있게 파악할 여러 방법들이 널려 있습니다.
해야 할 일
1. 금융회사가 자신의 거래 솔루션 및 시스템의 안전성을 전문적이고 독립적인 보안 감사(보안 점검) 업체로부터 매년(정기적, 상시적으로) 점검받도록 유도해 주시면 좋겠습니다. 감독당국이 “직접 점검해 주겠다”고 나서면, 독립적이고 전문적인 제3자(민간 보안 전문 업체)의 보안 점검 서비스는 생겨날 여지가 없어집니다. 금감원의 “보안성 심의” 제도는 이제 폐지하시기 바랍니다. 시스템 관리자 암호를 1111로 방치하는 황당한 금융기관이 “금감원 보안성 심의”를 버젓이 통과하는 서글프고 코믹한 과거는 이제 청산할 때입니다.
2. 국제적으로 널리 인정받는 금융보안점검기준은 이미 여러 가지가 있습니다(PCI DSS, WebTrust 등). 이러한 국제적 점검기준에 따라 국내업체들도 매년 점검을 받도록, 금융감독당국이 지도, 안내, 장려해 주시면 됩니다. 물론 금융감독원도, 자원과 시간 여유가 있다면, 이러한 국제적 금융보안점검기준에 버금가는 수준의 보안점검기준을 국내의 보안전문가 집단이 스스로 만들고 업데이트 할 수 있도록 “측면 지원”해 주면 좋겠습니다. 금감원이 “우리가 직접 만들겠다”고 제발 좀 나서지 말아 주세요. 국내의 여러 보안 전문가 집단, 보안/정보보호학 교수님들의 역량을 이제는 존중해 주시면 좋겠습니다. 이분들(민간의 보안전문가 집단)이 매우 상세하고, 기술적이고, 전문적인 보안 점검 포인트들을 각 업무분야별로 체계적으로 정리해 둔 문건을 만들고 계속 업데이트 할 수 있도록 금감원은 측면에서 “지원”해 주시면 가장 이상적일 것입니다. 현행 전자금융감독규정 제3장에 잔뜩 포함된 어쭙잖은(그리고 outdated 된) 기술적 내용은 이제 모두 들어내고, 민간의 진정한 전문가들이 세계 어디에 내놓아도 부끄럽지 않을 수준의 보안점검 기준(“Korea FSS DSS”라고 이름을 붙여도 좋을 듯)을 만들고 자율적으로 운영할 수 있도록 측면에서 “지원”해 주세요. “우리가 OK해야 되”라는 발상에서 이제는 좀 벗어나 주시면 감사하겠습니다.
3. 사고거래 현황, 공격기법과 공격 패턴을 정확, 신속히 파악하고 분석하여 즉각 공유함으로써 보안업계가 공격에 신속히 대응할 수 있도록 지원해 주시면 좋겠습니다. 이 기술 쓰라, 저 기술 쓰라면서 “기술”에 개입하려 말고, 사고 분석과 정보 공유에 집중해 주시면 좋겠습니다.
4. 소비자 보호: 사고거래의 피해자가 신속, 적정하게 보상될 수 있도록 금융거래 분쟁현황을 신속히 파악하고 모니터링 해주시면 좋겠습니다. 어느 한쪽 편을 들라는 것이 아니라, 금융회사 편들고 나서서 고객에게 책임 떠 넘기는 발언(공인인증서는 “안전하다”느니, “부인방지”기능이 있다느니 하는 무모하고 무책임한 발언) 좀 그만 하시라는 것입니다. 각 은행/카드사 별로 현재 몇 건의 고객 환불 요구 사건이 pending 되어 있고, 분쟁 해결에 걸리는 시간은 어떤 것이고, 실질적 환불 비율은 어느 정도인지 등, 소비자들이 어떤 은행과 거래를 틀지 선택하는데 도움이 되는 정보를 적절한 수준에서 공개해 주시면 좋겠습니다. 설익은 정보를 마구잡이로 공개하라는 뜻은 물론 아니고요.
결론
금융감독당국이 보안전문가 행세를 하면서 보안 기술에 개입해 온 지난 13년 간의 행태는 분명히 잘못된 것입니다. 앞으로 금융감독당국은
- (1) 금융회사들이 전문적인 보안점검을 민간 전문회사로부터 정기적, 지속적으로 받도록 감독해 주시고,
- (2) 사고거래의 피해가 신속, 적정, 철저히 배상되도록 모니터링 함으로써 금융소비자들이 제대로 보호되도록 감독해 주시기 바랍니다.
이렇게 하면, 저급한 보안기술을 채택하는 금융회사는 스스로 큰 타격을 입게 될 것이므로, 보안에 투자하라고 굳이 말 안해줘도 열심히 투자할 것입니다. 이것이 바로 금융소비자도 살고, 보안 업계도 살고, 금융회사/결제대행사들도 글로벌 시장에서 당당히 경쟁하는데 필요한 기술력을 갖출 수 있게 되는 첩경입니다.
0 Comments