국민신문고에 제출한 전자금융규제 개선 방안

오픈넷은 아래와 같은 내용으로 국민신문고에 인터넷 규제개선 의견을 제출하였습니다.

 

전자금융 규제 개선 방안

1. “공인인증서 등”의 사용을 강요하는 규정(전자금융감독규정 제37조 제1항)

 

• 정부(규제자)가 보안 기술에 개입하여 특정 기술을 권장, 강요, 지원하는 것은 옳지 않음
• 좋은 기술은 강요할 필요가 없음(강요해야만 유지될 수 있는 기술은 그 자체로 나쁜 기술)
• 은행감독에 관한 바젤위원회(BCBS)가 채택한 전자금융위험관리원칙에서도 “획일적 해법으로는 전자금융위험을 제대로 관리할 수 없다” (the Committee does not believe that a ‘one size fits all’ approach to e-banking risk management is appropriate), “어떤 인증방법을 사용할 것인지는 위험요인에 대한 경영진의 판단을 토대로 은행이 결정해야 한다(The bank must determine which authentication methods to use based on management’s assessment of the risk)고 하고 있음.
• 미국 연방금융감독위원회(FFIEC)의 인증가이드라인에서도 “이 기준은 … 특정 기술을 지지하지 않는다(This guidance … does not endorse any particular technology.)”라고 명시하고 있음.
•  “OECD 암호정책 가이드라인” 또한 “암호 기법의 개발과 제공은 개방적이고 경쟁적인 환경에서 시장을 통하여 결정 (determined by the market) 되어야 한다. 그래야 기술변화 속도에 뒤지지 않을 수 있고, 이용자의 수요와 정보통신망 보안에 대한 공격기법의 진화에도 적시에 대응할 수 있게 된다”고 하고 있다.
•  국내법으로서의 효력이 있는 한미FTA 제15.4조도 “전자거래의 당사자가 그 거래를 위하여 적절한 인증 방법을 상호 결정하는 것을 금지하는 법령을 채택하거나 유지할 수 없다”고 규정하고 있음(거래당사자가 인증 방법을 ‘상호 결정’한다는 의미는, 거래약관 등을 통하여 어떤 인증방법을 사용할 것인지를 양당사자 동의로 결정한다는 뜻이며, 정부가 개입하여 특정인증방법의 사용을 강요해서는 안된다는 뜻임).
• 10여 년 전에 시작된 “공인인증서 밀어주기”는, 이제와서 보면 여러 국내, 국제적 규범에 정면으로 반하고, 특정업계에 대한 부끄러운 수준의 지원책일뿐 아니라, 플러그인에 의존하는 공인인증기술의 위험성과 불편함 및 기술적 한계로 인하여 여러 부작용이 심각한 수준에 달하고 있음.

 

전자금융감독규정 제37조는 다음과 같이 수정되어야 할 것임:

 

제37조 (인증기술의 선택) 금융회사는 거래의 성격과 해당 거래에 수반하는 위험의 수준을 고려하여 업계의 기술 수준을 반영한 합리적인 당사자 인증 기술을 채택하여야 한다.

 

2. 금감원 산하 인증방법평가위원회(전자금융감독규정 제37조 제2항) 폐지

 

• 애초에 ‘인증방법평가위원회’라는 것 자체가 공인인증서 강요 체제를 일부 완화하는 방안으로서 고안된 것이었고,
• 인증방법평가위원회는 그동안 아무런 현실적 역할을 한 바도 없을 뿐 아니라, 신기술의 시장진입에 대한 심각한 장애물로서 작용할 뿐임.
• ‘공인인증서’를 강요하는 것이 부적절할 뿐 아니라, “공인인증서와 동등한 수준의 안전성이 인정되는 인증방법”을 강요하는 것 또한 부적절하고, 정부(규제자)가 보안기술에 개입해서 어느 기술이 더 낫다느니, 못하다느니 입장을 표명하는 것 자체가 상식에 어긋나는 것임).
• 보안기술의 우열은 보안기술전문가 집단의 판단에 맡기고, 보안기술의 선택은 은행/카드사 등의 경영진의 판단에 맡기는 대신, 사고에 대한 철저하고 신속한 배상이 이루어지도록 감독할 필요가 있음.

 

3. 전문적, 상시적 보안점검 제도 도입 필요

 

전자금융감독규정 중, 금융감독원 또는 금융위원회가 “보안성 심의”를 한다는 내용(전자금융감독규정 제36조)을 삭제하고, 그 대신 다음과 같은 조항을 도입:

 

제36조(정기적, 전문적, 독립적 보안감사) 금융회사 등은 국제적으로 통용되는 금융보안 점검기준에 따른 보안감사를 수행할 전문성과 독립성이 있는 보안감사 업체와 계약을 체결하고 보안감사를 연1회 이상 받아야 한다.

 

• 금감원/금융위는 ‘보안성 심의’를 실제로 수행할 전문성이 아예 없음.
• ‘보안성 심의’는 그동안 일회성(신규 솔루션 도입시에만 한번), 형식적으로 수행되어 왔고, 어떠한 실질적 효능도 없었음.
• 오로지 업계에 서류작업의 부담만을 주는 것이었고, 영업비밀 노출의 위험을 강요하는 것이었음.
• 그동안 형식적으로 운영되던 “보안성 심의” 보다 훨씬 강화된, 실효성 있는 실질적인 보안점검을 매년 받도록 하자는 것임.

4. 실효성 있는 배상제도 확보: 전자금융거래법 제9조 개정

 

현행 전자금융거래법 제9조는 배상책임 조항이 적용될 수 있는 경우를 다음과 같이 제한하여 규정하고 있음:

 

1. 접근매체의 위조나 변조로 발생한 사고
2. 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고
3. 전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고

• 그러나, 법원이나 당사자 대리인 등 법률가들은 “접근매체의 위조, 변조”가 실제로 무슨 의미를 가지는 것인지 제대로 이해하지도 못하고 있을 뿐 아니라 (예를 들어 공인인증서의 부정 재발급이 접근매체의 위조인지를 제대로 이해하는 법률가는 거의 없음; 심지어는 입법자 스스로도 공인인증서 부정 재발급이 접근매체의 ‘위조’인지 여부를 오해한 나머지, 접근매체 ‘부정 획득’에 관한 규정을 추가하는 법개정을 하기도 하였음. 공인인증서가 한개의 전자파일이 아니라 두개의 전자파일로 구성되어 있다는 사실을 이해하는 법률가는 극소수이며, 부정재발급이 이루어질 때, 그 중 어느 파일이 위조되는지를 이해하는 법률가는 거의 없음),
• 접근매체의 위조, 변조로 인한 사고인지, 계약체결 과정에서 발생한 사고 인지를 분간하기도 어려울 뿐 아니라,
• 사고거래의 유형은 무한히 다양할 수 있고, 앞으로도 계속 새로운 유형과 기법의 공격이 이루어질 수 있는데 이렇게 사고의 기술적 유형을 미리 한정해 두는 것도 비합리적이고,
• 어떤 기술적 방법으로 사고거래가 이루어 졌는지(즉, 해당 사고거래가 접근매체의 위변조로 인하여 발생한 것인지, 통신망에 침입하여 이루어진 것인지, 접근매체를 부당하게 획득하였는지 등)을 피해자(원고)가 주장하고 입증하여야 하도록 강요하는 것도 불합리하고,
• 사고의 ‘기술적 경위’를 이렇게 피해자가 밝혀내도록 부담을 지우는 현행 전자금융거래법 제9조는 금융회사 등에게만 편파적으로 유리한 규정이므로 타당성이 없음. 거래 솔루션은 은행/카드사 등이 관리하는 것이고, 사고거래를 예방하는데 필요한 기술적 조치들을 마련할 책임도 은행/카드사가 지는 것이므로 이들이 사고의 경위를 이해할 수 있는 지위에 있는 것임.
• 미국이나 영국의 경우처럼, 우리도 “고객의 승인 없는 지급(unauthorized payment)”으로 인하여 발생한 손해를 배상하도록 법규정을 개정함으로써, 피해 고객이 사고거래의 기술적 경위와 내막을 일일이 밝혀내도록 부담을 지우지 않도록 할 필요가 있음.

 

전자금융거래법 제9조 제1항은 다음과 같이 개정:

 

① 금융회사 또는 전자금융업자는 이용자의 승인 없는 지급으로 인하여 이용자에게 발생한 손해를 배상할 책임을 진다.

 

5. 신용카드거래 기술 혁신: 여신전문금융업 감독규정 제24조의6 개정

 

현행 여신전문금융업 감독규정 제24조의6은 가맹점 관리 사항 중,

• 본인확인(카드 사용자가 과연 정당한 사용권한을 가진 자인지를 확인)과
• 가맹점이 획득한 카드회원정보 등 제반 정보에 대한 보안대책 수립

에 관하여 과거의 기술 수준을 전제로 한 경직적 규정을 두고 있음.

예를 들어, 오프라인 가맹점의 경우 (i)서명을 육안으로 확인하거나, (ii)사진을 육안으로 대조하는 방법, (iii)신분증에 의한 본인확인, (iv)비밀번호 입력 장치 등을 전제로 하고, 온라인 가맹점의 경우에는 (i)전자인증, (ii) 비밀번호 등을 전제로 한 규정을 두고 있는데, 이런 식으로 특정 기술이나 방법을 한정하여 나열해 둘 경우, 새로운 기술이나 사업모델의 시장 진입이 어렵게 되고, 현실적으로 실효성도 의문시 됨.

‘가맹점’ 정의(여신전문금융업법 제2조 제5호) 중에는 물품용역 판매자(상점) 뿐 아니라, 결제대행사도 포함되어 있는바, 이 양자는 그 전문성이나 업무의 성격이 현저히 다르고, 카드회원정보 등 제반 정보에 대한 보안대책 수립의 방법 역시 이 양자 간에 현저한 차이가 있음. 그럼에도 현행 감독규정은 이 양자를 구분하지 않고 획일적으로 규정하고 있으므로 여러 어려움을 초래함.

제1항 단서 (“다만, 전자상거래의 경우 신용카드업자는 가맹점이 전자인증, 비밀번호 등을 통해 본인확인을 할 수 있도록 하여야 한다”)는 신용카드업자의 의무를 규정하는 것처럼 읽히긴 하지만, 실제로는 신용카드업자가 본인인증 기술을 독점적, 전횡적으로 장악할 권한을 행사하는 빌미를 제공하는 규정으로 악용되기도 함.

• 예를 들어, BC카드는 그 자회사가 개발, 운용하는 ‘ISP 결제’라는 본인 인증 방법을 가맹점/결제대행사에게 강요하고 있고, ISP 결제는 플러그인 기반으로 운영되고 있으므로, 무수한 보안상의 문제를 초래하고 있음.

이러한 여러 문제점을 개선할 수 있도록 현행 규정을 다음 원리를 반영하여 개정

• 물품이나 용역의 판매자(상점)와 결제대행사는 워낙 그 업무성격과 역할 등이 다르기 때문에 구분하여 다르게 규정
• 특정기술에 종속되지 않도록 규제자가 감독규정에서 구체적 기술을 언급하지 않을 것
• 온라인 카드거래에서의 본인확인 기술의 공평한 경쟁을 카드사가 저해하지 않도록 할 것

 

현행 감독규정 제24조의6은 다음과 같이 개정:

제24조의6(가맹점 관리사항) ① 법 제24조제7호에 따라 신용카드업자는 물품이나 용역을 판매하는 가맹점(“가맹상점”)이 현재의 기술 수준을 반영한 합리적인 본인 확인 방법을 사용하여 신용카드이용자의 본인확인을 할 수 있도록 하여야 한다.

② 신용카드업자는 결제대행업체가 가맹상점과의 결제대행계약을 통하여 가맹상점에게 제공하는 본인확인 방법을 정당한 이유 없이 거부하여서는 아니된다.

③법 제24조제7호에 따라 신용카드업자는 「신용정보의 이용 및 보호에 관한 법률」 제20조제1항에서 정하는 내부관리규정을 마련하고, 가맹상점이 신용카드등의 거래에 의해 얻은 신용카드회원등의 제반 정보가 안전하게 관리될 수 있도록 하는데 필요한 조치를 취해야 한다.

④ 신용카드업자는 결제대행업체와의 계약을 통하여 결제대행업체가 신용카드회원등의 제반 정보를 안전하게 관리하도록 해야 한다.