개정 전자금융거래법 국회 본회의 통과를 환영하며
금융당국의 기술중립, 사후규제 원칙 구현을 촉구한다.
개정 전자금융거래법 국회 본회의 통과를 환영하며 금융당국은 이용자의 선택권을 보장하고 경쟁을 통한 혁신 기술 환경이 조성되도록 전자금융감독규정을 전면 개정해야 한다.
공인인증서 사용 강제의 근거가 된 전자금융거래법 제21조 제3항이 지난 2014년 9월 30일 개정되면서, 지난 2013년 사단법인 오픈넷 출범 이후 처음 시도한 입법 제안이 1년 반 만에 결실을 거두었다. 오픈넷은 개정 전자금융거래법의 국회 본회의 통과를 환영하며, 금융당국이 개정 전자금융거래법의 입법취지를 존중하여 개정법 시행까지 남은 1년의 유예기간 동안 아래와 같이 기술중립, 사후규제 원칙에 입각하여 다양한 보안기술과 인증기술이 시장에서 경쟁하는 금융보안 패러다임의 변화를 이끌어주길 기대한다.
개정 전자금융거래법의 주요 내용 및 달라지는 점
<주요 내용>
개정 전자금융거래법 제21조 제3항은 아래와 같으며, 금융당국은 더 이상 공인인증서 등 특정 기술의 사용을 강제할 수 없게 된다.
개정 제21조 제3항: 금융위원회는 제2항의 기준을 정함에 있어서 특정 기술 또는 서비스의 사용을 강제하여서는 아니되며, 보안기술과 인증기술의 공정한 경쟁이 촉진되도록 노력하여야 한다.
부칙: 제21조 제3항의 개정규정은 공포 후 1년이 경과한 날부터 시행한다.
<달라지는 점>
이미 2014년 5월, 전자금융감독규정 시행세칙의 개정으로 전자상거래상 신용카드와 직불카드 결제 및 30만원 미만 온라인 계좌이체에는 공인인증서 사용 의무가 해제된 바 있으나, 개정 전자금융거래법이 시행되면 모든 전자금융거래에서 공인인증서의 사용강제가 금지되는 것이다.
결국 개정 전자금융거래법은 금융당국에 공인인증서 사용강제나 보안성 심의와 같은 ‘기술특유적 규제’와 ‘사전규제’ 일변도에서 탈피하라는 주문을 하고 있다. 요컨대 개정 전자금융거래법의 핵심은 인증방법에 대한 이용자 선택권을 높이고, 금융당국은 공인인증서를 넘어서는 기술 혁신 환경이 조성되도록 힘써야 한다는 내용을 담고 있는 것이다.
1. 금융당국은 개정 전자금융거래법의 입법취지에 따라 기술특유적 규제와 사전규제 등 관치보안의 근거규정으로 기능해왔던 전자금융감독규정 및 시행세칙을 전면 개정해야 한다.
개정 전자금융거래법 시행에 따라 관치보안의 근거규정으로 전자금융감독규정은 전면 개정되어야 하며, 그 중 반드시 개정되어야 할 부분은 아래와 같다.
(1) 공인인증서 사용기준 및 예외를 정한 전자금융감독규정 제37조 제1항 삭제
(2) 일회성으로 이루어지는 “보안성 심의” 규정 삭제
(3) 공인인증서와 동등한 수준의 안전성을 평가하는 “인증방법평가위원회” 전면 폐지
(보다 세부적인 내용은 첨부한 오픈넷의 전자금융감독규정 제3장 개정안 내용 및 아래 오픈넷 링크 참조)
(1) https://opennet.or.kr/609 – 전자금융감독규정 개정 제안
(2) https://opennet.or.kr/662 – 현행 전자금융감독규정의 문제점1
2. 금융당국은 전자금융감독규정 및 시행세칙 규정의 개정을 투명하게 진행해야 한다.
금융당국은 남은 1년 동안 전자금융감독규정 개정 과정을 투명하게 진행하고 다양한 이해당사자들의 의견을 폭넓게 수렴하여야 한다. 오픈넷은 이미 전자금융감독규정의 개정안을 제안한 바 있으며 이에 대해 누구나 의견을 개진할 수 있는 위키(wiki) 페이지를 운영 중이다.(https://opennet.or.kr/
금융당국 역시 전자금융감독규정 개정 과정에서 이용자 등 다양한 이해당사자의 의견을 종합적으로 수렴하고 그 과정을 투명하게 공개해야 한다.
한편 최근 금융당국이 이른바 간편결제를 도입하려는 PG사의 신용카드 정보 저장여부와 관련하여 신용카드업자의 이해관계를 대표하는 여신금융협회로 하여금 그 기준을 정하도록 하고, 이에 따라 심의를 진행하고 있어 다시금 관치보안 논란이 일고 있다. 이와 같은 금융당국의 행태는 금융당국이 보안기술 시장에 사전 개입하는 기존 방식에서 한 걸음도 나아가지 못함을 방증한다.
(관련 내용은 아래 경향신문 보도 참조)
http://bizn.khan.co.kr/khan_
이러한 구태가 반복되지 않게 하기 위해서도 사실상 인허가 제도로 기능하는 전자금융감독규정을 전면 개정하여 사후 규제를 위한 정보 수집에 한정되도록 그 기능이 대폭 축소되어야 한다. 또한 이를 위해 개정 전자금융거래법 관련 주요 정책결정 과정에서 이해당사자의 참여가 반드시 보장되어야 한다.
3. 금융당국은 보안기술과 인증기술 시장에서 혁신 기술이 도입될 수 있도록 경쟁 질서를 확립해야 하며, 전자금융거래 사고에 대한 소비자 피해를 모니터링하는 컨트롤 타워로 환골탈태해야 한다.
(1) 금융당국은 혁신 기술이 시장에 선보일 수 있도록 시장 경쟁 질서를 확립하고 혁신 환경을 조성해야 한다.
개정 전자금융거래법이 최종적으로는 이용자의 인증기술 선택권 보장을 목표로 하고 있기 때문에, 금융당국은 새로운 기술의 채택과 관련한 금융기관이나 신용카드업자들의 담합이나 불공정거래행위를 규제하는 역할을 담당해야 한다. 또한 공인인증서 기술 일변도로 고착화된 현행 기술 시장에서 새로운 혁신적 기술이 도입될 수 있도록 금융당국은 새로운 인증 및 보안기술 개발과 혁신 환경 조성을 담당하여 개정 전자금융거래법의 취지를 달성할 수 있도록 해야 한다.
(2) 금융당국은 전자금융 사고거래의 피해자가 신속, 적정하게 보상될 수 있도록 하는 금융 소비자 권익 보호를 위한 기관으로 재탄생해야 한다.
금융당국은 새로운 보안기술과 인증기술에 의해 사고가 발생하는 경우 이를 신속하게 파악하여, 소비자들의 피해가 신속하고 적정하게 보상될 수 있도록 하는 ‘금융 소비자 피해 컨트롤 타워’가 되어야 한다. 이를 위해 금융당국은 내부 인력과 자원을 금융거래 사고와 분쟁 현황을 실시간으로 모니터링하고 사후 규제하는 데 집중해야 한다. 인증기술과 보안기술에 대한 평가는 시장과 전문 보안업체에게 맡기고, 금융당국은 스스로 전문성을 발휘할 수 있는 금융 소비자 권익보호 역할에 충실하라는 것이 개정 전자금융거래법의 요지이기 때문이다.
2014년 10월 14일
사단법인 오픈넷
<첨부> 오픈넷의 전자금융감독규정 제3장 개정 의견
제1절 규제자의 임무
금융소비자 보호
1.1 금융위원회와 금융감독원은 전자금융 서비스가 기술 발전을 반영한 합리적 방법으로 안전하게 제공되고, 전자금융거래와 관련된 분쟁이 신속하고 정당하게 해결되도록 하여 금융소비자가 적절히 보호되는데 필요한 감독을 수행한다.
금융기관 등의 책임성 확보
1.2 금융위원회와 금융감독원은 금융기관 등이 우월적 지위를 남용하거나 법령이 정한 책임을 부당하게 소비자 또는 다른 사업자에게 전가하거나 회피하지 않도록 하는데 필요한 감독을 수행한다.
기술 및 서비스의 자유로운 경쟁과 발전
1.3 금융위원회와 금융감독원은 전자금융거래 서비스 제공에 사용되는 다양한 거래기술, 보안기술 및 보안감사 서비스가 활발하고 공정하게 경쟁하고 발전할 수 있는 시장 환경이 손상되지 않도록 감독을 수행한다.
규제의 투명성 및 형평성
1.4 금융위원회와 금융감독원은 전자금융거래 서비스와 관련된 정보가 적절한 수준에서 투명하게 공개되고 규제의 형평성이 유지되도록 한다.
제2절 금융기관 최고 경영진의 책임
관리 감독 체계의 확립
2.1 금융기관 등의 이사진과 최고 경영진은 전자금융 사업에 관한 위험을 관리하고 책임소재를 분명히 하는데 필요한 관리 감독 체계를 확립하여야 한다.
일괄 위임의 금지
2.2 금융기관 등의 이사진과 최고 경영진은 자신의 전자금융 사업에 적용되는 보안 통제 절차의 핵심적 사항을 직접 검토하고 승인하도록 한다.
외주 계약 관계 등의 점검과 관리
2.3 금융기관 등의 이사진과 최고 경영진은 자신의 전자금융 사업이 외주 계약 관계 등 제3자에게 의존하는 부분에 대하여 적절히 점검하고 관리하는 상시적인 체계를 수립하도록 한다.
직원의 훈련 및 교육
2.4 금융기관 등의 이사진과 최고 경영진은 전자금융 사업에 수반되는 위험을 관리하는데 필요한 인력을 충분히 확보하고 그들에 대한 상시적이고 정기적인 훈련 및 교육 프로그램을 마련하도록 한다.
제3절 보안 통제 조치
적절한 인증기술의 채택
3.1 금융기관 등은 거래의 성격과 해당 거래에 수반하는 위험의 수준을 고려하여 업계의 기술 수준을 반영한 합리적인 당사자 인증 기술을 채택하여야 한다.
분쟁의 예방 및 대처
3.2 금융기관 등은 거래 내용을 고객이 분명히 이해할 수 있도록 유저 인터페이스를 설계하고, 거래의 주체와 거래의 내역을 신뢰성 있는 방법으로 확인하고, 거래 데이터가 변조되지 않도록 하며, 변조 여부를 판별하는데 필요한 합리적 조치를 채택함으로써 전자금융거래가 부당하게 부인되지 않도록 하여야 한다.
업무 권한의 분할
3.3 금융기관 등은 전자금융거래 시스템, 데이타베이스, 프로그램의 운용에 있어서 각 직원의 임무가 적절히 분리, 분할되도록 하는데 필요한 적절한 조치를 취함으로써, 자신의 전자금융 업무가 직원들 간에 상호 검증될 수 있도록 해야 한다.
접근, 출입 권한의 통제
3.4 금융기관 등은 전자금융거래 시스템, 데이타베이스, 프로그램에 대한 접근 및 출입 권한 통제가 적절히 이루어지도록 함으로써 각 직원이 자기 권한을 스스로 변경할 수는 없도록 하며, 임무 분리/분할을 통한 검증, 점검 체계가 우회되지 않도록 해야 한다.
거래 기록 등의 보호
3.5 금융기관 등은 전자금융거래 내역, 거래 기록 등의 정보가 변경되지 않고 보존될 수 있도록 하는데 필요한 적절한 조치를 마련하여야 한다.
검사 이력 및 증거 확보
3.6 금융기관 등은 그 고객의 모든 전자금융거래에 대하여 감사/검사 이력(audit trails)이 남도록 하고, 법원에 제출될 수 있는 증거를 평소에 확보하고, 이 자료가 사후에 변조되지 않도록 하는데 필요한 적절한 조치들을 상시로 취해야 한다.
고객의 비밀 보호
3.7 금융기관 등은 전자금융거래 내역의 비밀성을 유지하는데 필요한 적절한 조치를 마련하여야 한다.
제4절 법적 책임 및 평판에 관한 사항
고객에게 제공되어야 할 정보
4.1 금융기관 등은 고객이 거래할지 여부를 제대로 판단하는데 필요한 정보(명칭, 규제상황 등)를 적절히 제공하도록 한다.
프라이버시 보호
4.2 금융기관 등은 고객의 프라이버시 보호요건을 법령에 따라 준수하여야 한다.
사업지속에 필요한 대비책
4.3 금융기관 등은 전자금융 서비스가 상시 제공될 수 있도록 사업 규모, 사업지속 및 비상 대책에 관한 사전 기획 절차를 마련하여야 한다.
재난 회복 및 사고 대응책
4.4 금융기관 등은 전자금융 서비스에 대한 내부자의 공격이나 외부자의 공격 등 불의의 사태를 관리하고 피해를 최소화 하는데 필요한 사고 대응책을 적절히 개발하도록 한다.
사고 보고 및 분쟁절차 모니터링
4.5 금융감독원은 전자금융 사고거래의 내용과 규모를 정확히 파악하고, 공평하고 신속한 분쟁해결을 위하여 다음 조치를 취한다:
• 전자금융 서비스와 관련된 소비자의 불만, 이의, 청구를 통합적으로 접수할 수 있는 페이지(금융소비자 보호페이지)를 금융감독원이 관리하고, 각 금융기관은 이 페이지의 링크를 자신의 홈페이지에 게시하여야 한다.
• 금융감독원은 금융소비자 보호페이지를 통하여 접수된 소비자의 불만, 이의, 청구를 해당 금융기관 등에 이첩하고, 분쟁해결 과정을 모니터링 한다.
• 금융감독원은 각 금융기관 별 사고거래의 내용과 규모를 신뢰성 있는 방법으로 파악하여 보안기술의 연구 개발 및 서비스 품질 향상에 필요한 한도에서 적절한 수준과 방법으로 공표한다.
제5절 보안감사 서비스
정기적 보안감사
5.1.1 금융기관 등은 국제적으로 인정받는 보안감사 기준에 따른 보안점검을 전문 보안감사업체로부터 정기적으로 받도록 노력한다.
5.1.2 전 항의 보안감사를 받지 아니하는 금융기관 등은 별지의 보안점검 기준(금융감독원 데이터 보안 기준; Korea Financial Supervisory Service Data Security Standards)(이하, KFSS DSS라 함)에 따른 보안점검을 전문 보안감사업체로부터 정기적으로 받아야 한다.
5.1.3 금융감독원은 KFSS DSS의 지속적인 업데이트 및 국제화 작업, KFSS DSS 기준에 따른 보안감사 서비스 제공자의 자격 요건 및 품질 관리에 필요한 업무를 수행한다.
신규 솔루션에 대한 제3자 검증
5.2.1 금융기관 등이 전자금융 거래 솔루션을 신규로 채용하고자 할 경우에는 독립적인 보안검증 서비스 제공자의 검증을 받고, 그 검증 결과를 금융감독원에 제출하여야 한다.
5.2.2 전항의 독립적 보안 검증을 받은 바 없는 전자금융거래 솔루션을 사용하여 전자금융거래를 제공할 경우, 해당 금융기관은 그 솔루션이 제3자의 독립적 검증을 받은 바 없다는 사실을 소비자에게 고지하여야 한다.
0 Comments