금융당국은 개정될 전자금융거래법상에 향후 발생할 보안 사고에 대한 책임을 강화해 개선 명령 및 처벌 규정 등을 명시할 방침이다.
금융당국 한 관계자는 12일 "보안성 심의 및 인증방법평가제도 폐지로 사전규제가 사후 점검으로 바뀌고, 금융회사가 보안에 대해 책임감을 갖고 자율적으로 시스템을 구축하도록 할 것"이라며 "현행 전자금융거래법상에는 문제가 있었을 때 개선을 지시·명령하고, 이를 이행하지 않았을 때 제재할 근거가 없는데 이번 상반기 중에 개정될 전자금융거래법에는 명시할 것"이라고 밝혔다.
금융위원회는 지난달 27일 업무보고를 통해 금융사가 자체적으로 운영해왔던 보안에 대한 취약점 평가 등의 자율적인 점검을 실질적으로 이행하도록 하는 한편, 금융감독원에서 기존에도 해왔지만 테마 검사 등을 통해 자율성을 부여한 만큼 사고에 대한 위험성을 제대로 콘트롤 하는지 확인할 방침을 밝히며 사후 책임을 강화하겠다고 전한 바 있다.
또 새로 출범할 금융보안원에서 금융 관련 보안·인증방법을 평가할 수 있도록 표준 마련의 역할을 할 것을 언급했다. 이는 금융보안원이 민간 기구인 만큼 금융당국이 아닌 민간에서 협의를 통해 보안 체계를 구축하라는 뜻으로 풀이된다.
조규민 금융보안연구원 본부장은 이와 관련, "국가가 개입해 하나의 획일화된 규준을 따르게 하기 보단 금융회사에서 자율적으로 결정하는 게 옳다"며 "신설될 금융보안원은 공공기관이 아니기 때문에 장을 열어 금융회사들의 의견을 모아 공동 연구를 하는 방향으로 가는 게 맞다"고 조언했다.
조 본부장은 이어 "공동으로 체계를 만들고 협의체를 통해 자발적인 노력을 하는 게 필요하고, 정부당국은 금융사들 스스로 보안을 못 갖춰나간다고 판단될 때 제재를 강하게 하는 방향으로 가야 한다"고 덧붙였다.
이는 공인인증서 등 그간 획일적인 기준으로 보안 기술이 발전을 저해했던 것을 교훈삼아 기술 중립성 원칙 구현으로, 정부가 특정 기술의 사용을 강제하는 게 아닌 민간의 자율에 맡겨야 한다는 뜻으로 풀이된다.
일각에서는 자율성도 좋지만 핀테크의 글로벌화를 위해 국내 보안표준으로 비자·마스터 등 다국적 카드사들이 참여한 지불카드 정보보안표준위원회(PCI SSC)에서 제정한 국제보안표준을 적용할 필요가 있다는 의견도 나왔다.
IT학계 관계자는 "금융권에서 국제회계기준(IFRS) 등 대부분의 기준을 국제 규격으로 채택하면서 유독 보안에 관해서는 국내 기준을 고집하고 있다"며 "글로벌 지급결제시장에서 경쟁하기 위해서는 금융회사들이 지불카드산업 데이터보안표준(PCI DSS)과 같은 국제보안표준을 적용할 필요가 있다"고 주장했다.
금융당국 다른 관계자는 이에 대해 "PCI DSS는 업계 표준으로, 이를 사용할지 말지는 당사자인 금융회사 등 기업들이 결정할 문제"라며 "국내 보안 체계가 액티브엑스(Active X) 사용 등 기술적인 측면에서 보면 동떨어진 부분은 있지만, 정보보호관리체계(ISMS) 인증심사 등 제도 및 기준과 관련해선 국제 보안의 흐름과 다르지 않다"고 설명했다.
이 관계자는 또 "공인인증서, WIPI(한국형 무선인터넷 플랫폼의 표준 규격) 등 국가에서 하나의 기준을 제시하고 나면 모두가 그 기준만 좇아 결국에는 다양한, 더 좋은 기술의 발전을 방해하는 결과를 가져온 예가 있다"며 "당국에서 FDS(이상금융거래탐지시스템)와 같은 기술 규격은 정해줄 수 있지만 특정 기술의 표준을 공인하는 부분은 신중해야 하고, 해당 업계가 자발적으로 결정하는 게 옳다"고 전했다.
박종진 기자 truth@segye.com
<세계파이낸스>세계파이낸스>
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]