2014년 9월 30일 전자금융거래법 개정안이 국회 본회의를 통과했고, 2015년 10월 15일 시행을 앞두고 있습니다. 공인인증서와 액티브엑스·exe 실행파일로 범벅된 한국 인터넷 이용 환경이 마침내 달라질 수 있다는 희망이 생기고 있습니다.
이에 전자금융거래법 개정안 통과 후 지난 1년간 있었던 변화에 관해 정리하고 향후 전망을 해봅니다. (편집자)
금융감독원이 2002년 9월부터 공인인증서 사용을 전자금융거래에 강제하기 시작한 이래로 한국의 전자금융 관련 산업은 “공인인증서에 의한”, 그리고 “공인인증서를 위한” 것이었다고 할 수 있다. 원래 인증, 보안기술은 거래를 안전하게 수행하기 위하여 존재하는 것이지만, 지난 10여 년 간 국내 상황은 공인인증제도의 안정적 영업 유지와 존속을 위하여 전자금융거래가 동원되는 ‘기형적’ 형국이었다.
정통부 연구 용역으로부터 알 수 있는 것들
1999년에 전자서명법이 제정된 직후, 공인인증 주무 관청(당시 정통부)과 인증업무 담당기관인 한국인터넷진흥원(KISA)이 공인전자서명 및 공인인증 제도 활성화를 위하여 수행하도록 한 연구 용역의 제목부터가 “금융 분야의 전자서명 활성화를 위한 법·제도 정비 방안 연구”였다는 점은 공인인증과 전자금융 간의 불행한 관계의 시작을 알리는 것이었다.
당시 연구 용역을 수행한 배대헌 교수(당시 계명대학 법학부 재직)는 금융거래가 실명으로 이루어져야 하므로 공인전자서명과 공인인증서를 사용하도록 법이나 제도로 강제할 수 있을 것처럼 암시하는 연구 용역 결과를 제출했다. 하지만 이런 입장은 애초에 명백히 잘못된 것이다. 금융실명제는 한국만 하는 것이 아니다.
금융거래가 실명으로 이루어지도록 기술적으로 확보하는 방법(본인확인기술)은 여러 가지가 있으며, 공인인증서는 그러한 여러 기술 중 하나에 불과한 것이다. 금융거래가 실명으로 이루어지도록 확보하기 위해서는 “기술적으로 신뢰할 만한 본인확인 수단을 사용하면 되는 것이지, 굳이 공인인증 기술을 사용해야 할 법적 근거는 전혀 없다”는 것이 학자적 양심에 부합하는 결론이라고 나는 생각한다.
● 보고서명: 금융 분야의 전자서명 활성화를 위한 법·제도 정비 방안 연구
● 연구책임자: 배대헌 (계명대학교 법학부 교수)
● 수탁기관: 한국통신정보보호학회
더욱이, 전자서명과 인증 기술의 활성화를 위하여 “법대 교수”에게 용역을 맡긴 정통부와 한국인터넷진흥원의 발상 자체가 애초부터 공평한 경쟁 하에서 기술력으로 소비자로부터 사랑받고 선택받는 서비스가 되겠다기보다는 법 제도와 행정권력을 동원하여 강제로 밀어붙이겠다는 강압적 태도를 노골적으로 내비치는 것이었고, 연구 용역의 주제 또한 전자서명 활성화를 위하여 금융거래를 동원하겠다는 식의 주객이 전도된 불행한 것이었다.
기술적·사업적으로는 도저히 이해가 되지 않는 시점에 와서까지도 (심지어 그 시점을 훨씬 지나서까지도) 공인인증서 사용이 무리하게 ‘강제’되어 온 원인은 바로 여기에서 찾아볼 수도 있을 것이다. 무리하게 오래 지속한 공인인증서 사용 강제로 인하여 관련 산업이 입은 타격과 무수한 이용자들에게 가해진 해악은 앞으로 차근차근 연구하고 정리해야 할 과제이다.
2015년, 드디어 공인인증서 강제 포기 등 규제 변화
다행히, 2015년에 들어서 금융위원회는 세 차례에 걸친전자금융감독규정 개정을 통하여 지난 13년 간 지속했던 공인인증서 사용 강제를 마침내 포기했을 뿐 아니라, 근본적인 규제 전략의 변화를 시도하고 있는 것으로 보인다. 그 내용을 간단히 설명하면 다음과 같다.
첫째, 보안 3종 세트 설치 의무 폐기
2015년 2월 3일 개정에서는 이른바 “보안 3종 세트” 설치 의무가 완전히 폐기되었다. 그동안 금융위·금감원은 이용자 PC나 단말기에 “보안프로그램 설치 등 보안대책을 적용할 것”을 강요해왔었는데, 이제 이 규정이 완전히 삭제된 것이다.
사실 추가 프로그램 설치 행위 자체가 엄청난 보안 위험을 새삼 초래하는 것일 뿐 아니라, 보안 조치를 오로지 이용자들에게만 떠넘기는 낙후된 발상이라는 지적은 오랫동안 계속되어왔다. 규제 당국이 마침내 이러한 비판을 이해한 것으로 보인다.
일회용 비밀번호(OTP)의 구현 방법과 관련해서도 이래라저래라 하는 시대착오적인 규정 때문에 다양한 신기술이 시장에 진입하지 못하고 있었는데, 이 규정 역시 이제는 합리적으로 개선되어 새로운 OTP 기술의 시장 진입이 자유롭게 되었다. 금융회사에 기술 자율성을 더욱 많이 허용하는 바람직한 개정이라고 생각한다.
둘째, 공인인증서 사용 강제 조항 삭제
2015년 3월 18일 개정에서는 공인인증서 사용 강제 조항이 13년 만에 드디어 삭제되었다. 그 대신, 시민단체인 오픈넷이 제출한 전자금융규제 개선 방안을 대폭 수용하여 금융회사가 “거래의 종류·성격·위험수준 등을 고려하여 안전한 인증방법을 사용”하도록 해당 조항이 개정되었다. 규제자가 인증방법을 지정하는 것이 아니라, 각 금융회사가 자신의 판단과 책임 하에 합리적인 인증방법을 선택하게 되었다.
그리고 그동안 국정원의 평가인증을 받은 보안 제품만을 사용하도록 강제해 옴으로써 국제적으로 널리 검증되고 사용되는 표준적이고 보편적인 보안 기술의 국내 시장 진입을 막고, 국내 업체들이 개발하여 국정원의 인증을 받은 비 표준적인 솔루션이 국내 시장을 장악하도록 해오던 경쟁 제한적 규제가 이제는 중단되었다. 보안 기술의 활발한 경쟁이 이루어질 수 있는 제도적 기반이 이제야 마련된 셈이다.
셋째, 관 주도의 보안성 심의 제도 폐지
2015년 6월 24일 개정에서는 그동안 금융감독원이 수행해왔던 “보안성 심의” 제도가 말끔히 폐지되고, 그 대신 전문성과 독립성이 있는 보안감사업체에 의한 보안점검(자체 보안성 심의) 제도가 도입되었다. 금융위원회는 “규정변경예고”에서 그 취지를 다음과 같이 설명하고 있다.
금융감독원 주도의 보안성 심의가 금융회사에 과도한 부담을 지우고, 금융회사의 자체적인 보안 수준 확보 노력을 저해함에 따라 보안성 심의를 전면 폐지
– 금융위원회 공고 제2015-138호 중
오픈넷은 그동안 금감원이 ‘보안성 심의’를 실제로 수행할 전문성이 아예 없고, 금감원의 보안성 심의는 일회적·형식적으로 수행됐고, 업계에 서류작업의 부담만을 줄 뿐 아니라, 영업비밀 노출의 위험을 강요하는 것이었다는 점을 지적해왔다. ‘관 주도’로 이루어지는 이러한 형식적 “보안성 심의”를 폐지하는 대신 전문 보안감사 업체에 의한 실질적인 보안점검이 이루어지도록 해야 한다는 오픈넷의 건의가 상당 부분 수용된 것으로 보인다.
이상의 개정 내용을 표로 정리하면 다음과 같다.
이제 진짜 변화가 시작될 차례다
이상의 개정 작업이 어째서 한 번에 이루어지지 못하고 3차에 걸쳐서 찔끔찔끔 이루어졌는지, 그 개정의 시간 간격이 어째서 이렇게 짧았는지, 과연 이러한 개정이 금융위원회의 자발적 각성과 변화의 결과인지, 아니면 모종의 외적 압력에 의하여 금융위원회가 마지 못해 규정을 이렇게 개정하게 되었는지를 필자가 짐작할 수는 없다.
하지만 2015년에 이루어진 세 차례의 감독규정 개정은 지난 10여 년간 지속해 왔던 “관치보안”의 악습을 벗어날 수 있는 계기를 제공하고 있음은 분명하다. 금융회사들이 더 큰 책임과 자율성을 가지고 다양한 보안 기술이 활발하게 경쟁하는 시대가 열릴 수 있는 제도적 기반이 일단은 마련된 것으로 보인다.
물론 아직은 변화를 체감하기에는 이르다. 은행들은 여전히 공인인증서를 사용하고 있다. 그동안의 관치보안 체제에서 수동적으로 하라는 것만 하는 데 익숙한 금융회사들이 앞으로 새롭게 등장할 경쟁환경을 과연 반길지 꺼릴지도 아직은 가늠하기 어렵다. 그러나 누구도 변화의 큰 물결을 거역할 수는 없을 것이다.
출처: 현재 모든 기존은행은 공인인증서는 물론이고 각종 액티브엑스, exe 설치 강요의 관행을 유지하고 있다.
그동안의 규제 체제는 어떠한 변화도 시장에 들어오지 못하도록 인위적으로 틀어막고 있었으나, 이제는 그러한 잘못된 제도는 철폐되었다. 조만간 등장할 조그만 변화들이 전자금융거래 시장의 커다란 지각 변동을 선도할 것이다.
