• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

주요국 전자금융사고 책임소재 관련 법규는? 2013.07.03

전자금융거래법 개정안 11월 시행...금융사고 책임소재 명확해야 


[보안뉴스 김경애] 올해 4월 30일에 전자금융거래법 일부개정법률안이 통과되면서 개정된 법률안이 올해 11월 23일부터 시행될 예정이다.


개정된 전자금융거래법은 전자금융거래의 안전한 기반조성을 위하여 해킹관련 책임을 명확히 하고, 금융회사 및 전자금융업자에게 전자금융기반시설에 대한 취약점을 스스로 분석 및 평가하도록 했다. 또한, 전자적 침해행위 금지 및 침해사고 발생시 금융위원회 및 금융회사 등의 대응조치를 하도록 하는 등의 내용이 신설됐으며, 금융감독원장이 필요한 경우 금융권에 대해 조사할 수 있는 근거도 마련했다.


특히, 해킹 등에 의해 발생될 수 있는 이용자의 피해에 대하여 금융회사 또는 전자 금융업자가 책임을 부담하는 규정을 신설했다. 기존 무과실책임원칙의 사유로써 접근매체의 위조와 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고 이외에 해킹 등에 의한 사고가 추가된 것.

그러나 최근 우리나라에서 잇따른 전자금융사고가 발생하고 있는 가운데 책임소재 관련 법규에 관한 명확한 가이드라인이 필요하다는 의견이 제기되고 있다.

대부분의 주요국들은 ‘무권한 거래(Unauthorized Electronic Fund Transfer)’에 따른 이용자 보호에 만반의 준비를 하고 있는 것으로 알려져 있기 때문이다.


이와 관련 금융보안연구원에서 발간한 ‘금융보안주요국 전자금융사고 책임소재 관련 법규 분석 및 시사점’에 대한 분석보고서에 따르면 미국의 경우, ‘전자자금이체법’(EFTA, Electronic Fund Transfer Act) 및 ‘규정 E’에 따르고 있고, 영국과 독일은 유럽연합의 ‘지급결제서비스지침(PSD, Payment Services Directive)’을 바탕으로 각각 ‘지급결제서비스규정(PSR, Payment Services Regulations)’과 ‘민법(BGB, Burgerliches Gesetzbuch)’을 따르고 있으며, 호주는 ‘전자지급결제규약(e-Dode, ePayments Code)’ 등을 제정 및 시행하고 있다.


미국은 이용자의 ‘무권한 거래’에 대한 금융회사 통지 여부 및 그 기간을 기준으로 이용자의 책임을 구분하고, 보다 세부적으로 접근매체의 도난 또는 분실 사실에 대해서는 금융회사 통지기간에 따라 책임을 달리 정하고 있다. 원칙적으로는 영업일 60일의 통지기간 기준을 정해놓고, 세부적으로는 접근매체의 도난 또는 분실 여부에 따라 통지기간을 영업일 2일 이내, 영업일 3~60일 이내, 영업일 60일로 나눈다. 이에 따라 이용자의 책임범위를 면제하는데, 최대 50달러 또는 500달러, 피해액 전부 등으로 구분하여 정하고 있다.


‘지급결제서비스지침’은 영국과 독일을 포함한 유럽연합 회원국들이 각국의 전자금융환경에 따라 자국법에 적절히 수용할 수 있도록 통지기간 및 책임범위에 관한 지침의 내용을 적극 반영하고 있다. 다만, 통지기간은 조사국가가 모두 지침 상의 통지기간인 13개월을 수용한 반면, 이에 따른 이용자의 책임부담 금액은 독일이 지침을 그대로 수용하여 150 유로, 영국이 하향조정하여 50파운드로 정하고 있다.


호주는 미국, 유럽연합 등과 같이 무권한 거래에 대한 금융회사 통지 여부에 따라 이용자의 책임부담 금액을 최대 150호주달러로 정하고 있다. 다만, 호주의 경우 두 가지 측면에서 차이점이 있다. 먼저 규제법규가 자율규약으로 내용은 상세하지만 구속력 측면에서 다소 약할 수 있다는 점이다.

하지만, 호주 증권투자위원회가 법규준수를 감독하고, 170여개 금융회사가 회원으로 가입하여 해당 규약을 준수할 책임이 있다는 측면에서 실효성이 확보되고 있는 것으로 판단된다. 또 다른 한 가지는 이용자의 금융회사에 대한 통지 여부만 규정하고 있을 뿐, 통지기간은 별도로 정하고 있지 않다는 점이다.  


국내에서도 ‘전자금융거래법’ 제9조에서 금융기관 또는 전자금융업자의 책임을 규정해 이용자를 보호하고 있다. 그러나 앞의 통지기간 또는 책임부담 범위 등에 대해서는 명시하고 있지 않다.


기술 발전이 빠르고, 사고로 인한 피해가 큰 전자금융사고의 특성상 금융회사 또는 전자금융업자, 이용자 등의 보호에 있어서 가장 중요한 요소는 바로 사전예방이다.


따라서 금융보안연구원은 이를 위한 방안으로 국내 전자금융환경을 우선 고려하고, 이용자 보호라는 명확한 원칙을 수립한 후, 예외적으로 금융회사와 전자금융업자의 책임을 감경시켜 주는 합리적인 기준의 검토가 요구된다고 밝혔다. 또한, 이와 관련된 주요국의 사례를 연구해 전자금융사고 사전예방 및 사후구제의 양 측면을 보다 적극적으로 검토할 필요성에 대해 언급했다.

 

한편, 금융보안연구원에서 발간한  ‘금융보안주요국 전자금융사고 책임소재 관련 법규 분석 및 시사점’ 분석보고서 전문은 보안뉴스 홈페이지 컨텐츠 코(http://www.boannews.com/security_contents/info/list.asp)에서 확인할 수 있다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>