지급효력 지연조치 의무화, CISO 겸직제한 등 전자금융거래법 강화 
올 한해 바람 잘 날 없었던 금융권, 개정 법률 대응 최우선 과제  

[보안뉴스 김경애] 올해 초 카드사 개인정보 유출사태를 비롯해 최근 금융권의 텔레뱅킹 사건에 이르기까지 잇따른 보안사고 발생으로 금융권의 고민이 이만 저만이 아니다. 연이어 터지는 금융사고에 이용자들의 불안감은 갈수록 커지고 있으며, 각종 규제 강화와 법률 개정으로 인해 금융권에 대한 보안요구 사항은 점차 높아지고 있다.

이에 정부는 올해초 발생한 카드사 사건을 기점으로 줄줄이 발생한 금융사고와 그동안 논란이 이어진 공인인증서 이슈 등에 대응하기 위해 전자상거래 분야의 제도 개선을 추진했다.

지난 5월 20일 전자상거래 카드결제 시 공인인증서 사용의무가 폐지됐고, 지난 7월28일 전자상거래 결제 간편화 방안 마련이 발표됐다. 이후 9월 30일 전자금융거래 특정 기술 및 인증방법 강제가 금지되는 내용으로 전자금융거래법 일부가 개정됐으며, 지난 10월 1일 카드정보저장 지급결제대행업체(PG) 기준이 발표됐다. 

이로 인해 금융권은 컴플라이언스 준수를 위해 개정된 법률내용을 우선적으로 살펴볼 필요가 있다. 그중 내년 4월부터 본격 시행되는 전자금융거래법 개정안에 주목해야 한다.

먼저 전자금융거래법 개정안의 주요 내용으로 △지급 효력 지연조치의 의무화 △정보보호최고책임자 겸직제한 △제3자에 대한 업무위탁 금지 △거래정보의 목적외사용 시 과징금 부과 규정 등이 신설됐으며, △공인인증서 외 자율적 보안수단 결정 △불필요한 거래기록 파기 △정보를 타인에게 제공·누설 또는 목적외 사용행위에 대한 벌칙 강화 △안전·신뢰성 확보 의무 미이행시 과태료 부과 등의 조항이 개정됐다.

첫째, 지급효력 지연조치 의무화는 이용자가 원할 경우 금융회사는 전자자금이체가 실시간으로 실행되지 않고, 일정시간 지연할 수 있도록 하는 조치를 의무적으로 취해야 한다. 이는 전자금융거래법 제13조제2항 신설로 의무화됐으며, 오는 2015년 10월15일부터 본격 시행된다.

반면 이용자 입장에서는 비즈니스 업무상 중요하게 실시간 계좌이체를 해야 할 경우가 있다. 물론 안전한 환경하에서 말이다. 이와 관련 순천향대학교 염흥열 교수는 “보안기능이 탑재된 인증수단은 이미 다양하게 나와 있기 때문에 이용자가 자유롭게 선택해 적용할 수 있다”고 제시했다.

둘째, 총자산 2조원 이상, 종업원 수가 300명 이상인 규모의 대형 금융회사나 전자금융업자는 정보보호최고책임자(CISO)의 겸직이 제한된다. 이는 전자금융업무 및 정보기술부문 보안의 독립성과 책임성을 확보하기 위해 새롭게 신설(제21조의2제3항)됐으며, 오는 2015년 4월 16일부터 시행된다.

셋째, 정보보호관련 업무를 위탁받은 전자금융보조업자는 금융위원회가 인정하는 곳 외에 해당업무를 제3자에게 재위탁하면 안 된다. 이러한 규정은 제40조제6항으로 신설됐으며, 오는 2015년 4월 16일부터 시행된다.

넷째, 전자금융거래정보를 제공·누설하거나 업무상 목적 외에 사용한 경우 50억원 이하의 과징금 부과(제46조제1항 신설, 2015년 4월 16일 시행) 규정이 신설됐다.

다섯째, 공인인증서외 자율적 보안수단 결정의 경우 공인인증서 사용을 강제하는 근거로 작용할 수 있는 규정을 보완해 금융회사가 자율적으로 금융보안 수단을 결정(제21조제2·3항, 2015년 4월 16일 시행)할 수 있도록 한 것이다.

여섯째, 정보를 타인에게 제공·누설 또는 목적외 사용행위에 대한 벌칙이 강화됐다. 이는 접근권한이 없는 자가 데이터를 유출하거나 전자금융거래업무를 수행함에 있어 알게 된 정보를 타인에게 제공·누설하거나 업무상 목적 외에 사용할 경우, 제49조제1항에 따라 10년 이하의 징역 또는 1억원 이하의 벌금이 부과되며 2015년 4월 16일 본격 시행된다.

일곱째, 금융회사 등이 전자금융거래의 안전성과 신뢰성을 확보 의무를 이행하지 않을 경우 제51조제1항에 따라 내년 4월 16일부터 5천만원 이하의 과태료가 부과된다.

마지막으로 불필요한 전자금융거래기록은 22조제2항에 따라 반드시 파기해야 하며, 내년 4월 16일부터 시행된다.

이외에도 금융회사와 전자금융업자의 손해배상책임 근거 조항인 제9조에는 전자금융업자의 책임을 명시하고 있다. 명시된 내용은 △접근매체의 위·변조로 발생한 사고 △계약체결 또는 거래지시의 전자적 장치 또는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조제1항제1호에 따라 정보통신망을 침입해 부정획득한 접근매체로 발생한 사고 드으로 이용자에게 손해가 발생하면 손해배상 책임이 주어진다.

물론 이용자의 고의나 중대한 과실이 있으면 금융회사의 책임이 감면될 수 있다. 하지만 그 책임을 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결해야 하며, 중대한 과실은 대통령이 정하는 범위 안에서 전자금융거래에 관한 약관에 기재된 것(제2항 제1호의 규정)에 한한다고 규정해 놓았다.

이와 관련 법률사무소 테크앤로 구태언 대표변호사는 “무단 재발행 되는 접근매체로 인한 사고나 정통망법에 위반되는 침입 등의 경우 소송이 휘말리게 되면 패소할 수 있다”며 “폰뱅킹도 여기에 해당되기 때문에 금융권의 보안강화가 시급하다”고 말했다.

이어 구 변호사는 “평소 전자금융보호를 위한 관리·감독이 지속적으로 이루어졌는지가 핵심”이라며 “금융기관의 사후적 책임이 갈수록 증가하고 있기 때문에 법적 준수와 함께 사고에 대한 기술적·관리적 대응이 중요하다. 또한 탈 공인인증서 및 안전한 보인인증 방법이 필요하며, 개정 법령 대응을 위해 CISO 겸직 제한 및 회사 조직의 재구성과 안전성·신뢰성 확보 방안을 강구해야 한다”고 강조했다.

각종 보안사고로 연초부터 연말까지 한시도 편할 날이 없었던 금융권. 각 은행과 금융권의 경영진과 CISO들은 올해가 얼마 남지 않은 이 시점에 우선적으로 전자금융거래법 개정안의 주요 사항을 꼼꼼하게 점검해서 해당 은행에 차질 없이 적용시켜야 할 것으로 보인다.    

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>