[보안뉴스 김지언] 전자금융사기에 대한 대안의 하나로 제기된 이상거래탐지시스템(FDS) 도입 강제화 및 활성화에 걸림돌이 제기됐다. FDS 도입을 위해 금융당국은 이상징후와 관련된 정보 공유, 이상거래에 대한 실시간 처리, 이를 처리할 전담인력 및 전문조직 구축 등을 금융회사에 요구했으나, 고객 정보보호를 위해 빠르게 공유되어야 할 사기 관련 정보를 공유하는 것 자체가 위법소지가 있다는 것.

이와 관련 FDS 산업포럼(회장 김인석)은 ‘유출 금융개인정보 수집과 공유에 대한 법적 타당성 검토 및 근거 마련’이라는 주제로 10일 여의도 메리어트 호텔에서 FDS 산업포럼 조찬간담회를 개최했다.

이날 간담회에서 테크앤로 구태언 대표변호사는 “현재 불법 수집된 금융정보를 민간 보안업체 등이 다시 수집한 후 행정기관이나 금융회사 등에 제공하는 것은 위반행위”라며 “전자금융사고 예방을 위해서 해커가 수집한 정보를 빠르게 공유할 필요가 있지만 이들 정보 수집 및 공유에 있어 불법적인 소지가 있기에 관련법을 개정해 적법성을 확보해야 한다”고 주장했다.

먼저 불법 유출된 금융정보를 수집하기 위해 정당한 접근권한 없는 시스템에 접근할 경우에는 정보통신망법에 위반되며, 또 이들 정보 공유를 위해 침해서버에 있는 금융정보를 수집하는 것은 다른 사람의 개인정보를 수집한 것이기에 개인정보보호법 위반이 된다.

그러나 개인정보와 금융정보가 유출돼 수많은 사용자들이 피해를 입고 있는 상황에서 해커들이 유출한 정보를 미리 수집하고 이를 이용해 사전에 대비하는 것이 필요하다는 것이 구 변호사의 주장이다.

대안으로 구 변호사는 정보통신법 제64조 제3항을 개정해 정부기관의 사업장 출입 등 행정조사권을 정보통신망을 포함하는 것으로 일부 개정해 한국인터넷진흥원 등에 충분한 안전조치와 함께 위탁하는 방안을 제시했다.

이와 관련 문일준 빛스캔 대표는 “FDS를 도입하는 것이 문제가 아니라 도입 후 오진 및 부적절한 대응으로 인한 이슈를 줄이는 것이 더 중요하다”며 “해커가 금융정보 탈취에 사용한 서버에 침투해 그들이 가져간 공인인증서, 해킹 당한 사용자의 정보 등의 고객 정보를 FDS에 적용한다면 FDS 운영 및 검토에 필요한 시간을 절반 이상으로 줄일 수 있을 것”으로 예측했다.

그러나 적법성이 확보돼 유출된 금융정보를 민간 보안업체 등이 금융사, 한국인터넷진흥원, 금융보안원 등에 전달할 수 있을지라도 이들 기관 및 기업 간의 정보 공유에서 문제가 발생한다. 서로가 취득한 금융정보를 다른 곳과 공유할 수 있을 만한 법적 권한이 없기 때문.

금융감독원 정인화 IT 감독실장은 “금융사고의 피해를 줄이고 FDS 구축 확산을 위해서는 금융기관 간의 정보공유가 필수”라며 “공격자들이 지속해서 새로운 공격방식을 연구하고 보안 시스템과 보안 정책을 우회하는 방법을 연구하는 시점에서 우리 역시 그들에 대응할 수 있도록 정보 공유를 위한 정책 마련과 법 개정에 관한 논의가 계속되어야 한다”고 밝혔다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>