금융위원회가 최근 현대캐피탈·농협전산망 마비 등 금융관련 보안사고에 따른 대책으로 ‘전자금융감독규정 전부개정안’을 마련했다. 관련업계는 “개정안의 내용이 부실해 오히려 보안성을 퇴보시키고 금융위원회의 권한만 강화됐다”며 반발하고 있다.
11일 업계에 따르면 금융위원회가 새로 마련해 공개한 ‘전자금융감독규정 전부개정안’에는 △고객동의 하에 이용자 단말기에서 보안프로그램 설치 해제 가능 △보안등급별 자금이체한도 폐지 조항 등이 삽입됐다.
보안업계 전문가들은 “보안프로그램이 설치돼 있어야만 금융거래가 가능한 현행 규정보다도 후퇴한 감독규정”이라고 지적했다. 해킹으로 보안사고가 급증하는 시점에서 나온 대책으로는 미흡하다는 설명이다. 해킹사고 시 입증할 책임을 가지고 있는 금융업계도 사용자 선택으로 보안프로그램이 해지됐을 경우 과실책임 입증에 어려움이 따를 것으로 우려했다.
바뀐 ‘정보보호시스템 분류표’엔 키보드 해킹방지나 정보보호 USB 등이 명시된 반면에 PC정보보호라는 모호한 표현이 추가돼 구체적으로 어떤 보안프로그램을 의미하는지도 명확치 않다. 기존 PC방화벽 실행 의무화 부분이 누락되면서 다계층 보안 위협을 효과적으로 방어하기가 어렵다는 지적이다.
현행 보안등급별 이체한도 지정을 폐지하고 보안등급이 아닌 거래수단에 의한 지급이체로 변경한 것도 논란거리다. 기존엔 일회용비밀번호(OTP)+공인인증서, HSM 방식 공인인증서+보안카드, 보안카드+공인인증서+투채널 인증 등을 1등급으로 규정해 거래금액을 차등 적용했다. 하지만 개정안에선 보안등급 규정을 삭제하고 거래수단으로 단일화해 보안성 약화 우려를 낳고 있다.
금융위원회는 감독규정시행세칙에 포함된 30여개 조항을 금융위원회 전자금융감독규정으로 이관하면서 금융감독원에서 수행 중인 보안성 심의업무도 일부 수행키로 했다. 하지만 금융위원회엔 보안전문인력이 없을 뿐만 아니라 업무수행 능력도 부족해 그간 금융감독원에서 수행해왔던 노하우와 기술을 원점으로 되돌렸다는 논란도 일고 있다.
오득용 금융위원회 의사운영정보팀 사무관은 “보안등급별 이체한도 지정 단일화는 스마트폰으로 변화되는 사용자 환경 변화에 따른 조치”라며 “사용자의 선택으로 보안 프로그램을 선택하는 부분 역시 기술의 변화에 따라 책임과 권한을 금융권에 부여한 것”이라고 설명했다.
그는 “개정안에서 매년 취약성 평가 등을 시행토록 돼있어 보안성이 약화되지는 않았다”며 “CIO 의무화, 사고 시 CEO 책임 부가 및 정규인원 50% 이상 유지 등 강력한 규정을 추가해 은행권이 스스로 판단하고 수행할 수 있는 부분에 대해서는 자율권을 부여했다”고 덧붙였다. 보안기술 변화추이에 맞게 은행들이 능동적으로 수행할 수 있도록 조정했다는 설명이다.
논란이 되고 있는 ‘전자금융감독규정안 전부 개정안’은 22일까지 이메일로 문제가 있는 부분에 대한 의견을 접수한 후 총리실 규제, 내부위원회 상정을 거쳐 9월 중으로 고시될 예정이다.
장윤정기자 linda@etnews.com
