현행 전자금융감독규정의 문제점1

2013.03.01 글쓴이 youknowit

이어지는 몇개의 포스팅에서 현행 전자금융감독규정 중 심각한 문제를 안고 있는 몇몇 조항을 간략히 지적하고자 한다.

제34조 제2항 제3호

해킹 등 침해행위로부터 전자금융거래를 보호하기 위해 이용자의 전자적 장치에 보안프로그램 설치 등 보안대책을 적용할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램을 해제할 수 있다)

“보안프로그램의 설치 등”

보안프로그램을 유저의 PC나 디바이스에 “설치”하는 것이 과연 적절한 보안대책인가? 유저에게 공인인증서 개인키를 나누어주고 그것에 모든 것을 의존하는 현재의 “보안 발상” 하에서는 유저의 디바이스가 침해되지 않아야 한다는 것이 절대적인 명제로 될 수 밖에 없다. 하지만 보안프로그램을 “설치”하게 한다고해서 이미 침해된 유저의 디바이스에서 인증서 개인키 파일이 유출, 탈취되는 사태를 과연 막을 수 있을까? 그것은 기술적으로 아예 불가능하다.

고작해야 인증서 비밀번호의 유출을 키보드해킹방지 플러그인으로 막아보겠다는 수준의 발상이지만, 이또한 유저가 다른 웹사이트(키보드보안 플러그인이 작동하는 금융거래 웹사이트 외의 다른 사이트)에서 입력하는 비밀번호의 유출을 막을 수 없고, 그러한 비밀번호와 인증서 비밀번호가 일치하는 경우가 대부분이라는 점을 고려하면, 별 의미가 없는 조치이다.

특히, 유저 입장에서는 웹사이트가 설치하라는 프로그램이 과연 보안프로그램인지, 악성프로그램인지를 정확하게 구분하는 것이 불가능하다는 점을 전혀 고려하지 않은 조악한 발상이라고 생각한다. 부가프로그램의 설치를 대수롭지 않게 여기도록 유저의 이용행태를 오히려 위험하게 유도하는 대표적인 독소규정이라고 본다.

“고객의 책임으로 본인이 동의”?

더욱 황당한 내용은 이 조항 단서에 있다. “고객의 책임으로 본인이 동의하면 보안프로그램을 해제할 수 있다”고 규정한 부분이 바로 그것이다. “내가 모든 책임을 질터이니, 나는 부가프로그램을 설치하지 않고 거래하겠다”고 고객이 동의하는 상황을 금융위원회가 스스로 상정하고 있다. 은행/카드사 등 금융기관이 고객에게 모든 책임을 떠넘기려면 이 조항을 이용하라는 듯한 착각이 들 지경이다.

하지만, 고객의 이러한 “동의”는 전자금융거래법 상 아무 효력도 없다. 전자금융거래법 제9조는 전자금융 사고거래의 책임을 원칙적으로 금융기관이 부담하도록 규정하고(그래야 금융기관이 보안에 투자할 인센티브가 생기기 때문이다. 책임을 안져도 된다면 금융기관이 보안에 투자할 이유가 없을 것이다), 예외적으로 개인고객의 “고의나 중대한 과실”이 있는 경우에 한하여 책임을 고객에게 지울 수 있도록 규정하고 있다. 그러나 이때 말하는 “개인고객의 고의나 중대한 과실”은 함부로 그 범위를 확장할 수 있는 것이 아니다. 전자금융거래법 제9조 제3항은 “이용자의 고의나 중대한 과실은 대통령령이 정하는 범위 안에서 전자금융거래에 관한 약관에 기재된 것에 한한다“고 규정하고 있으며, 대통령령(전자금융거래법 시행령) 제8조는 이용자의 “고의나 중대한 과실”을 다음 두가지만으로 제한하여 규정하고 있다.

1. 이용자가 접근매체를 제3자에게 대여하거나 그 사용을 위임한 경우 또는 양도나 담보의 목적으로 제공한 경우…
2. 제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 알았거나 쉽게 알 수 있었음에도 불구하고 접근매체를 누설하거나 노출 또는 방치한 경우

이 두가지 경우 외에는 아무리 고객이 “내가 모든 책임을 지겠다”고 금융기관과 약정해봐야 법적으로 그런 약정은 아무 효력이 없는 것이다. “금융기관이 내려주는 부가프로그램을 설치하지 않을 경우”에는 고객에게 책임을 떠넘길 수 있다는 규정은 없다.

요컨대, 현행 전자금융감독규정 제34조 제2항 제3호 단서는 법률 지식이 전혀 없는 고객들에게 “너가 책임진다고 동의했으니, 책임 져라”는 식의 억지 주장(법적으로는 아무 효력도 없는 주장)을 금융기관이 “일단은” 내세울 수 있도록 해주겠다는 말 밖에 되지 않는다. 물론 이런 주장은 법원에 가면 당장에 배척될 것이지만, 그 단계까지 가기 전에 고객을 윽박지르고 고객을 심리적으로 위축시키는 역할을 톡톡히 할 것이다.

이런 부당한 “협박성” 규정을 금융위원회가 백주대낮에 걸어놓고 있다는 사실이 믿어지지가 않는다. 금융위원회가 과연 누구의 이익을 위하여 존재하는 기구인지 묻고 싶다. 법률에 근거도 없고, 법적으로는 아무 효력도 없는 억지 주장을 금융기관이 이용자에게 내세우도록 조장하려는 것인가? 과연 누가 이런 규정을 전자금융감독규정에 박아 넣어둔 것인가?

부끄럽지도 않은가?

Categories: 보안, 인터넷 뱅킹, 인터넷 쇼핑 | Comments Off  오픈웹 구독 메일로 받기

«

»