법령

2009.04.13 글쓴이 youknowit

관련 법령을 정리한 마인드맵 파일은 여기 있습니다.

공인인증서를 ‘반드시‘ 사용해야 하고, 키보드보안/방화벽/안티바이러스 프로그램을 고객PC에 ‘강제로‘ 설치해야 한다고 오해하는 은행 관계자 분들이 많아서 안타까울 따름입니다. 누가 그런 거짓정보를 퍼트리고 다녔는지, 참…

관련 규정은 이렇습니다.

전자금융감독규정
제7조(공인인증서 사용기준)
모든 전자금융거래에 있어 「전자서명법」에 의한 공인인증서를 사용하여야 한다. 다만 기술적·제도적으로 공인인증서 적용이 곤란한 전자금융거래로 감독원장이 정하는 경우에는 그러하지 아니하다.

전자금융감독규정시행세칙

제29조(전자금융거래 시 준수사항)
① [생략]
② 3. 이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에 개인용 침입차단시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능)

제31조(전자금융거래에 있어서 공인인증서 사용 예외)
금융기관 또는 전자금융업자가 수행하는 전자금융거래 중 공인인증서를 사용하지 않고 할 수 있는 전자금융거래는 다음 각 호와 같다.
1. 본인 계좌에 대한 조회 업무
2. 전화, CD/ATM 등과 같이 공인인증서의 설치·운용이 불가능한 수단을 이용한 전자금융거래
3. 등록금, 원서접수비 등 본인확인이 가능하고 입금계좌가 지정되어 있는 경우
4. 전자상거래에서 지급결제로서 30만원 미만의 신용카드 결제 또는 온라인 계좌이체
5. 전자화폐, 선불전자지급수단을 온라인상에서 사용하는 경우
6. 금융기관 등이 범위를 정하여 공인인증서 적용을 제외할 것을 감독원장에게 요청하고 감독원장이 이를 승인하는 경우

요컨대,

첫째, 금융기관이 원하기만 하면, 키보드보안 등 프로그램 설치를 강제하지 않아도 됩니다. 일회용 비밀번호를 사용하거나, 스크린 키패드를 사용하면 키보드보안 프로그램을 대체할 수 있습니다. 실제로 그렇게 하는 금융기관들이 있습니다.

둘째, 로그인 단계에서 당장 공인인증서를 사용할 의무는 없습니다. 계좌 조회는 공인인증서를 사용하지 않아도 됩니다. 그리고, 등록금, 원서접수비 등 누구를 위한 돈인지가 분명하고 입금계좌가 지정된 경우에는 이체거래에도 공인인증서를 사용하지 않아도 됩니다. 등록금, 원서접수비 뿐만 아니라, 공과금 납부거래 등도 여기에 해당하지 않겠습니까?

셋째, 30만원 미만 전자상거래에는 공인인증서 사용의무가 아예 없습니다. 대부분의 인터넷 쇼핑 거래가 여기에 해당합니다. 영화예매, 온라인 서점 등.

공인인증서를 사용하고 보안프로그램 설치를 강제해 두면, 사고가 터져도 은행이 책임을 면한다는 규정은 어디에도 없습니다. 사고가 터지면 대부분의 경우 은행이 갚아줘야 합니다. 보안프로그램 설치가 은행의 면책에 도움이 된다는 주장은 무수히 반복되었지만(누가 퍼트렸는지 모르겠지만), 근거도 없고 사실도 아닙니다. 여기 참고

MS IE 외의 이용환경

대법원은 오픈웹 소송에서 공인인증기관은 MS IE 사용 환경에서만 공인인증 서비스를 제공할 의무가 있다고 판결하였습니다. 즉, 한국의 공인인증서비스는 MS IE 전용입니다.

보안업체와 금감원은 “기술적으로 가능하기만 하면” 공인인증서를 반드시 사용해야 한다고 주장하지만, 대법원이 제공 의무가 없다고 판결한 공인인증서비스를 금감원장이 사용하라고 우길 권한은 없습니다.

기술적으로 “가능”하면, 법적으로 “사용할 의무”가 있다? 대법원에 물어보시죠 ㅎㅎ… 파폭에서 공인인증서 발급이 기술적으로 “가능”하지만, 발급해 줄 “의무”는 없다는 것이 대법원 판결입니다.

스마트폰 등 MS IE 외의 환경에서도 공인인증서 사용 “의무”를 지우려면, 공인인증기관이 그 환경에서 공인인증서비스부터 제공해야 합니다. 쇼핑몰이나 은행이 그 서비스를 대신 제공할 의무는 없고, 금감원장이 그 의무를 만들어 낼 수도 없습니다.

공인인증서 이용에 필요한 쉬운 수단(프로그램)

전자서명법 제22조의2는 은행, 쇼핑몰, 결제대행사 등 각종 서비스 제공자들(전자서명법은 이들을 “이용자”라고 부릅니다)에게 공인인증기관이 “쉬운 수단”을 제공해야 한다고 규정하고 있습니다.

대법원 2009다29038 판결에 의하면,

1. 전자서명법 제22조의2 제2항, 제3항의 쉬운 수단은 “전자금융의 비대면성을 고려하여 이용자로하여금 공인인증서가 가입자에 의하여 사용되었는지를 확인할 수 있도록 하기 위한 것”입니다.

2. 쉬운 수단을 제공할 의무는 “공인인증기관의 가입자에 대한 공인인증역무 제공의무를 전제로 하는 것”입니다. 즉, 가입자에 대하여 공인인증역무 제공의무가 있으면 이용자에게 쉬운 수단을 제공할 의무도 있고, 가입자에 대하여 공인인증역무 제공의무가 없으면, 이용자에 대한 쉬운 수단 제공의무도 없습니다.

MS IE에서는 공인인증기관에게 공인인증역무 제공 의무가 있으므로, 은행 등 “이용자”는 “공인인증서가 가입자에 의해 사용되었는지를 확인할 수 있도록” 쉬운 수단을 제공하도록 공인인증기관에 요구할 수 있습니다(전자서명법 제22조의2).

나머지 이용환경에서는 공인인증기관도 서비스 제공의무가 없고, 은행 등 이용기관이 공인인증기관을 대신해서 쉬운 수단을 스스로 마련해야 할 의무도 없습니다.

2007.4.26. 정보통신부 장관 민원회신에서도 다음과 같이 확인하고 있습니다:

현행 전자서명법에 따르면, 은행(이용자)이 공인인증기관의 S/W를 이용할지, 전문보안업체의 S/W를 이용할지는 은행(이용자)의 영업상의 자율선택 사항입니다.

선택권은 은행 등 이용자에게 있습니다. 은행 등이 공인인증기관의 소프트웨어를 이용하기로 선택하면, 공인인증기관이 그것을 거부할 수는 없습니다. 은행이 공인인증서 이용에 필요한 소프트웨어를 스스로 마련해야 할 의무는 없습니다.

은행이 돈이 남아돌고 “스스로 흥에 겨워” 그런 소프트웨어를 자진 마련해서 사용한다고 해서 처벌 받을 이유도 없겠지만…

전자서명 관련 법령

금융결제원 관련

전자금융 관련 규정

공정거래 관련

최근 개정 사항이 반영되지 않은 경우도 있을 수 있음을 주의하시기 바랍니다.

최근 개정사항이 반영된 문서는 한국 정보보호진흥원 웹사이트에서 열람하거나 내려받을 수 있습니다: 여기 (파이어폭스로는 법령을 제대로 볼 수 없도록 되어 있네요…)

2 Pingbacks/Trackbacks