금융감독원에 드리는 건의

2010.02.06 글쓴이 youknowit

아이폰의 국내 도입은 한국 인터넷 거래 환경에 적지 않은 충격을 가져왔습니다. 그동안 고립에 고립을 거듭하며 기형적으로 진행되어 온 한국의 IT/인터넷 기술과 산업의 실상이 이 일을 계기로 표면화되는 국면이라고 생각합니다. 아이폰 도입은 그 시작에 불과합니다. 이제 쏟아져 나올 새로운 기기들은 지금까지 유지되어 왔던 한국의 인터넷 거래 환경의 기형적 상황을 더이상 지속하기 어렵게 만들 것입니다.

“하나은행/기업은행 아이폰 앱 사건”에서 불거져 나왔듯이 업계는 이미 금융감독원의 규제 체제를 더 이상 수용할 수 없다는 입장입니다. 금융감독원의 보안성 심의를 거치지 않은 상태에서 서비스를 시작하거나, 서비스 제공 일정을 공지하는 사태는 금융감독원 규제 체제 자체에 대한 업계의 근본적 회의를 웅변적으로 말해줍니다. 이 사태를 엄중하게 받아들이시기 바랍니다. 감독규정과 행정권한만을 내세워 업계의 선도적, 능동적 initiative를 오직 제재하는 데에만 골몰하신다면, 금융감독원은 점점 더 조롱과 고립의 길을 가게 될 가능성이 오히려 큽니다.

특히 아이폰에서도 이른바 “보안프로그램” 설치를 강제하려 시도하실 경우, 아이폰이 무엇인지, 어떤 보안 기술적 기초에서 운용되는 기기인지조차도 모르는 컴맹 규제기관이 시대착오적 권한 남용으로 일관한다는 냉엄한 결론을 피할 길이 없게 될 것입니다. 금융감독원의 지시를 따르려면 국내 아이폰사용자는 모두 아이폰 탈옥(jailbreak)을 해야한다는 농담이 이제 공공연히 나돌고 있습니다. 아이폰 탈옥이 무엇인지 이해하지 못하시면 이것이 무슨 농담인지도 모르실 것입니다. 만일 아이폰 탈옥이 무엇인지 모르시면서 아이폰에 대한 보안성 기준을 제시하려 시도하신다면, 그것은 국가적 비극이고, 국제적 수치입니다. 현재 트위터에 홍수처럼 쏟아져 나오는 금융감독원에 대한 조롱과 원성과 절망적 평가를 심각하게 받아들이셔야 합니다.

전자금융 규제 기구로서의 금융감독원은 현재 위기 상황에 놓여 있다는 점을 직시하시기 바랍니다.

과학/기술/산업이 모두 만나는 금융 IT/인터넷 상거래 부문에 대하여 “보안”이라는 미명하에 섣불리 행정강제력을 동원하여 규제의 칼날을 마구 휘두를 경우 우리의 과학/기술/산업 발전 모두에 심각한 타격을 가하고 이 분야 전체를 심각한 정체상태로 몰아 넣어 국가경쟁력을 저해할 위험이 크다고 생각합니다.

이 기회에 지금까지 운용해 오셨던 규제 행태를 근본적으로 되돌아 보시기 바랍니다.

전자금융거래법

먼저, 전자금융과 관련하여 금융감독원이 행사하는 규제 권한의 근거 법률부터 면밀히 살펴보시기 바랍니다. 전자금융거래법 제21조 제2항은 다음과 같습니다:

금융기관등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류별로 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다.

제21조 제3항은 다음과 같습니다:

금융위원회는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 「전자서명법」 제2조제8호의 공인인증서의 사용 등 인증방법에 대하여 필요한 기준을 정할 수 있다.

IT/인터넷 기술 분야에서 “기준”이라는 용어는 “기술 표준(technical standard)”이라는 의미입니다. “기준”이나 “표준”은 강제력이 있는 기술 규정(technical regulation)과는 근본적으로 성격이 다릅니다. “기준”으로 정해 둘 사항이 있고, “규정”으로 정해둘 사항이 있으며, 법률이 “기준”이라는 용어를 분명히 선택한 이유는 해당 사안에서 특정 기술을 “강제”하는 규정을 섣불리 도입할 경우 매우 심각한 부작용이 우려되기 때문입니다. 과학/기술/산업 관련 법률가들에게는 이점은 이미 논란의 여지가 없는 내용입니다.

따라서 근거 법률인 전자금융거래법은 금융감독원에게 보안이나 인증방법에 대하여 어떤 강제력 있는 규정을 제정할 권한을 애초에 부여하지 않고 있다는 해석이 가능하다는 점을 감안하셔야 합니다. 특히, 금융감독원이 위 조항에 의거하여 정하는 “기준”을 준수하지 않았을 때 금융기관을 제재할 근거 법률 규정 또한 전혀 존재하지 않는다는 사실은 이 조항들에서 말하는 “기준”이 강제력이 없는 “기술 기준”이라는 해석을 더욱 뒷받침하고 있습니다.

전자금융감독규정 제7조, 전자금융감독규정 시행세칙 제29조 제2항 제3호

그러나, 법률의 위임을 받아 금융감독원이 제정한 하위 규정들에서는 마치 금융감독원에게 강제력이 있는 “기술 규정(technical regulation)”을 제정하여 특정 기술의 사용을 마구 강요할 수 있는 권한이 있는 듯 다음과 같이 정하고 있습니다

모든 전자금융거래에 있어 「전자서명법」에 의한 공인인증서를 사용하여야 한다. 다만 기술적·제도적으로 공인인증서 적용이 곤란한 전자금융거래로 감독원장이 정하는 경우에는 그러하지 아니하다. (전자금융감독규정 제7조)

이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에 개인용 침입차단시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능) (전자금융감독규정 시행세칙 제29조 제2항 제3호)

이러한 규정은 법률이 금융감독원에 부여하지도 않은 권한을 금융감독원이 불법적, 월권적으로 행사하는 것이라는 지적을 받을 여지가 있습니다.

건의 사항

전자금융거래가 활발하게 이루어지는 외국 어느 나라에서도 우리 나라처럼 특정 보안 프로그램의 설치를 강제하거나, 특정한 인증기술(X509 인증서를 이용한 인증)의 사용을 강제하는 나라는 없습니다. 외국의 보안 전문가들이나 규제 당국 또는 금융기관들이 보안 기술이나 인증 기술에 무지하여 그런 강제 규정을 두지 않는 것이라고 상상할 근거는 없습니다. 특정 기술의 사용을 마구 강제할 경우에는 오히려 더 큰 보안위험을 초래하거나, 관련 기술의 발전을 가로막거나, 업계의 사업 가능성과 국제경쟁력을 심각하게 저해할 우려가 매우 크기 때문에 함부로 강제하지 않는 것입니다.

그리고 무엇보다도, 보안에 진정으로 유리한 기술 선택이 무엇인가는 행정 공무원 보다는 업계 스스로가 더 합리적으로 판단하고 선택할 능력과 유인(incentive)이 있기 때문입니다. 그리고 금융감독원은 빠르게 변화하는 IT/인터넷 기술 환경을 업계만큼 이해할 처지에 있지도 않다는 엄연하고 당연한 사실을 겸허하게 수용하시면 좋겠습니다.

보안프로그램이나 공인인증서가 과연 그렇게 탁월한 해법이라면 강제 규정을 동원하여 억지로 강요하지 않아도 업계 스스로가 앞다투어 채택할 것이 아니겠습니까? 금융사고가 터지면 고객의 중대한 과실을 입증하지 못하는 이상 금융기관이 책임을 져야하도록 법률이 이미 그렇게 규정하고 있습니다. 따라서 사고를 줄이고 보안을 강화하는데 가장 큰 이해 관계를 가진 주체는 바로 금융기관들 스스로입니다. 가장 안전한 거래 기법을 선택하고 싶어하는 주체가 금융기관인데 어째서 귀 감독원이 이 문제를 엉뚱하게 “강제”하려 무리에 무리를 거듭하십니까?

불합리한 규제 체제 하에서는 업계가 제대로 경쟁하지도 못하고 기술과 사업 판단의 우위가 부각되지도 못한채 모두가 “공동으로 발목이 잡혀” 낡은 기술 수준에 정체하면서 집단적 고립 상태로 빠질 위험이 있습니다.

따라서 다음과 같이 건의 드립니다:

  • 보안프로그램 설치를 강제하는 규정과 공인인증서 사용을 강제하는 규정은 이를 수정, 폐기하실 것을 고려해 주시기 바랍니다.
  • 그대신 매우 빠르게 발전하는 보안기술 상황을 보다 유연하게 수용할 수 있도록 말그대로 “기준”을 정하시고, 업계의 자율적 준수를 권유하고 인센티브를 제공하는 방향으로 정책을 수정해 주시기 바랍니다.

One Pingback/Trackback