전자금융사고 보고 창구 금감원으로 일원화

  • 금융당국의 모바일·인터넷뱅킹 보안 관련 금융감독 규정이 줄줄이 삭제돼 금융회사 자율에 맡겨졌다.


    금융위원회와 금융감독원 사이에서 다소 혼선이 있었던 전자금융사고 보고 창구는 1차 창구를 금융감독원으로 일원화했다.


    11일 금융당국에 따르면, 금융위원회는 이런 내용 등을 담은 전자금융감독규정 일부개정 규정을 최근 공포해 시행에 들어갔다. 개정 규정은 전자금융감독 규정상에서 금융사의 기술 자율성을 높여주는 방안을 담고 있다.


    우선 전자금융감독규정상의 '해킹 등 침해 행위로부터 전자금융거래를 보호하기 위한 이용자의 전자적 장치(휴대전화·PC 등)에 보안프로그램 설치 등 보안대책을 적용할 것'이라는 표현을 삭제했다.


    이 규정을 삭제하면 금융소비자가 의무적으로 내려받아야 했던 방화벽과 키보드보안, 공인인증서 등 소위 '금융 보안프로그램 3종 세트'를 받지 않아도 된다.


    다만, 이들 보안 프로그램을 원하는 사람은 3종 세트를 'exe' 형태로 묶어 받을 수 있다.


    금융당국은 휴대전화와 PC 등 전자금융 매체와 일회용 비밀번호 등 인증 수단이 되는 매체를 분리해야 하는 의무, 비밀번호가 한정된 일회용 비밀번호 사용 때 입력 오류가 발생하면 다음에도 동일한 비밀번호를 요구해야 한다는 의무도 삭제했다.


    대신 일회용 비밀번호 등 거래 인증수단을 채택할 때에 안전성이나 보안성, 이용 편의성을 충분히 고려해야 한다는 다소 포괄적인  규정으로 기존 규정을 교체했다. 모바일·인터넷뱅킹 등 전자금융거래 보안대책을 금융사들이 자율적으로 마련하도록 하되, 대형 금융사고 발생 때 처벌은 더욱 강력하게 하겠다는 것.


    금융사의 인터넷뱅킹 서버 사용자 계정에 접근할 때 아이디·비밀번호 외에 공인인증서 등 추가 인증 수단을 반드시 적용해야 한다는 규정에서는 공인인증서란 단어도 뺐다. 즉 공인인증서 외에 다른 수단을 금융사가 선택할 수 있다는 의미다.

    모바일·인터넷뱅킹을 구동하는 금융사 내부 시스템 단말기에 대한 보호대책도 금융사의 선택 여지를 넓혀주기로 했다.


    산업은행과 기업은행, 한국거래소, 한국예탁결제원, 신용보증기금, 기술보증기금 등 금융공공기관은 금융위의 보안성 심의를 면제해주기로 했다.


    개인정보유출 사건과 관련한 재발 방지 후속 대책도 내놨다.


    모바일·인터넷뱅킹 사고 보고 창구는 금감원으로 일원화했다. 기존에 금융위와 금감원으로 이원화했던 것을 금감원을 1차 창구로, 금융위를 금감원의 추후 보고 창구로 규정했다.


    금융사의 정보보호 최고책임자는 매월 정보보안 점검을 하고 최고경영자(CEO)에게 결과를 보고하기로 했다.