“공인인증 15년이 보이스피싱 천국 만들었다”

가 +
가 -

“규제기관이 진짜 할 일은 소비자 보호예요. 기술에 개입해 감 놔라 배 놔라 그만해야 합니다. 규제당국이 할 일은 보안 사고 규모를 정확히 파악하고 사고 패턴을 분석해서 재빨리 공표하는 겁니다.”

김기창 고려대 법학전문대학원 교수
김기창 고려대 법학전문대학원 교수는 정부가 직접 전자금융 보안산업을 관리하는 관행을 벗어나 이 분야에 경쟁을 도입해야 한다고 목소리 높였다. 2월27일 구글코리아 집현전 회의실에서 열린 오픈넷 아카데미 공개강연 자리였다. 김기창 교수는 오픈넷 이사도 맡고 있다.

이날 강연은 공인인증서 제도에 초점을 맞췄다. 인증서는 인터넷에서 사용자 신분을 확인하고 거래내역을 확인하는 데 쓰는 암호 파일이다. 공인인증서는 정부가 공인한 기관에서 발급한 인증서를 말한다. 1999년 정보통신부(지금 미래창조과학부)가 인터넷 상거래에 관한 법(전자금융거래법, 전자서명법)을 만들면서 이 과정을 안전하게 보호하기 위해 공인인증서를 도입했다. 정통부는 금융 규제기관인 금융감독원에 전자상거래에 공인인증서를 쓰라는 규제를 만들어달라고 요청했고, 금감원은 정통부 요청을 받아들였다. 15년이 지나는 동안 규제가 조금씩 바뀌긴 했지만 공인인증서를 쓰도록 강요하는 큰 틀은 바뀌지 않았다.

김기창 교수는 15년 동안 고집해 온 공인인증 제도 때문에 한국이 ‘보이스피싱 천국’으로 전락했다고 비판했다.

“관공서가 인정한 보이스피싱 피해 건수만 1년에 수천건이에요. 2013년에만 4천건이 넘었어요. 이 자료는 공개 안 해요. 국회에 대외비로만 돌리죠. 공신력 있는 기관에서 조사한 적도 없고 이름을 걸고 피해 통계를 공개한 기관도 없어요. 이걸 누가 해야 하죠? 개인인 제가요? 아니면 정부부처가요? 정부부처가 왜 안할까요? 자기들이 안전하다고 쓰라고 했는데 사고가 이만큼 난다는 걸 인정하기 싫은거죠.”

김기창 교수는 한 보이스피싱 사건을 예로 들었다. 중국 보이스피싱 조직은 피해자 ㄱ씨 정보로 공인인증서를 재발급받아 ㄱ씨 계좌에서 대포통장으로 돈을 빼돌렸다. 은행이 법원에 제출한 자료를 보면, 은행은 이미 이 거래가 보이스피싱임을 알고 있었다. 보이스피싱 조직이 한국에서 접속한 것처럼 인터넷 주소(IP)를 속인 것은 물론이고 진짜로 접속한 인터넷 주소도 파악했다. 거액이 신용불량자 계좌로 빠져나간 점도 알았다. ㄱ씨는 평소 집에서 같은 컴퓨터로만 인터넷뱅킹을 써왔다는 점도 은행은 알고 있었다. 은행 스스로도 보이스피싱으로 돈을 빼나간 거래를 ‘심각’하게 위험한 거래로 분류했다. 알고도 막지 않았다는 얘기다. 왜 그랬을까. 공인인증서를 제시했다는 이유 때문이다.

김기창 교수는 “공인인증서를 쓰는 거의 유일한 이유는 부인방지”라고 말했다. 부인방지는 이게 내가 한 거래가 아니라고 딴소리 못 하도록 거래내역을 확인하는 일이다. 전자금융 서비스를 쓰면서 내 공인인증서로 신분을 인증하고 거래내역에 전자서명을 했기 때문에 그 거래를 내가 한 것이라고 확신할 수 있다는 말이다. 하지만 실상은 다르다. 김기창 교수가 소개한 사건처럼 공인인증서를 빼돌려 돈을 가로채는 일이 비일비재하게 일어난다. 공인인증서를 고집할 까닭이 없는 셈이다.

보이스피싱을 당해도 피해자가 은행에 책임을 묻기는 사실상 불가능하다. 김기창 교수는 한국에서 보이스피싱 피해자가 은행에 소송을 걸어 배상금을 받은 사례가 없다고 말했다. 은행 쪽이 배상을 안 해도 되는 법 규정을 교묘히 이용한다고 김기창 교수는 설명했다.

“법에 공인인증서를 위조해 거래하면 배상해주라고 돼 있어요. 은행 쪽 변호사는 보이스피싱으로 피해자 공인인증서를 재발급받은 건 부정재발급이지 위조가 아니라고 주장해요. 공인인증기관이 발급해준 문서니까 위·변조는 아니라는 겁니다. 그러니까 은행이 배상 안 해줘도 된다는 주장이 지금까지 법원에서 인정돼 왔어요.”

김기창 교수는 공인인증서 제도가 한국 사회 경쟁력을 좀먹는다고 꼬집었다.

“보안업계가 왜 이리 팍팍하냐고 푸념하는 보안전문가, 어떻게 보면 불쌍해요. 보안 분야가 왜 레드오션이 됐는지 구조적으로 이해를 못하는 거예요. 지금처럼 금융감독원 규정만 지켜도 사고 났을 때 배상 안 해줘도 되는데 어떤 은행이 투자를 합니까. 보안 트렌드를 이해할 필요도 없고 투자할 이유도 없는 상황이니 투자할 압력이 없는 거죠.”

그럼 어떻게 해야 할까. 공인인증서를 없애야 하나. 김기창 교수는 아니라고 말했다.

“공인인증서 자체를 없애자는 게 아니에요. 인증 시장에 민간 업체도 들어올 수 있도록 해서 보안 시장에 경쟁 체제를 도입하자는 거죠. 지금은 정부가 ‘공인’이라는 이름으로 보안기술을 획일적으로 지정해둔 상황이에요. 정부가 특정 기술을 골라 강제하는 일을 그만두면, 다양한 기술이 보안 시장에 들어와 경쟁하게 될 겁니다.”

김기창 고려대 법학전문대학원 교수

“독소조항, 그냥 다 삭제하면 된다는 게 제 생각이에요.” 김기창 교수가 제안한 개선안은 간단했다. 공인인증 제도를 규정한 규제를 모두 없애라는 것이다. 하지면 현행 규정을 뿌리째 뽑아내면 혼란이 생기지 않을까. 김기창 교수는 이미 대답을 준비해두고 있었다.

“이런 얘기하면 가장 많이 듣는 얘기가 ‘제도 확 바꾸면 엄청난 혼란과 막대한 비용이 든다’는 것과 ‘사고 나면 어떻게 할 거냐’라는 겁니다. 제가 2006년에 인터넷 익스플로러 말고 다른 웹브라우저에서도 인증서 쓸 수 있게 해달라고 했더니 그때도 똑같은 얘기가 나왔어요. 그런데 2014년 지금은 파이어폭스나 구글 크롬에서도 인증서 쓰고 다 합니다. 천문학적 비용 들었어요? 시스템 다 뜯어고쳤나요? 공인인증서를 강제한 규정 3개 다 없어지면 어떨까요. 공인인증서 쓸 은행은 계속 공인인증서 쓰면 돼요. 작은 은행은 공인인증서 들어내고 다른 편리한 솔루션 쓸 수 있겠죠. 이게 뭐 혼란이고 큰 변화예요? 각각 서비스 제공업체가 자기가 원하는 대로 굴러가면 되는 거예요. 한국 말고는 다 이렇게 합니다.”

이미 공인인증서 제도를 바꾸려는 움직임은 가시화됐다. 박근혜 대통령은 지난 대선 때 공인인증서 외 인증수단을 도입하겠다고 공약했고, 최문기 미래부 장관도 인사청문회에서 공인인증서에 종속된 전자금융 환경을 개선하겠다고 밝혔다. 새누리당 권은희 의원은 미래부에 공인인증 방식을 개선해달라고 요구했고, 민주당 이종걸·최재천 의원은 공인인증서 사용을 강요하지 못하게 못박는 전자금융거래법 개정안을 발의했다. 그런데도 바뀌지 않는 이유는 무엇일까.

김기창 교수는 손에 잡히는 대안이 없기 때문이라고 봤다. “뭔가 바뀌어야 할 때라는 당위는 많이 인정하는 것 같아요. 문제는 구체적으로 어떻게 할 지를 모르는 거예요. 금융위가 규제를 해야 하는 건 맞아요. 그걸 어떻게 할지가 관건이죠. 그래서 이 자리에서 제가 구체적인 청사진까지 제시한 겁니다.”

김기창 교수는 공인인증 제도를 못박은 전자금융감독규정을 어떻게 바꿀지 개선안을 들고 나왔다. 김기창 교수가 내놓은 개선안은 규제기관 역할을 소비자 보호로 못박았다. 기술에 개입하거나 특정 기술을 강요하지 말고, 전자금융 사고현황을 파악해 공표하고 금융회사가 전문성과 독립성을 갖춘 외부 보안점검 전문업체에 정기적으로 보안감사를 받도록 해야 한다는 주장이다.

“현행 규정을 이런 식으로 바꾸면 공인인증서 문제가 해결됩니다. 감독도 훨씬 합리적으로 될 겁니다. 제가 희망하는 식으로 바꾸면 규제기관도 규제자 역할을 합리적으로 할 수 있고, 기술도 활발히 경쟁할 수 있고, 소비자도 보호되고, 금융보안도 지금보다 안전해질 수 있습니다.”

김기창 교수가 제안한 전자금융감독규정 제3장 (현행 감독규정 제7조-제41조)의 개정 방향 일부

☞ 전문 보러가기

제3장 전자금융거래의 안전성 확보 및 이용자 보호

제1절 규제자의 임무

제7조(금융소비자 보호) 금융위원회와 금융감독원은 전자금융 서비스가 기술 발전을 반영한 합리 적 방법으로 안전하게 제공되고, 전자금융거래와 관련된 분쟁이 신속하고 정당하게 해결되도록 하여 금융소비자가 적절히 보호되는데 필요한 감독을 수행한다.

제8조(금융회사 등의 책임성 확보) 금융위원회와 금융감독원은 금융회사 등이 우월적 지위를 남용 하거나 법령이 정한 책임을 부당하게 소비자 또는 다른 사업자에게 전가하거나 회피하지 않도록 하는데 필요한 감독을 수행한다

제9조(기술 및 서비스의 자유로운 경쟁과 발전) 금융위원회와 금융감독원은 전자금융거래 서비스 제공에 사용되는 거래기술, 보안기술 및 보안감사 서비스가 활발하고 공정하게 경쟁하고 발전할 수 있는 시장 환경이 손상되지 않도록 감독을 수행한다.

제10조(규제의 투명성 및 형평성) 금융위원회와 금융감독원은 전자금융거래 서비스와 관련된 정보 가 적절한 수준에서 투명하게 공개되고 규제의 형평성이 유지되도록 한다.

제2절 금융회사 최고 경영진의 책임

제11조(관리 감독 체계의 확립) 금융회사 등의 이사진과 최고 경영진은 전자금융 사업에 관한 위험을 관리하고 책임소재를 분명히 하는데 필요한 관리 감독 체계를 자체적으로 확립하여야 한다.

제12조(일괄 위임의 금지) 금융회사 등의 이사진과 최고 경영진은 자신의 전자금융 사업에 적용되는 보안 통제 절차의 핵심적 사항을 직접 검토하고 승인한다.

제3절 보안 통제 조치

제15조(적절한 인증기술의 채택) 금융회사 등은 거래의 성격과 해당 거래에 수반하는 위험의 수준을 고려하여 업계의 기술 수준을 반영한 합리적인 당사자 인증 기술을 채택하여야 한다.

제4절 법적 책임 및 평판에 관한 사항

제25조(재난 회복 및 사고 대응책) 금융회사 등은 전자금융 서비스에 대한 내부자의 공격이나 외부 자의 공격 등 불의의 사태를 관리하고 피해를 최소화 하는데 필요한 사고 대응책을 적절히 개발하여 시행한다.

제26조(사고 보고 및 분쟁절차 모니터링) 금융감독원은 전자금융 사고거래의 내용과 규모를 정확 히 파악하고, 공평하고 신속한 분쟁해결을 위하여 다음 조치를 취한다:

  1. 전자금융서비스와 관련된 소비자의 불만, 이의, 환불신청 등을 통합적으로 접수할 수 있는 페이지(금융소비자 보호페이지)를 금융감독원이 관리하고, 각 금융회사는 이 페이지의 링크 를 자신의 홈페이지에 게시한다.
  2. 금융감독원은 금융소비자 보호 페이지를 통하여 접수된 소비자의 불만, 이의, 환불신청을 해당 금융회사 등에 이첩하고, 분쟁해결 과정을 모니터링 한다.
  3. 금융감독원은 각 금융회사별 사고 거래의 내용과 규모를 신뢰성 있는 방법으로 파악하여 보안기술의 연구 개발 및 서비스 품질 향상에 필요한 한도에서 적절한 수준과 방법으로 공표한다.

제5절 보안감사 서비스

제27조(정기적, 전문적, 독립적 보안감사 )

1 금융회사 등은 다음 중 하나의 보안점검 기준에 따른 보안감사를 수행할 전문성과 독립성이 있는 보안감사 업체와 계약을 체결하고 보안감사를 년 1 회 이상 받아야 한다.

  1. PCI DSS 등 국제적으로 인정받는 금융거래 보안기준
  2. 금융감독원이 공표하는 별지의 보안기준 (금융감독원 데이터 보안기준; Korea Financial Supervisory Service Data Security Standards)(이하, FSS DSS 라 함)

2 금융감독원은 FSS DSS 의 지속적인 업데이트 및 국제화 작업, FSS DSS 기준에 따른 보안감사 서 비스 제공자의 자격 요건 및 품질 관리에 필요한 업무를 지원한다.

김기창 교수가 제안한 ‘전자금융감독규정 제3장 개정안’ 전문 보러가기

현행 전자금융감독규정 전문 보러가기