- [지상중계 NES2013] 김경환 민후 대표변호사 “사회·기술·법 포괄, 총체적 보안 사고 대응 방안 필요”
[디지털데일리 이유지기자] “전자금융거래 보안 사고에 대응하기 위해서는 법·사회·기술적 대응을 포함한 총체적 방안이 필요하다.”
법률사무소 민후의 김경환 대표변호사(이하 변호사)는 25일 열린 차세대 정보보안 세미나·전시회 ‘NES 2013’에서 최근 피해가 확대되고 있는 전자금융거래 사기와 보안 공격 대응 방안이 필요하다며 이같이 강조했다.
그 해법으로 먼저 김 변호사는 “전자금융거래 이용자단 보안의 주체를 관련법령에 명시적으로 표시하고 이용자 보안조치 의무를 신설해 법적 책임을 부담해야 한다”고 강조했다.
피싱, 파밍, 스미싱처럼 전자금융거래 이용자와 이용기기 대상 공격 방법이 보다 강력해지면서 위기를 맞고 있지만, 총체적인 보안 대응책이 마련되지 않고 있다는 문제의식에서다. 그런 점에서 법률에 이용자단 보안과 관련된 주체를 보다 명시적으로 표시하고 금융기관과 더불어 이용자에도 사전 예방조치 의무와 사후 책임을 부과토록 해야 한다는 견해를 밝혔다.
김 변호사는 “전자금융거래법, 전자금융감독규정 등 관련 법제도에는 보안 조치의무를 금융기관에 부과하고 있고 이용자단 보안의 주체도 금융기관으로 보고 있다”며, “전자금융서비스를 제공해 막대한 수익을 올리고 있고 보안사고 정보도 독점하고 있다는 점에서 금융기관이 이용자단의 전문적인 보안을 제공하는 것이 타당하다”고 말했다.
이어 “이용자의 보안조치 의무를 적용하지 않는다면 구멍이 생겨 총체적 보안이 이뤄지지 않을 것이고, 이용자의 도덕적 해이도 발생할 수 있다”며, “이용자 보안조치 의무와 책임이 법적으로 들어와야 새로운 해킹 위험을 막을 수 있다”고 지적했다.
김 변호사는 이같은 이용자 조치 의무나 책임 명시가 이용자들에게 불리한 것이 아니라고 주장했다. 그는 “보안사고를 원칙적으로 금융기관 등이 책임을 지도록 하고 고의·중과실의 경우에만 이용자가 책임진다는 규정을 도입하면 된다”고 제안했다. 또한 “이용자 책임이 규정되면 이용자 고의·중과실을 정의할 때 조치 의무를 열거해야 하므로, 이 의무만 지키면 이용자에게도 유리할 것”이라고 덧붙였다.
이밖에도 김 변호사는 “현재 전자금융거래 보안은 기술적 대응 위주로 진행되고 있다”며, “기술적 대응에 더해 새로운 해킹 위협에 대한 교육·계몽을 포함한 사전·사후 책임을 부과할 법적 대응책과 법령 개선이 필요하다”고 지적했다.
아울러 “금융기관의 전자금융거래 서비스 보안 역량과 투자 수준을 강화하고 이를 평가토록 해야 하며, 전자금융거래 보안의 핵심인 인증방법을 적극적으로 다양화해야 한다”고 강조했다.