[법률사무소 민후 김경환 변호사] 보이스피싱, 파밍, 스미싱 등의 전자금융사기가 도를 넘고 있다. 도를 넘는 것이 문제가 아니라 갈수록 지능화·첨단화되고 있다. 최근의 피해사례를 보고 있으면, 대책 강구보다는 걱정이 앞서게 된다.
최근에 발표된 피해사례를 보면, ①정상 은행사이트에 접속해 평상시와 다름없이 보안카드 번호 2개만 입력했음에도 불구하고 수천만원이 계좌이체됐고, ②범인이 물품을 구입하고 이미 악성코드로 감염시킨 피해자 계좌로부터 물품대금을 물품판매업체에게 보내기도 했다.
이러한 피해사례에 대비해 금융당국은 나름 발빠르게 대응하고 있고, 금년에만 벌써 2개의 법이 개정됐으며, 3번의 대책을 발표했다. 그 결과는 금년 하반기에 나타날 예정인바, 하반기부터 달라지는 전자금융 관련규정을 정리해 봤다.
첫째, 전자금융거래법이 개정돼 금년 11월 23일에 시행될 예정이다. 해킹이나 악성프로그램으로 인한 전자금융사기에 대해 금융회사가 법적 책임을 부담하는가에 대해 논란이 있었는바, 이 개정법으로 이러한 논란을 불식시키고 내용을 명확하게 정리했다. 과거 보이스피싱에 대해 금융회사가 법적책임을 부담할 수 있는 근거 조문인 전자금융거래법 제9조의 범위를 확대시켜 파밍 수법에 대해도 금융회사에 대한 법적 책임을 인정한 것이다.
그 외에 금융회사가 스스로 전자금융기반시설의 취약점을 분석·평가하고 그 결과를 금융위원회에 보고하게끔 했고, 전자적 침해행위로 인해 전자금융기반시설이 교란·마비되는 등의 사고가 발생하는 경우의 금융회사 등의 대응조치에 대해 언급하고 있다.
둘째, 보이스피싱 특별법이 「전기통신금융사기 피해방지 및 피해금 환급에 관한 특별법」으로 법명을 개정하면서, 대출을 빙자한 선수금 편취 보이스피싱에 대해도 간이한 절차에 의한 피해보상을 가능하게 했다.
과거 보이스피싱 특별법은 ‘불특정인을 상대로 한 보이스피싱 범죄’로 한정했기에, 특정인을 상대로 한 대출을 빙자한 선수금 편취 보이스피싱에 대해는 피해보상에 대해 논란이 많았었다. 하지만 작년 한 해만 피해액이 400억에 달하는 등 피해자 수가 늘어나자, 정부는 대출을 빙자한 선수금 편취 보이스피싱에 대해도 간이한 절차에 의한 피해보상을 가능하게 한 보이스피싱 특별법을 통과시킨 것이다.
그 외에 세금 환급을 명목으로 하는 보이스피싱 등이 사기죄에 해당하는지에 대해 논란이 있었는바, 이러한 범죄가 사기죄에 해당한다는 것에 대해 명확하게 정리했고, 온라인이나 전화를 통한 비대면 대출시에 본인확인조치를 제대로 이행하지 않은 금융회사에 대해 법적 책임을 부담하게 했다.
이 개정 보이스피싱 특별법은 조만간 정부입법으로 국회에 법안으로 제출될 예정이며, 빠르면 금년 가을 즈음에 시행될 것으로 보인다.
셋째, 그간 은행권이나 비은행권에서 신청자를 대상으로 시범시행 해오던 「전자금융사기 예방서비스」가 금년 9월 26일부터는 모든 금융이용자를 대상으로 전면시행 될 계획이다.
위 「전자금융사기 예방서비스」는 파밍 전자금융사기에 대한 대응책이며, 공인인증서 재발급 및 인터넷뱅킹을 통한 자금 이체(1일 누적 기준 300만원 이상)시 본인 확인 절차를 강화하는 것을 주요 골자로 하고 있다.
구체적으로 살펴보면, 현재는 공인인증서 재발급 및 자금 이체 시 보안카드 또는 OTP(일회용 비밀번호) 등으로 본인여부를 확인하고 있으나, 앞으로는 보안카드 또는 OTP 등을 통한 본인확인 이외에 지정된 단말기를 이용하거나, 미지정 단말기에서는 추가확인 하는 절차(휴대폰SMS 인증, 2채널 인증 등)를 의무화할 예정이다.
넷째, 「온라인결제에서 보안강화 대책」의 일부가 하반기부터 시행된다. 금년 5월부터는 게임사이트에서 아이템 거래시 30만원 이하라도 공인인증서나 휴대폰 문자인증을 하도록 했고, 금년 6월부터는 부정사용방지시스템의 모니터링 대상을 파일 공유 사이트와 포인트 충전 사이트 등으로 확대했다.
금년 9월부터는 금융기관에 한해 공인인증서 재발급시 지정된 PC를 이용하거나 미지정 PC에서는 추가 인증을 의무화하며, 금년 10월부터는 이용자가 미리 등록한 모바일단말기에서만 인터넷뱅킹·트레이딩 등의 금융거래가 가능하도록 추진된다.
다섯째, 금융기관 내부에서의 보안능력을 강화시키는 내용의 「금융전산 보안 강화 종합대책」 조치가 시행된다.
주요내용으로는 금융전산 보안 컨트롤타워 역할 강화를 위해 금융위원회 주관 하에 금융권 전산 보안 관련기관이 참여하는「금융전산 보안 협의회」를 설치하며, 금융권 공동 백업전용센터를 지하벙커 형태로 구축(제3백업센터)하고, 침해사고분석 전담조직을 금융 ISAC내에 설치하며, 전자금융거래를 제공하는 금융회사는 금융 ISAC 모니터링 대상에의 편입을 의무화해 전 금융권 실시간 모니터링 체계를 구축하게 된다.
나아가 2014년 말까지 금융전산센터에 대한 물리적 망분리 작업을 마쳐야 하며, 금융권 정보보안 및 전자금융거래 업무 특성을 반영한 금융보안 관리체계 인증제도를 도입하고, IT보안 조직의 내부통제 실행력 강화를 위해 정보보안 규정 위반시 제재 근거를 금융회사 내규에 마련·시행하며, CISO(정보보호최고책임자) 전임제도를 도입하고 최소한의 임기를 보장함으로써 업무상 독립성을 강화시킨다.
1년 전에 비해 많은 대책이 쏟아져 나오고 있어 금융소비자 입장에서는 어느 정도 안심을 하게 되며, 실제로 스미싱 사기의 경우에는 그 가시적인 효과가 보이고 있다고 한다.
다만 위 대책들이 지나치게 이미 발생한 금융사고에 특화된 조치라는 것이 아쉬운 점으로 지적할 수 있다. 과거 지향적으로 특화된 대책이기에 새로운 금융사고에 얼마나 잘 대응될지가 걱정이다. 이러한 대책의 시효는 오래가지 못할 것이고, 또 조만간 새로운 현상이 나오면 그에 대한 새로운 대책을 만들어야 할 것으로 보인다.
그보다는 금융사고에 대한 대원칙을 세우는 것도 병행해 진행해야 할 것이다. 대원칙(principle)에 의한 총론적 접근을 해야 보다 시간불변적이고 근원적인 답을 찾을 수 있을 것으로 보인다. 각론적인 해결방법 찾기에 더해 총론적인 원리 찾기도 매진해야 할 것이다.