전자금융거래법에 명시된 `이용자 중대과실` 조항을 수정해야 한다는 목소리다. 전자금융 보안환경 개선을 가로막는다는 분석이다.
11일 관련업계와 학계에 따르면 정부가 공인인증서 의무 사용 규정을 폐지했음에도 금융회사 약관에는 공인인증서와 보안 프로그램 설치가 이용자 중대 의무로 규정됐다.
2014년 전자금융감독 규정에서 인터넷 뱅킹시 공인인증서 의무 사용은 폐지됐다. 올 7월부터 보안카드와 일회용비밀번호생성기(OTP)도 안 써도 된다.
규제가 풀렸지만 전자금융 환경 변화를 감지하기 어렵다. 은행은 여전히 공인인증서를 요구하는 시스템을 운용 중이다. 약관에도 공인인증서 사용을 명시하고 있다.
전자금융거래법에 명시된 `이용자 중대과실` 조항이 원인이다. 이 조항에 따르면 이용자 개인이 적극적인 보안조치를 취하지 않았다면 해킹이나 파밍 등 금융사고 시 책임은 고스란히 이용자 몫이다. 키보드보안, 백신, 공인인증서를 사용할 수밖에 없는 구조다.
김승주 고려대 정보보호대학원 교수는 “정부와 금융회사는 소비자가 약자라는 사실을 인식해야 한다”며 “금융회사가 기술·관리적 보호조치를 다했다면 금융사고 책임을 지지 않는 관행도 없어져야 한다”고 말했다.
그는 “미국은 카드가 분실되거나 도용된 사실을 인지한 후 2일 내 신고하면 소비자는 최대 50달러만 책임을 진다”며 “이틀을 넘겨 신고해도 60일 이내이면 최대 500달러까지만 내면 된다”고 설명했다. 소비자가 보안 프로그램을 설치했는지 보이스피싱이나 파밍 사기에 당해 보안카드 번호를 입력하지 않았는지 여부는 따지지 않는다. 피해 사실 과실 증명을 소비자에게 요구하지 않는다. 이른바 `제로 릴라이어빌리티 프로텍션(Zero-Liability Protection)` 정책이다.
대표 간편결제서비스 페이팔은 비밀번호 입력만으로 신용카드를 결제한다. 2014년 페이팔 부정사용률은 0.3%로 국내 신용카드 부정사용률 0.0002%보다 1500배 높다.
업계 관계자는 “이런 사고율에도 페이팔 고객은 손해 보는 일은 거의 없다”며 “제로 릴라이어빌리티 프로텍션 정책에 의해 결제 사고가 발생하면 회사는 바로 보상 처리를 하고 직접 사고 원인을 파악 한다”고 설명했다.
공인인증서를 보안이 허술한 곳에 저장하게 방조하는 사용자 환경도 꼬집었다.
김 교수는 “공인인증서를 발급받고 저장 위치를 정할 때 사용자에게 제일 먼저 권하는 환경이 하드디스크(HDD)와 USB”라고 지적했다. 그는 한국인터넷진흥원과 보안 기업은 HDD와 USB는 보안이 허술하다며 저장하지 말라고 권고한다며 공인인증서 저장환경에서 HDD와 USB는 없애자고 제안했다.
김인순 보안 전문기자 insoon@etnews.com