전자금융사기가 급증하지만 피해를 막을 중요한 정보 공유가 위법 논란에 빠졌다. 고객보호를 위해 빠르게 사기 관련 정보를 공유해야 하지만 개인정보보호법 등 현행법을 위반할 소지가 높은 탓이다.
FDS산업포럼(회장 김인석)은 10일 서울 여의도 메리어트호텔에서 ‘유출 금융개인정보 수집과 공유에 대한 법적 타당성 검토 및 근거 마련’에 대해 논의했다. 공격자가 불법적으로 수집한 개인정보를 가져와 피해자나 유관기관에 알리는 행위가 위법이 될 수 있기 때문이다. 선의의 목적이지만 과정에서 정당성을 가져야 하는 상황이다.
빛스캔에 따르면 하루 수백건에 달하는 공인인증서와 금융정보가 공격자 서버에 증가한다. 빛스캔이 올 한해 관련 기관에 제보한 탈취된 공인인증서만 100만건에 달한다. 이런 정보를 관계기관에 전달하거나 금융회사 이상거래탐지시스템(FDS)에 적용하면 전자금융 사기 피해를 줄일 수 있다.
정인화 금융감독원 실장은 “금융회사가 FDS를 도입하고 있지만 서로 피해가 발생하는 특정 정보 공유는 매우 민감하다”며 “금감원도 피해 발생이 예상되는 개인정보를 금융회사에 공유할 때 개인정보보호법을 위반하지 않을까 우려한다”고 설명했다.
조규민 금융보안연구원 본부장은 “수사기관이 아닌 공공기관이 금융사기 정보를 처리하는데 한계가 있다”며 “피해가 예상되는 개인 및 금융정보가 실제로 불법적으로 수집되지 않았다는 점도 입증해야 한다”고 말했다. 그는 “금융보안연구원 등은 금융정보를 다른 곳에 공유할 권한도 없다”고 덧붙였다.
정보통신망법에는 정당하게 권한을 가진 관리자 외에 시스템에 접근할 수 없다. 개인정보보호법에서는 개인을 식별할 수 있는 개인정보 수집이 엄격히 제한된다. 공격자 서버라해도 관리자외 다른 사람이 접근하며 정통망법에 위반된다. 불법적으로 수집된 정보라해도 다른 사람 개인정보를 수집하면 개인정보보호법 위반이다.
구태언 테크앤로 대표변호사는 “특정기업이 악성코드에서 추출한 정보를 이용해 공격자 서버에 침투해 유출된 고객 정보를 행정기관이나 금융회사에 제공하는 것은 위법 소지가 있다”며 “급증하는 전자금융사기를 줄이려면 이런 활동에 법적 근거를 마련할 필요가 있다”고 말했다.
김인순기자 insoon@etnews.com