<사무처장 정은보>
안녕하세요?
사실 제가 처장되고 나서는 브리핑을 잘 안 했는데 하게 됐습니다.
온라인 결제 보안강화 관련해서 관계기관 합동대응팀 구성·운영과 관련해서 설명드리도록 하겠습
니다.
우선 추진배경과 관련해서는 최근 언론에서 보도가 됐습니다만, 신용카드 안심결제(ISP) 방식에서
발생한 해킹 피해에 대해서 보도를 많이 하고 있었습니다.
현재 금융감독원에서 대상 카드회사에 대해서는 서면자료를 심사 중에 있고, 내주부터 보안 실태점
검에 착수할 계획입니다.
온라인 전자거래가 국민 경제생활에 미치는 영향이 크고, 계속 확대되고 있는 그런 상황임에도 결
제의 보안 및 안전성에 대해서 우려가 아직까지 상당히 있는 상황입니다.
이에 따라서 정부가 관계기관 및 민간전문가를 망라해서 온라인 결제 보안강화 합동대응팀을 구성
을 해서 운영할 계획입니다.
이러한 합동대응팀은 ISP 그리고 안심클릭 등을 포함해서 온라인 결제 전반에 대한 운영실태를 점
검하고, 전반적인 비대면 온라인 거래의 보안 개선사항을 중점적으로 발굴·개선해 나갈는 계획입니다
.
두 번째 페이지입니다.
합동대응팀 구성과 관련해서는 우선 금융위 사무처장이 팀장으로 해서 행안부, 지경부, 방통위 등
관계부처, 민간 IT전문가, 유관기관과 업계 등을 망라해서 구성토록 하겠습니다.
그리고 대응팀 밑에는 실태점검반과 제도개선반 등 두 개의 실무대책반을 통해서 비대면 온라인 거
래의 보안을 획기적으로 개선해 나가도록 할 계획입니다.
실태점검반은 간사로서는 금융위의 중소서민금융정책관 그리고 제도개선반의 간사는 금융위의 금융
서비스국장이 맡아서 진행할 예정입니다.
세 번째 페이지입니다.
향후 일정과 관련해서는 우선 다음 주에 우리 합동대응팀을 출범을 시키고 그리고 내년 1월까지는
온라인 결제시스템에 제공을 하는 금융회사의 전반적인 실태를 점검하도록 하겠습니다.
그리고 내년 1/4분기까지 실태점검을 종합하고, 보안 강화대책 필요한 제도 개선의 대책을 마련토
록 하겠습니다.
그래서 여기에 반영된 여러 가지 필요한 대책들에 대해서는 관련 법령 및 제도 개선을 내년 중에
완료토록 해 나갈 일정 계획을 가지고 있습니다.
그리고 참고로 현재 진행되고 있는 신용카드 발생 경위와 조치 상황을 잠깐 말씀드리면, 사고경위
는 11월 2일부터 6일까지 주로 게임사이트에서 BC하고 KB국민카드 회원 관련해서 부정 매출 사고가 발
생을 했습니다.
그래서 여기에 대해서 관련사들이 금감원의 사고에 대해서 보고를 했고, 금감원은 아울러서 경찰청
에 수사의뢰를 했습니다.
여기에 따라서 금감원이 카드사에 대해서 ISP도용에 의한 부정 매출 사고가 발생하지 않도록 현재
지도공문을 발송했고, 서류에 관련된 심사를 진행 중에 있으며, 다음 주부터는 현장점검을 진행할 계
획으로 있습니다.
그리고 추가로 우리가 나눠드린 보안과 관련된 향후 추진과제나 이런 사항에 대해서는 참고로 해
주시기 바랍니다.
제 브리핑을 일단 마치겠습니다.
우리가 작년에 농협이나 현대카드의 보안과 관련된 사고 이후에 우리가 조직적인 측면에서도 전자
금융팀을 만들었고, 그리고 우리 전자금융과 관련된 법의 상당부분을 보완을 하면서 전자금융과 관련
된 보안에 대한 제도적인 부분을 많이 강화를 했습니다.
아울러서 그러한 제도적인 것들을 현재는 거의 다 제도화를 했고, 다만 일정 그 부분에 대해서는
현재 국회에 계류되고 있는 전자금융법 개정안이 매년 반영된 부분이 있는데, 가능한 한 조속히 법률
개정안이 통과될 수 있도록 우리도 적극적으로 노력을 해서 완결될 수 있도록 하겠습니다.
아울러서 앞으로 대응팀을 통해서 추가적으로 우리가, 특히 전자상거래와 관련된 보안의 문제에 대
해서 실태점검을 하고, 그리고 그 결과 나타난 여러 가지 제도적으로 추가적으로 보완될 사항들 이런
부분에 대해서는 우리 대응팀을 통해서 추가적인 제도 개선으로 연결될 수 있도록 추진해 나가도록 하
겠습니다.
[질문 답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 처리했으니 양해 바랍니다.
<질문> *** IT인력예산 강화 이렇게 해서 페이지 공식의무화 다 써있는데요. 알아보니까 지금 이번에
해킹 발생한 KB나 BC카드는 이것을 다 충족하고 있다고 하더라고요. 새로운 내용도 아니고, 여기에 보
면 미충족하는 회사는 공식의무화를 했는데, 혹시 금융회사 중에 미충족하는 금융사들의 비중이나 숫
자 이런 것과, 충족했는데도 불구하고 지금 이런 사고가 발생했잖아요. 혹시 이 부분에 대해서 추가로
검토하고 계신 방향이나 이런 게 있습니까?
<답변> 현재 우리가 자세한 사실관계에 대한 조사를 해봐야지 최종적으로 확정적인 결론을 말씀드릴
수 있겠습니다만, 현재까지 진행되고 있는 조사에 대한 중간에서의 보고에 따르면, 사실 이것이 개인
이 자기 PC단계에서의 보안과 관련된 관리가 일부 소홀했던 부분이 있어서 아마도 보안사고가 난 것이
아닌가, 이렇게 일단은 중간보고를 받고 있습니다.
그래서 전반적으로 망이나 시스템이나 이런 쪽이 해킹을 당한 게 아니고, 또 금융회사의 메인프레
임이 해킹을 당한 것이 아니기 때문에, 사실은 현 단계에서는 금융기관의 보안상에 있어서의 취약성보
다는 개별 금융소비자의 보안상에 있어서의 일부 소홀했던 부분이 있지 않았나, 그렇게 추정하고 있습
니다.
그래서 물론 실태조사를 하는 과정에서 이러한 개인 소비자단계에 있어서의 보안도 어떻게 하면 더
강화될 수 있느냐 하는 것을 포함해서 검토할 예정입니다.
다만, 지금 말씀하신 것처럼 충족하고 있는 기관과 아직 충족하지 않고 있는 기관, 충족보다는 하
여간 개별적으로 CISO(Chief Info.Security Officer)를 두고 있는 기관, 그리고 겸임하고 있는 기관,
이러한 두 기관에 차이는 있습니다만, 그러나 현 단계에서는 그런 금융회사 자체적인 보안의 문제가
아니기 때문에 그것과 직접적으로 연결시킬 사안은 아닌 것 같습니다.
앞으로 우리가 단계적으로 겸임보다는 독자적으로 CISO를 두는 정책방향은 가지고 있습니다만, 그
러나 그런 것들을 진행하는 과정에서 개별 금융기관의 부담이라는 것도 다른 한편으로는 우리가 고려
를 해야 되기 때문에 단계적으로 우리가 추진해 나가도록 하겠습니다.
<질문> ***
<답변> 이것은 예시가 아니고 이미 이렇게 하도록 관련 법령에, 감독규정에 반영되어서 모든 금융회사
들이 이미 다 충족하고 있는 사항입니다.
<질문> ***
<답변> 우선, 제가 말씀드린 것은 그런 BC나 KB카드가 소비자에 대한 책임이 있다, 없다의 문제를 말
씀 드리는 것이 아니고요.
이번에 보안사고가 어느 단계에서 났느냐에 대한 문제를 말씀을 드렸고, 그 다음에 금융회사와 개
별소비자와의 관계에 있어서의 금전적인 측면에서의 책임문제와 관련해서는 우리 법에 명확하게 나와
있습니다. 그래서 그 법령에 따라서 제가 알고 있기로는 BC카드나 국민카드에서 개별 소비자의 피해에
대해서는 전액 보상할 계획이 있는 것으로 알고 있습니다.
<질문> ***
<답변> 그것은 우리 현재 법령상에 보면, 예를 들어서 고위나 중과실이 없는 경우에는 그 원칙을 두고
있는데, 이것과 같이 ISP나 보안 공인인증서의 복사나 이런 것을 통해서 해킹을 당했을 때는 금융회사
가 배상할 수 있는 법적 근거를 두고 있습니다.
그래서 거기에 따라서 이번에도 아마 개별금융회사 입장에서는 전액 배상을 원칙으로 생각을 하고
있는 것으로 우리가 보고를 받고 있습니다.
<질문> ***
<답변> 전자금융거래법.
<질문> ***
<답변> (관계자) ***
<질문> ***
<답변> 현재 우리가 지난번에 관련된 제도를 개편하는 과정에서 시행령이나 감독규정이나 여기에 반영
되어야 될 사항들은 다 반영된 반면, 법에 반영될 사항들이 2~3개 있는데, 그 사항들이 법에 반영되어
서 현재 국회에, 지난 18대 국회에 사실 제출했다가 18대 국회가, 19대 국회 출범하기 전에 자동 폐기
됐고, 19대 국회에 다시 제출했습니다. 현재 우리 정무위원회 법안심사소위원회에 계류 중에 있습니다
. 그래서 그 사항까지도 통과되면 그러면 우리가 지난번에 하기로 제도개선하기로 약속했던 사항들이
완결된다는 말씀을 참고로 드린 것입니다.
<질문> ***
<답변> 그런 것을 포함해서 검토하겠습니다. 특히 해킹이 많이 일어나는 분야가 게임사이트에서 아이
템을 구입한다든지 이런 과정에서 전자상거래가 일어나는데, 그 부분에서 해킹이 많이 일어나는 관계
로 해서 거기에 대해서는 예외적인 조치를 취할지에 대해서도 같이 함께 검토하도록 하겠습니다.
<질문> ***
<답변> 그런 것도 가능하고요. 소액결제라고 해도 특정사이트를 이용하는 경우에는 공인인증서를 사용
하도록 한다든지 하는 그런 대안들을 같이 검토하도록 하겠습니다.
고맙습니다.
<끝><질문> ***
<답변>
[관련페이지]