[디지털데일리 이민형기자] “이상거래탐지시스템(FDS)을 활성화하기 위해서는 우선 개인정보와 관련된 법령의 개정이 필요합니다. 고도화된 FDS 운영에는 사용자 개인정보의 수집·활용이 전제돼 있기 때문입니다.”

구 변호사는 “FDS의 원활한 운용은 금융거래정보, 사용자 정보, 단말기 정보, 위치정보수집이 전제돼 있다. 하지만 현행 개인정보보호법, 위치정보보호법, 정보통신망법 등에서는 정보의 수집을 제한하고 있다”고 설명했다.

FDS는 비정상적인 거래를 탐지해 차단하는 시스템을 말한다. 이를 위해서는 사용자 금융정보를 비롯해 단말기 정보, 위치 정보가 필요하다.

예를 들어 A라는 사용자는 AA라는 단말기를 통해서만 인터넷뱅킹, 쇼핑 등을 한다고 가정하자. 그런데 B라는 공격자는 A사용자의 아이디와 비밀번호, 공인인증서 등을 탈취한 상황이다.

본인인증을 위한 모든 요건을 만족시킨 상황에서 B의 이상거래를 탐지하기 위한 수단은 변경되지 않는 단말기 정보와 위치정보 뿐이다.

하지만 이러한 정보들은 현행법상 개인정보에 포함돼 사용자의 동의없이는 수집할 수 없다.

실제로 지난 5월 신한카드는 FDS 고도화를 위해 개인정보 수집 항목을 추가하겠다는 개정 약관을 발표했으나 사용자들의 반발에 의해 이를 철회한 바 있다.

이후 신한카드는 맥 주소, 쿠키, 하드디스크 시리얼 등 사용자 단말정보가 개인정보임을 인정하고 개별 동의를 받기로 결정했다.

이와 관련 구 변호사는 “개인정보보호법에는 목적에 필요한 최소한의 개인정보를 수집해야 한다는 부분이 명시돼 있다. 일부 사례에서처럼 현행법을 엄격히 적용할 경우 FDS를 제대로 운영하는 것은 쉽지 않다”며 “금융당국에서 FDS 구축을 위한 개인정보 수집·활용의 경우 예외로 둔다는 유권해석을 한 바 있으나, 완벽하다고 볼 수 없다”고 지적했다.

이어 “금융회사들이 FDS를 제대로 운영할 수 있게끔 할려면 전자금융거래법에 예외조항을 넣거나 기존 법령들의 정보 수집 관련 항목을 개정할 필요가 있어 보인다”고 덧붙였다.

현재 금융당국은 FDS를 위한 개인정보 수집·활용은 불법이 아니라고 해석한 바 있다. 전자금융거래법 제22조 ‘전자금융거래기록 보관’에 해당된다는 것이다.

하지만 어디까지가 전자금융거래기록에 해당하는지는 해석이 모호할 수 밖에 없다.

구 변호사는 “현재는 법률을 해석하는 사람에 따라 거래기록의 범위가 달라질 수 밖에 없는 상황”이라며 “이러한 부분에 대한 개정도 이뤄져야 타법과의 충돌이 없을 것”이라고 강조했다.

<이민형 기자>kiku@ddaily.co.kr