[디지털데일리 이민형기자] 하루가 멀다하고 발생하는 전자금융사고에 대응하기 위해 금융당국이 이상거래탐지시스템(FDS) 구축 강화를 지시하고 있으나, 막상 이를 위한 ‘실시간 정보공유’가 위법소지가 있어 활성화에 어려움을 겪고 있다.

이를 개선하기 위해 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)과 신용정보의 이용 및 보호에 관한 법률(신용정보법)의 개정으로 전자금융사고 예방을 위한 일련의 활동에 법적 근거를 부여해야 한다는 산업계의 지적이 나왔다.

10일 여의도 매리어트호텔에서 열린 ‘FDS산업포럼 조찬세미나’에서 구태언 테크앤로 대표변호사는 “현재 국내 보안업체가 악성코드에서 추출한 정보를 이용해 국내외 침해서버에 침투, 유출된 고객의 금융정보를 행정기관이나 금융회사에 제공하는 것은 위법 소지가 있다”며 “하지만 이는 전자금융사고를 예방하기 위해 필요한 조치다. 법적 근거를 마련해 이러한 활동이 보장받을 수 있도록 해야한다”고 주장했다.

현재 빛스캔 등 보안업체들은 유포되는 악성코드를 역으로 분석해 공격자 서버에 저장된 고객 금융정보를 가져와 한국인터넷진흥원(KISA)에 제공하고 있다.

하지만 이는 타인의 정보통신망(서버)에 무단으로 접근하게 되므로 정보통신망법 제48조1항을 위반할 소지가 있다. 또 해당 정보를 기관에 넘겨줄 경우에는 개인정보보호법을 위반하는 행위가 된다.

물론 형법 제20조에 따르면 사회상규에 위배되지 않은 행위는 정당행위로 인정받을 수 있다. 전자금융사고를 여기에 대입하면 형법상 ‘긴급성’에 해당된다. 고객의 금전이 지금 당장 탈취당할 수 있는 위험이 있기 때문이다. 그러나 보다 확실한 법적 근거 마련이 필요하다는 것이 구 변호사의 지적이다.

그는 “이러한 행위는 정보통신망법, 개인정보보호법 상 위법해위가 될 수 있겠지만, 형법상 정당행위의 위법성 조각사유가 인정될 가능성도 있다. 하지만 근본적인 해결을 위해서는 이를 위한 법적 근거를 만드는 것이 필요하다”고 설명했다.

이어 “다만 수사기관이 아닌 행정기관에 정보통신망 조사권한을 부여한다는 것은 위험할 수 있다. 이는 추후에 해결할 문제이며 우선적으로 정보공유에 대한 규정을 만드는 것이 필요하다”고 말했다.

정인화 금융감독원 IT감독실장도 전자금융사고 예방을 위해 정보공유가 잘 될 수 있는 환경이 필요하다고 지적했다.

그는 “전자금융사고 예방을 위해 이상거래탐지시스템(FDS) 구축이 강화되고 있으나 ‘실시간 정보공유’가 쉽지 않아 고도화가 어려운 상황”이라며 “고객의 자산을 보호하기 위한 조치가 개인정보보호법을 위반할 수 있다는 것은 금융회사의 입장에서 부담스러운 부분이다. 하지만 ‘긴급성’에 초점을 맞춰 정보공유를 해야할 것 같다”고 강조했다.

이날 논의된 부분은 정보통신망법과 신용정보법 등에 전자금융사고 예방을 위한 정보공유에 대한 법적근거를 만드는 것이다. 이를 통해 KISA나 내년 출범할 금융보안원이 이러한 행위를 함에 있어 적법성을 갖추게 한다는 것이 논의의 취지다.

이날 세미나에서는 보안업체가 수집한 탈취 고객 금융정보를 FDS에 적용해 보다 고도화된 대응을 해야한다는 제언도 나왔다.

문일준 빛스캔 대표는 “FDS는 도입이 문제가 아니라 도입 이후 룰을 만드는 것이 더 중요하다”며 “악성코드에 감염된 클라이언트(사용자PC)의 정보, 공인인증서를 탈취당한 고객의 정보 등을 FDS에 적용하면 사고를 최소화할 수 있을 것”이라고 말했다.

<이민형 기자>kiku@ddaily.co.kr