[디지털데일리 이민형기자] 이달 말 예정된 전자금융감독규정 개정안 발표를 앞두고 금융권이 대응책 마련에 골몰하고 있다.

금융감독규정이 자율규제로 선회하면서 기술선택의 자율성은 높아졌으나 그만큼 책임도 커졌기 때문이다. 이 때문에 금융회사들은 보안프로그램 설치 의무화 등이 폐지되더라도 당분간은 현행 체계를 유지할 계획이다.

21일 관련업계에 따르면 주요 은행들은 비(非) 액티브엑스 기반 전자서명과 보안프로그램 도입을 준비하고 있다. 핵심은 ‘사용자가 불편하지 않는 수준에서 최소한의 보안성 유지’에 맞췄다.

신한은행 관계자는 “보안프로그램 설치 의무화 삭제 등이 반영된 전자금융감독규정 개정안이 시행되더라도 현재 환경을 바꾸는 것은 쉽지 않다”며 “당장은 기존의 방식을 사용하되, 보다 강력하고 편리한 환경 구축 방안을 태스크포스팀(TFT)을 구성해 논의 중”이라고 말했다.

또 국민은행은 “금융감독의 자율규제 방향에는 적극 공감하며 이를 반영할 준비가 돼 있다”며 “하지만 보안프로그램을 설치하지 않는다는 것은 아직 고려사항에 넣지 않았다. 금융서비스에서 보안은 없어서는 안될 필수 요건이기 때문”이라고 전했다. 다른 은행들과 보험사, 증권사들도 ‘대응은 하겠지만 보안프로그램을 걷어낼 계획은 없다’고 전해왔다.

전자금융감독규정 개정을 준비하고 있는 금융당국도 보안프로그램 등의 제공은 금융회사의 재량이라고 못박았다. 금융위원회 관계자는 “금융당국은 금융회사들이 자율적으로 보안정책을 수립하고 시행할 수 있도록 규제를 풀어주는 역할”이라며 “핀테크나 새로운 인증기술 등의 도입은 금융회사가 선택할 문제고, 그에 대한 책임만 지면 된다”고 말했다.

금융회사들의 보안프로그램을 놓지 못하는 이유는 또 있다. 전자금융거래법 제9조에 의거 전자금융사고 발생시 1차적 배상책임이 금융회사에게 있기 때문이다.

전자금융거래법 제9조에 따르면 접근매체의 위조나 변조(1항), 전자적 전송 과정 사고(2항), 정보통신망에 침입해 부정한 방법으로 획득한 접근매체 이용(3항) 등으로 인해 사고가 발생하면 금융회사가 배상을 해야한다.

현재 금융회사들이 사용 중인 보안프로그램은 1항과 2항에 대한 사고대응과 면책을 위해 쓰인다. 이를 보면 보안프로그램 의무화가 폐지되더라도 금융회사들이 쉽게 보안프로그램에서 손을 떼진 않을 것으로 추정된다. 다만 금융당국의 지도와 시장의 분위기로 보건데 강제가 아닌 권고로 수준이 내려갈 가능성은 있다.

하지만 반대로 보안프로그램을 설치하지 않은 상황에서 전자금융사고가 발생하더라도 소비자 중과실로 잡히진 않는다.

김경환 법무법인 민후 대표변호사는 “중과실이라고 할 수 있는 행위는 지극히 제한적”이라며 “공인인증서나 보안카드 등을 직접 넘겨주지 않으면 중과실이 아니다. 이는 백신 등을 설치하지 않아 공인인증서가 탈취되더라도 적용될 수 있는 것”이라며 “금융회사들은 보안프로그램으로 전자금융사기를 대응하려고 하지말고 이상거래탐지시스템(FDS)의 구축과 고도화로 사고를 예방해야 할 것”이라고 강조했다.

<이민형 기자>kiku@ddaily.co.kr