법제도/정책

금융당국, 금융권 CC인증 규정 폐지 고려…차주 발표

이민형

[디지털데일리 이민형기자] 금융위원회가 보안성심의에 이어 국제공통평가기준(CC) 인증 규정 폐지도 고려하고 있는 것으로 알려졌다. 금융회사의 기술 선택권을 보장하겠다는 취지다.

22일 금융위 관계자는 “핀테크 등 금융 신기술 활성화를 위해 특정 기술과 제품을 강제하는 각종 규정들을 걷어낼 계획”이라며 “같은 맥락에서 CC인증 제품 의무 사용 규정의 폐지도 고려하고 있다”고 설명했다.

전자금융감독규정 제15조2항1호에 의하면 금융회사는 반드시 국가기관의 평가와 인증을 받은 보안솔루션만 도입해야 한다. 현재 금융당국이 인정하고 있는 국가기관 평가·인증 제도는 CC인증 하나뿐이다.

이 때문에 금융회사들은 국내용 CC인증을 받은 제품을 구입하거나, 국제용 CC인증 제품을 도입 한 뒤 금융보안연구원으로부터 보안적합성 검토를 받는 절차를 밟아왔다.

문제는 CC인증 프로파일이 없는 보안솔루션이다. 최근 출시되는 보안솔루션들 중 일부는 CC인증 프로파일이 없다. CC인증 프로파일이 없으면 당연히 CC인증 획득도 불가능하다. 보수적인 금융회사들이 CC인증이 없는 제품을 도입하고 사후에 보안적합성 검토를 받을리는 만무하다.

보안업계에서는 금융당국의 보안성심의 폐지가 CC인증 의무 규정 삭제로 이어져야 한다고 지적했다. 보안성심의 폐지 이유가 금융회사의 기술 선택권 보장에 있다면 CC인증 의무 규정도 같이 없어져야 한다는 것이다.

보안업계 관계자는 “금융회사의 CC인증 의무 규정으로 인해 신기술이 빛을 못보는 경우가 많다. 지난해 망분리 솔루션에 대한 논란도 이런 의무 규정으로 인해 빚어진 것”이라며 “금융당국이 금융회사의 기술 선택권을 보장해주려면 당연히 CC인증 의무 규정도 삭제해야 할 것”이라고 전했다.

금융회사의 CC인증 의무 규정이 전자금융감독규정에서 삭제되면 보안솔루션 시장의 흐름이 바뀔 것으로 예상된다. 규제 장벽이 사라져 신기술의 도입이 보다 쉬워질 뿐더러, 보안적합성 검토에 대한 금융회사와 보안업체들의 부담도 줄어들어 시장 활성화가 기대되기 때문이다.

한편 금융위는 다음주 중 핀테크 산업 활성화 지원책을 발표할 계획이다. 지원책에는 규제를 최소화하거나 폐지하는 내용이 담길 것으로 예측되며, CC인증 의무 규정도 들어갈 것으로 보인다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널