금융 보안 수단 자율적 선택 강조...부인방지기능 완화

[보안뉴스 오병민] 앞으로 금융거래에서 공인인증서 외에도 새로운 보안수단의 활용이 넓어질 것으로 보인다. 5월 31일 국무총리실, 금융위원회, 방송통신위원회 등 관계부처가 공동으로 전자금융거래시 공인인증서와 병행하여 사용할 수 있도록 하는 보안 가이드라인(전자금융거래 인증방법의 안전성 가이드라인)을 확정하고 발표했기 때문이다.

관계 부처들은 이로 인해 그동안 인터넷과 스마트폰 등에서 제약 받았던 금융 서비스가 더욱 활성화 될 것으로 기대하고 있다.

이번 가이드라인은 지난 3월 31일 발표된 ‘전자금융거래시 공인인증서 사용의무 규제완화 방안’에 따른 것으로, 금융기관과 전자금융업자가 자율적으로 인증방법을 선택할 수 있도록 하는 안전성 기준을 제시하고 있다.

가이드라인에서는 금융감독기관이 금융기관과 전자금융업자가 전자금융거래에 적합한 인증방법을 인증방법에 관한 기술중립성의 원칙에 입각해 자율적으로 선택할 수 있도록 해야 한다고 못 박고 있다.

아울러 금융기관과 전자금융업자는 전자금융거래 이용자가 안전하고 편리하게 전자금융 서비스에 접근할 수 있도록 전자금융거래별 보안위험(Risk) 요인에 대한 분석에 따라 다양한 인증방법을 제공할 수 있도록 하고 있다.

만약 금융기관 또는 전자금융업자가 공인인증서 외의 인증방법을 사용하고자 하는 경우, 거래의 유형 등을 고려한 적정한 인증방법을 선택해 인증방법평가위원회에 평가를 요청할 수 있게 된다.

이를 위해 민간전문가 등으로 구성된 인증방법평가위원회가 금융감독원에 설치된다. 인증방법평가위원회는 전자금융거래 유형별 보안강도, 신규 인증방법에 대한 보안등급 등 세부평가기준을 마련해  공개해야 한다.

우선 인증방법평가위원회의 평가는, △이용자인증, △서버인증, △통신채널의 암호화, △거래내역의 무결성, △거래내역의 부인방지 등의 기술적 요건들을 선택적으로 적용해 인증방법의 안전성을 평가하게 된다.
 
여기서 유심히 봐야할 부분은, 거래내역의 부인방지 기능으로 예전과 달리 필수가 아니라 선택적으로 적용할 수 있도록 했다는 것. 따라서 금융기관 또는 전자금융업자는 이용자 인증, 서버인증 및 통신채널 암호화의 요건을 갖춘 경우, 거래한도를 정하여 인증방법평가를 받아 금융거래를 할 수 있게 된다.

한편, 금융감독원장이 인정한 기관의 검증을 받은 경우에는 인증평가위원회의 평가가 생략된다. 아직까지는 공인된 기관에 대한 자세한 규정은 파악되지 않은 상태지만 조만간 공인 기관에 대한 규정도 세부 규정으로 포함될 것으로 보인다. 세부 규정은 금융감독원장이 정하도록 돼 있다.

금융업계의 한 관계자는 “가이드라인에는 중립적인 평가를 강조하고 있어, 금융 거래에서 새로운 보안 수단의 이용에 대한 제약을 조금이나마 축소할 수 있을 것”이라며 “앞으로 금융감독 당국에서 정할 세부규정이 중요하기 때문에 여기에서 많은 관심이 필요해 보인다”라고 말했다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>