여러 나라에서 스마트폰으로 전자금융거래가 안정적으로 이루어지고 있으니 스마트폰이 잘못된 것도 아니고, 전자금융거래 자체가 스마트폰에 부적합한 것도 아님은 분명하다.
문제의 원인은 전자금융거래가 ‘익스플로러 웹브라우저에서만’ 가능하도록 설계해 둔 국내의 특이한 기술 경향 때문이다. 강제 규정으로 이런 기술 경향을 조장해 온 금융 규제 당국 때문이기도 하다.
실은 PC에서도 그동안 문제가 없었던 것이 아니다. 익스플로러와 경쟁관계에 있는 다른 웹브라우저를 사용하면 국내에서는 전자금융거래를 전혀 할 수 없었다. 이런 불편과 고통을 이제 스마트폰 이용자들도 겪기 시작한 것이다.
지난 10년간 한국은 익스플로러 점유율이 세계에서 가장 높은 나라였다. 2위에서 5위 사이의 자리는 레소토, 마샬 군도, 아프가니스탄, 통가 등이 엎치락 뒤치락 해 왔었다. 그러나 이들 나라들은 추정치 산정의 기초 자료가 워낙 적어 통계적으로 무의미한 나라였다.
어쩌다 한국의 전자거래 환경이 이렇게 되었을까?
문제의 발단은 1999년에 도입된 전자서명법에 있다. 이미 20년도 넘은 인증서 기술에 뒤늦게 열광한 누군가에 의하여 인증서는 마치 전자거래 보안의 유일무이한 신통한 해법인 양 국내에 소개되었다.
그것까지는 좋으나, 한국은 개인 인증서(접속 고객의 신원을 확인하고, 전자서명을 하는데 사용되는 클라이언트 인증서)와 관련하여 전세계 어느 나라 정부도 하지 않는 두 가지 정책 오류를 범하였다.
첫째는, 공인인증서 저장 위치를 독특하게 정해 둔 것이다. 주요 웹브라우저들은 이미 개인인증서를 저장하고 이용하는 기능을 구비하고 있다. 그러나 한국의 공인인증서는 웹브라우저가 인식할 수 없는 위치에 저장된다. 그렇기 때문에 웹브라우저로는 공인인증서를 이용할 수 없다.
인증서를 사용하는 나라는 많으나, 한국처럼 웹브라우저가 인식할 수 없는 위치에 개인인증서를 저장함으로써 웹브라우저에 멀쩡히 있는 보안접속 및 인증서 이용 기능을 쓸 수 없도록 만들고, 굳이 별도 플러그인(ActiveX가 그 대표적 예이다)을 고객 컴퓨터에 설치하도록 기술적으로 강요하는 나라는 세계에 유례가 없다.
1999년말까지 미국 외에서 사용되던 웹브라우저들이 고강도 암호화를 하지 못하여 이렇게 별도 플러그인으로 공인인증서를 사용하도록 결정했다는 변명은 초라하다.
2000년 초부터는 주요 웹브라우저들이 모두 고강도 암호화 기능을 구비하였고, 외국의 보안업체들은 이때부터 고강도 암호화 플러그인 영업을 접고, 새로운 보안 솔루션 기술 개발에 집중해 왔다. 그러나 국내 보안업체들은 세계 아무데서도 사가지 않는 암호화 플러그인을 국내에서 아직도 판매하고 있다.
둘째는, 공인인증서 사용을 금융감독원이 제도적으로 강제하는 것이다. 전자서명법에는 공인인증서를 사용하라는 말도 없고, 사설인증서를 사용하라는 말도 없다. 아예 인증서를 사용하라는 규정 자체가 없다.
거래 주체가 자율적으로 인증서를 사용하면, 그것으로 만들어 낸 전자서명에 일정한 법적 효과를 부여하겠다는 것이 전자서명법이다. 그러나, 금융감독원은 모든 전자금융거래에 공인인증서를 반드시 사용하도록 강제하는 규정을 만들었다.
이러한 금융감독원의 처사는 은행 감독에 관한 바젤 위원회가 채택한 원칙에 정면으로 반한다. 바젤 위원회 회원국의 금융감독 기구는 이 위원회가 채택하는 금융감독 원칙을 준수하여야 한다. 한국도 바젤 위원회 회원국이다.
바젤 위원회는 전자금융 위험 관리를 '획일적 해법'으로 대처하는 것은 적절하지 않다는 점을 분명히 지적하고 있다.
바젤 위원회가 채택한 '전자금융 위험 관리 원칙'에는 은행은 다양한 인증기법을 사용할 수 있으며, "어떤 인증 기법을 사용할 것인지는 전자금융 시스템 전반 또는 각 구성 부분이 제기하는 위험에 대한 경영진의 평가에 기초하여 은행이 결정하여야 한다"고 규정되어 있다.
은행의 결정권을 박탈하고, 감독 기구가 특정 인증 기법(디지털인증서는 여러 인증 기법 중 하나에 불과하다)의 사용을 은행에게 강제하는 것은 바젤 위원회가 채택한 전자금융 위험관리 원칙을 어기는 것이다.
바젤 위원회 회원국의 금융감독기구는 말할 것도 없고, 세계 어느 나라의 금융감독 기구도 한국처럼 특정 인증 기법의 사용을 은행들에게 제도적으로 강제하는 나라는 없다.
/김기창 고려대 법학과 교수 keechang@korea.ac.kr
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기