[칼럼]박근혜 대통령, 공인인증서 그리고 금감원
금감원 모든 금융회사에 대한 보안검사 사실상 불가능
금융회사 셀프 감사 제대로 이뤄지기 어려워… 외부 감사체계 도입해야
박 대통령은 공인인증서를 개선해야 할 대표적인 규제로 지목했다. 이에 오는 6월부터는 전자상거래 결제 시 30만원 이상금액에 대해서도 공인인증서를 사용하지 않고 결제할 수 있게 될 것으로 보인다.
지난 3월 말 필자는 프랑스 파리에서 개최된 W3C 웹페이먼트 워크숍을 다녀왔다. 전세계 페이먼트 분야 전문가들이 모여 미래 웹결제환경의 표준화에 대해 논의하는 자리였다. 이 워크숍에서 다양한 이야기가 오갔지만 주요 주제는 '익명성(Anonymous)'이었다.
현재 글로벌 전자상거래 트랜드는 거래 상대방의 신원(Identity)을 확인하기 위해 시간과 노력을 투입하기보다 상대방이 누군지는 모르지만, 신용(Credit)에 기반을 두고 쉽게 결제할 수 있도록 하는 것이다. 심지어 거래 상대방의 신용을 확인하지 못하더라도 매매보호(Escrow) 메커니즘이나 거래위험감시체계(FDS) 등을 통해 쉽게 결제할 수 있도록 하는데 초점을 맞추고 있다.
한국 특유의 공인인증서도 전자상거래에서 요구되는 다양한 인증(Authentication) 방식 중 하나다. 인증은 상대방의 신원을 확인하기 위해서 요구된다. 현재 국내 규제 아래서는 매번 결제할 때마다 상대방 신원을 확인하도록 하고 있다.
하지만 거래형태나 위험도를 고려할 때 꼭 온라인에서 상대방의 신원을 확인하지 않아도 안전하게 거래할 수 있는 형태가 분명 존재한다.
예를 들어 항공권을 온라인 판매하는 경우 온라인에서 거래 상대방 신원확인을 위해 인증하지 않더라도 실제 항공권 탑승과정에서 탑승자의 신원을 여권과 대조해 확인할 수 있다.
회원제 오프라인 쇼핑몰에서는 거래상대방의 신원을 사전에 확인했다면 나중에 온라인에서 공인인증서 등의 복잡한 인증과정을 거칠 필요 없이 간편하게 결제하게 하는 것도 가능하다.
공인인증서는 다양한 인증방법 중 하나다. 인증은 전자상거래의 안전성을 확보하기 위한 여러 가지 요소 중 하나라는 사실을 놓쳐서는 안 된다.
우리는 물리적 보안이나 인적 보안이 부족하기 때문에 근래와 같은 카드사 개인정보 유출사태를 경험했다. 접근통제 보안이 미비해 많은 대형 온라인 사이트들이 빈번하게 해킹되기도 했다.
우리나라는 공인인증서에 너무 많은 사회적 자원을 소모하고 있다. 반대로 가장 중요한 전체 보안 수준을 끌어 올리는 '총체적 보안'은 상대적으로 소홀히 하고 있었다고 본다.
총체적 보안이란 공인인증서와 같이 제한적, 지엽적 특정 분야의 보안 수준에 대한 것이 아니라 전사영역에 걸친 보안을 의미한다.
인증, 암호화, 접근통제, 인적통제, 물리적통제, 데이터폐기절차, 재해복구대책, 보안정책관리 등 정보보호를 위해 요구되는 모든 요소를 고려하여 보안대책을 세우고, 실행하고, 검증하고, 다시 수정하는 단계를 무한 반복하는 것이 총체적 보안이라고 볼 수 있다.
외국은 이 개념을 '보안 컴플라이언스(Security Compliance)'라고 부른다. 또 다양한 분야에서 보안 컴플라이언스가 공론화되고 있다.
신용카드 정보보호를 위한 PCIDSS, 의료정보보호를 위한 HIPAA, 회계정보 보호를 위한 SOX 등이 대표적인 예다.
이러한 보안컴플라이언스에는 몇 가지 공통점이 있다. 그중 하나는 객관적인 전문가에 의한 제3자 감사이고 또 하나는 정기적인 감사이다.
PCIDSS의 예를 들면, 민간회사 및 정부기관 등이 참여하는 위원회가 구성되어서 신용카드 정보보호를 위한 보안요구사항의 도출이나 신뢰할 수 있는 전문적인 보안감사자 선정 등의 역할을 하며 PCIDSS의 보안감사자 (QSA라고 칭함)은 250가지 이상의 구체적인 보안요구사항에 대한 해당 기관의 달성수준을 매년 객관적으로 평가하고 보고서를 생성한다.
이렇게 생성된 보고서는 제4자로서 또 다른 QSA가 내용을 리뷰하고 보험회사는 QSA들 간의 짬짜미나 위법행위에 대한 보상을 보장한다.
PCI 위원회는 이러한 보안감사체계가 제대로 동작할 수 있도록 개입하여 지속적 개선이 이루어질 수 있도록 노력하지만, 위원회에서 직접 보안감사를 하지 않는다.
국내의 경우 은행이나 카드사 등 금융회사에 대한 보안감사는 금융감독원이 한다. 결제대행회사 등 비금융회사의 보안감사는 금융회사를 통해 이뤄지고 있다.
문제는 금감원의 금융회사에 대한 보안감사가 사실상 제 역할을 하는 게 불가능하다는 점이다. 현행의 10배로 금감원의 조직을 확대하더라도 우리나라의 모든 금융사에 대한 제대로 된 보안감사를 정기적으로 실시하는 것은 사실상 불가능하다.
금감원이 금융회사 보안감사도 바쁜 마당에 전자금융업자나 쇼핑몰 등에 대해서까지 신경 쓸 리는 더더욱 만무하다.
결국, 금감원이 다하지 못하는 일을 금융회사는 자체 보안조직으로 자기 자신에 대해서 감사를 한다. 셀프 감사가 아무리 엄격한 기준을 정해서 감사를 수행하더라도 제대로 된 감사가 되기 어렵다는 것은 지난 카드사들의 카드정보 유출사고를 보더라도 잘 알 수 있다.
전자상거래의 총제적 보안성을 강화하기 위해서는 우리는 먼저 회계감사를 떠올려 볼 필요가 있다. 회계 감사 기업의 외부 감사체계를 보면 참고할만한 사항이 상당히 많다.
많은 기업의 회계감사는 전문성을 가진 제3자가 한다. 금감원은 회계감사결과가 신뢰성을 가질 수 있도록 회계기준의 수립이나 회계감사기관의 신뢰성을 보장하기 위한 다양한 조치를 취하지만 실제로 금감원이 직접 회계감사를 하지 않는다.
그런데 금융회사의 보안감사는 조직구조상 역량도 부족하고 전문인력도 부족한 금감원이 도맡아 하고 있다. 한 기관이 모든 금융회사에 대한 보안감사를 직접 하는 것은 당연히 역부족이다. 더 나아가서 보안감사만 하는 것이 아니고 금융회사들이 사용하는 보안기술에 대해서도 직접 가이드라인을 정해 관리·감독하고 있다.
금감원 보안기술 통제의 대표적인 사례가 공인인증서였다고 본다.
다행이 전자상거래 신용카드 거래에서 공인인증서 의무사용이 일부 완화 될 것으로 예상되지만 여전히 매번 거래할 때마다 인증해야 하고 인증방법은 금감원의 보안성 심의나 산하 인증방법평가위원회의 평가를 통과한 방법을 사용해야 하는 등 보안기술에 대한 관리·감독은 여전히 지속하고 있다.
이제 정부는 보안기술을 직접 통제하려는 시도에서 방향을 바꿔야 한다. 민간 자체적으로 제3의 전문가에 의해 제대로 된 보안감사를 정기적으로 받도록 해야 한다. 감독기관은 그 체계가 제대로 운영되고 있는지 도와주기만 하면 된다.
곧 이상적인 형태로 정부의 역할이 달라질 것으로 기대해 본다.
글/이동산 페이게이트 최고기술이사(CTO)
©(주) 데일리안 무단전재 및 재배포 금지
이동산 페이게이트 최고기술이사(CTO)
![삼성 임원 '주 6일 근무'가 주는 경고음 [박영국의 디스]](https://cdnimage.dailian.co.kr/news/icon/202404/news_1713404739_1352284_c.jpeg){kind=icon}