주요금융사…“VAN사는 제휴 사업자, 감독권한 없어”

지난 3월 발생한 ‘청호 이지캐쉬 ATM 악성코드 감염’ 관련 ‘전자금융보조업자’ 관리·감독 주체 논란이 확산중이다.

이미 수차례 발생한 이같은 사고를 예방하기 위해 씨티은행을 제외한 거의 모든 금융회사가 고객정보 ‘유출 가능고객’에 대해 해외 신용카드 등 사용을 제한해 왔다.

아울러 주요 금융회사는 VAN사 등은 ‘제휴사’로 규정돼 있기 때문에, 개별은행이 감독해야 할 대상이 아니라는 입장이다.

반면, 금융감독원은 지난 3월 20일 보도자료를 통해 “ATM 운영 VAN사는 금감원의 직접적인 감독대상 금융기관이 아니며, 제휴 금융회사를 통해 간접적으로 점검할 수 있는 전자금융거래법상 전자금융보조업자에 해당”한다고 규정하면서 감독, 관리 주체 논란이 확산중이다.

근본적으로 ‘전자금융보조업자’에 대한 인허가를 비롯한 법 체계가 미진한 가운데 관리, 감독의 주체는 서로 미루고 있는 형국이다.

◆‘청호 이지캐시, ATM 악성코드 감염 사건’ 내용은 = 지난 3월 결제대행사(VAN) 청호 이지캐시가 전국에 설치한 ATM 중 63대 가량이 2월부터 한 달간 악성코드에 감염된 사건이다.

이렇게 감염된 ATM에서 기기 이용자의 신용ㆍ체크ㆍ직불카드 2500여장의 카드번호ㆍ카드 유효기간ㆍ거래승인번호ㆍ카드 비밀번호 정보가 유출된 사실이 밝혀진 것.

금융감독원은 이후 ▲청호 이지캐시로 하여금 악성코드 감염이 우려되는 총 63개 ATM기기를 이용한 적이 있어 정보유출 가능성이 일부라도 있는 카드정보를 35개 해당 금융회사에 즉시 전달했다.

이를 전달받은 금융회사는 해외 ATM에서 해당 카드정보를 이용한 마그네틱 카드의 현금인출을 차단하는 등 인증을 강화하고 신용카드 부정승인에 대한 모니터링을 강화토록 조치했다.

또 주요 금융회사는 정보유출 가능성이 높은 것으로 파악된 고객(2500여개 카드정보 추정)에 대해서는 카드 재발급 또는 비밀번호를 즉시 변경할 것을 개별 안내에 나서 등 ‘사후 대응’에 본격 나섰다.

다만 해외 카드 사용이 많은 씨티은행만 ‘거래정지’가 아닌 ‘인출 상한 제한’ 조치만 처리, 지난 4월 8~9일 씨티카드 정보를 이용해 태국 ATM에서 고객 28명의 돈이 부당 인출되는 금융사고가 발생한 것이다.

◆‘전자금융보조업자’ 관리, 감독 규정은 없지만… = 금융감독원 관계자는 “전자금융거래법상, 전자금융보조업자에 대해서는 금융회사가 외부 주문 업체에 대해 관리 감독하게 돼 있다”고 밝혔다.

현행법에서 전자금융보조업자를 금융감독원 등에서 관리, 감독할 이유가 없다는 설명이다.

다만, 현행 전자금융감독규정 제61조(전자금융보조업자 자료제출 기준)에 “①금융감독원장은 전자금융보조업자에 대해 외부주문등과 관련한 계약서, 계약서 부속자료 및 그 밖의 전자금융업무와 관련한 자료 등을 직접 요구할 수 있다” 및 “② 제1항에 따른 자료제출 요구시 전자금융보조업자는 특별한 이유가 없는 한 자료제출에 응하여야 한다”는 규정이 있다.

이에 대해, 금융감독원 관계자는 “이 조항은 주요 금융회사 감사 과정에서 전자금융보조업자와 맺은 계약서 등을 살펴볼 수 있다는 애기지, 전자금융보조업자를 감독원이 직접 관리한다는 규정은 아니다”라고 설명했다.

반면 금융회사들 입장은 다르다.

우선, 지금까지 금융IT 감사 과정에서 이같은 자료 제출 요구가 거의 없었다고 밝혔다.

특히 금융회사 입장에선 금융VAN 사는 ‘제휴사’ 성격이기 때문에, 로그파일 암호화 등을 어떻게 관리하는지 여부까지 일일이 ‘규정’하거나 ‘감독’에 나서기는 어렵다는 입장이다.

또 현재 전자금융감독규정 제60조에 따르면, “①-10. 전자금융보조업자에 대한 재무건전성을 연1회 이상 평가하여 재무상태 악화에 따른 도산에 대비하고 전자금융보조업자의 주요 경영활동에 대해 상시 모니터링을 실시, 11. 전자금융보조업자가 제공하는 서비스의 품질수준을 연1회 이상 평가할 것, 12. 전자금융보조업자가 사전 동의 없이 다시 외부주문등 계약을 체결하거나 계약업체를 변경하지 못하도록 하고, 사전 동의시 해당 계약서에 제7호의 사항을 기재하도록 통제”하도록 하는 규정이 있기 때문에 전적으로 금융감독원의 관리, 감독의 대상이라는 주장이다.

아울러 주요 금융회사는 이미 금융보안원 등에서 지난 2014년 이후 전자금융보조업자에 대한 안전성 여부 등 점검에 나선 바 있기 때문에, 금융감독원이 주체가 돼 관리, 감독해야 한다는 입장이다.

실제로 금융보안원은 지난 2014년, 12개 CMS사업자와 16개 신용카드 VAN사업자 등 총 28개사를 대상으로 실태점검에 나선 바 있다.

◆관리, 감독 주체 논의 본격화 = 이같은 논쟁을 의식, 금융감독원, 금융보안원, 금융회사 등은 지난 4월 27일 모여 ‘자동화기기 VAN 사업자 보안점검 및 관리강화’ 관련 회의를 가졌다.

이 자리에서 감독당국과 주요 금융회사는 은행연합회 등이 맡아서 금융회사, 금융회사와 계약을 맺은 내용 등을 점검해 볼 수 있다는 얘기를 나눈 것으로 알려졌다.

금융감독원 ITㆍ금융정보보호단 정기영 IT총괄팀장은 “그 회의는 전자금융보조업자에 대한 ‘점검에 대한 내용’을 어떻게 처리할거냐를 논의하는 자리였다”며 “아직 정해진 바는 없다. 다만, 전자금융보조업자를 이용하는 많은 금융회사가 있는 만큼 은행연합회가 아닌 제3의 기관(금융보안원 등)이 될 가능성이 높다”고 전했다.

‘사후 약방문’이 됐지만, 이제라도 ‘전자금융보조업자’에 대한 전자금융거래법 개정 및 관리, 감독 주체 선정이 보다 절실해 지고 있다.

<김동기 기자>kdk@bikorea.net