편집 : 2017.6.27 화 18:18
금융IT
<초점>‘전자금융보조업자’ 관리·감독 책임은…금융감독원…“VAN사, 직접적인 감독대상 아니다”
김동기 기자  |  kdk@bikorea.net
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2017.05.11  14:03:24
트위터 페이스북 미투데이 요즘 네이버 구글 msn

주요금융사…“VAN사는 제휴 사업자, 감독권한 없어”

지난 3월 발생한 ‘청호 이지캐쉬 ATM 악성코드 감염’ 관련 ‘전자금융보조업자’ 관리·감독 주체 논란이 확산중이다.

이미 수차례 발생한 이같은 사고를 예방하기 위해 씨티은행을 제외한 거의 모든 금융회사가 고객정보 ‘유출 가능고객’에 대해 해외 신용카드 등 사용을 제한해 왔다.

아울러 주요 금융회사는 VAN사 등은 ‘제휴사’로 규정돼 있기 때문에, 개별은행이 감독해야 할 대상이 아니라는 입장이다.

반면, 금융감독원은 지난 3월 20일 보도자료를 통해 “ATM 운영 VAN사는 금감원의 직접적인 감독대상 금융기관이 아니며, 제휴 금융회사를 통해 간접적으로 점검할 수 있는 전자금융거래법상 전자금융보조업자에 해당”한다고 규정하면서 감독, 관리 주체 논란이 확산중이다.

근본적으로 ‘전자금융보조업자’에 대한 인허가를 비롯한 법 체계가 미진한 가운데 관리, 감독의 주체는 서로 미루고 있는 형국이다.

◆‘청호 이지캐시, ATM 악성코드 감염 사건’ 내용은 = 지난 3월 결제대행사(VAN) 청호 이지캐시가 전국에 설치한 ATM 중 63대 가량이 2월부터 한 달간 악성코드에 감염된 사건이다.

이렇게 감염된 ATM에서 기기 이용자의 신용ㆍ체크ㆍ직불카드 2500여장의 카드번호ㆍ카드 유효기간ㆍ거래승인번호ㆍ카드 비밀번호 정보가 유출된 사실이 밝혀진 것.

금융감독원은 이후 ▲청호 이지캐시로 하여금 악성코드 감염이 우려되는 총 63개 ATM기기를 이용한 적이 있어 정보유출 가능성이 일부라도 있는 카드정보를 35개 해당 금융회사에 즉시 전달했다.

이를 전달받은 금융회사는 해외 ATM에서 해당 카드정보를 이용한 마그네틱 카드의 현금인출을 차단하는 등 인증을 강화하고 신용카드 부정승인에 대한 모니터링을 강화토록 조치했다.

또 주요 금융회사는 정보유출 가능성이 높은 것으로 파악된 고객(2500여개 카드정보 추정)에 대해서는 카드 재발급 또는 비밀번호를 즉시 변경할 것을 개별 안내에 나서 등 ‘사후 대응’에 본격 나섰다.

다만 해외 카드 사용이 많은 씨티은행만 ‘거래정지’가 아닌 ‘인출 상한 제한’ 조치만 처리, 지난 4월 8~9일 씨티카드 정보를 이용해 태국 ATM에서 고객 28명의 돈이 부당 인출되는 금융사고가 발생한 것이다.

◆‘전자금융보조업자’ 관리, 감독 규정은 없지만… = 금융감독원 관계자는 “전자금융거래법상, 전자금융보조업자에 대해서는 금융회사가 외부 주문 업체에 대해 관리 감독하게 돼 있다”고 밝혔다.

현행법에서 전자금융보조업자를 금융감독원 등에서 관리, 감독할 이유가 없다는 설명이다.

다만, 현행 전자금융감독규정 제61조(전자금융보조업자 자료제출 기준)에 “①금융감독원장은 전자금융보조업자에 대해 외부주문등과 관련한 계약서, 계약서 부속자료 및 그 밖의 전자금융업무와 관련한 자료 등을 직접 요구할 수 있다” 및 “② 제1항에 따른 자료제출 요구시 전자금융보조업자는 특별한 이유가 없는 한 자료제출에 응하여야 한다”는 규정이 있다.

이에 대해, 금융감독원 관계자는 “이 조항은 주요 금융회사 감사 과정에서 전자금융보조업자와 맺은 계약서 등을 살펴볼 수 있다는 애기지, 전자금융보조업자를 감독원이 직접 관리한다는 규정은 아니다”라고 설명했다.

반면 금융회사들 입장은 다르다.

우선, 지금까지 금융IT 감사 과정에서 이같은 자료 제출 요구가 거의 없었다고 밝혔다.

특히 금융회사 입장에선 금융VAN 사는 ‘제휴사’ 성격이기 때문에, 로그파일 암호화 등을 어떻게 관리하는지 여부까지 일일이 ‘규정’하거나 ‘감독’에 나서기는 어렵다는 입장이다.

또 현재 전자금융감독규정 제60조에 따르면, “①-10. 전자금융보조업자에 대한 재무건전성을 연1회 이상 평가하여 재무상태 악화에 따른 도산에 대비하고 전자금융보조업자의 주요 경영활동에 대해 상시 모니터링을 실시, 11. 전자금융보조업자가 제공하는 서비스의 품질수준을 연1회 이상 평가할 것, 12. 전자금융보조업자가 사전 동의 없이 다시 외부주문등 계약을 체결하거나 계약업체를 변경하지 못하도록 하고, 사전 동의시 해당 계약서에 제7호의 사항을 기재하도록 통제”하도록 하는 규정이 있기 때문에 전적으로 금융감독원의 관리, 감독의 대상이라는 주장이다.

아울러 주요 금융회사는 이미 금융보안원 등에서 지난 2014년 이후 전자금융보조업자에 대한 안전성 여부 등 점검에 나선 바 있기 때문에, 금융감독원이 주체가 돼 관리, 감독해야 한다는 입장이다.

실제로 금융보안원은 지난 2014년, 12개 CMS사업자와 16개 신용카드 VAN사업자 등 총 28개사를 대상으로 실태점검에 나선 바 있다.

◆관리, 감독 주체 논의 본격화 = 이같은 논쟁을 의식, 금융감독원, 금융보안원, 금융회사 등은 지난 4월 27일 모여 ‘자동화기기 VAN 사업자 보안점검 및 관리강화’ 관련 회의를 가졌다.

이 자리에서 감독당국과 주요 금융회사는 은행연합회 등이 맡아서 금융회사, 금융회사와 계약을 맺은 내용 등을 점검해 볼 수 있다는 얘기를 나눈 것으로 알려졌다.

금융감독원 ITㆍ금융정보보호단 정기영 IT총괄팀장은 “그 회의는 전자금융보조업자에 대한 ‘점검에 대한 내용’을 어떻게 처리할거냐를 논의하는 자리였다”며 “아직 정해진 바는 없다. 다만, 전자금융보조업자를 이용하는 많은 금융회사가 있는 만큼 은행연합회가 아닌 제3의 기관(금융보안원 등)이 될 가능성이 높다”고 전했다.

‘사후 약방문’이 됐지만, 이제라도 ‘전자금융보조업자’에 대한 전자금융거래법 개정 및 관리, 감독 주체 선정이 보다 절실해 지고 있다.

<김동기 기자>kdk@bikorea.net

 

< 저작권자 © BI KOREA 무단전재 및 재배포금지 >
김동기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
1
우리은행 차세대, 전면적 테스트 체제로…
2
한국IBM 공식 블로그 오픈
3
삼성SDS, ‘브라이틱스 AI’ 공개
4
“‘OS 백업’으로 랜섬웨어 막아라”
5
에스리, “오픈 GIS는 4차 산업혁명에 필수”
6
“전세계 7대 디지털 비즈니스 기업 영향력 더 세진다”
7
한국MS, NH투자證에 ‘애저 머신러닝’ 공급
8
HDS, ‘올해의 VM웨어 파트너’ 부문 수상
9
KB-카이스트, ‘금융AI 연구센터’ 설립
10
“온라인 구매가 대세지만 느린 속도가 확산 걸림돌”
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 여의대방로65길 13, 904(여의도동 유창빌딩)| Tel: 02-785-5108 | Fax 02-785-5109
이메일주소무단수집거부 | (주)비아이코리아닷넷 | 대표이사 : 김동기 | 사업자 등록번호:107-87-99085 | 개인정보관리책임자 : 박시현
등록번호 : 서울라12090 | 등록일자 : 신고일자 2008.10.22 | 발행인:김동기 | 발행일자:2010.06.01 | 편집인 : 박시현 | 청소년보호책임자 : 박시현
Copyright © 2012 BI KOREA. All rights reserved. mail to webmaster@bikorea.net