28일 서울 중구 세종대로 금융위원회에서 금융위원회 및 미래창조과학부가 ‘전자상거래 간편 결제 방안’에 대한 기자간담회를 갖고, 내외국인이 국내 온라인쇼핑몰을 이용할 때 30만원 이상 결제하더라도 공인인증서를 의무적으로 사용하지 않아도 된다는 방침을 밝혔다.
이제까지 공인인증서나 이에 준하는 보안 기준을 갖고 있어야 본인인증의 효력을 인정받을 수 있었으나 이마저도 해제된 것이다.
다음은 정찬우 금융위 부위원장 일문일답 요지.
-우리나라의 온라인 쇼핑몰에서 결제시스템이 불편한 이유가 보안문제때문인 거으로 알고 있다. 그러나 이 문제는 역시 미국이나 중국도 마찬가지 일 것이다. 굳이국내에서 고집하는 이유는 무엇인가.
▲(정찬우 금융위 부위원장)미국하고 우리나라와 다 정보보안의 중요성은 다 동일하게 중요할 것이다. 그런데 실질적으로 우리나라의 경우에 있어서는 이제 PG사의 규모가 정보보안을 충분히 담보할 수 있는 만한 수준의 규모나, 재무적 능력을 갖추지 못한 경우가 있다.
또 외국에서는 물건을 온라인 쇼핑몰에서 살 때 보험제도가 발달돼 있다. 예를 들어서 물건 구입 시 카드의 오·도용 문제가 된다면 물건을 사는 소비자가 일정의 물건을 사는 가게의 보험료가 포함돼 있다.
그래서 외국에는 정보유출이나 혹은 카드의 오·도용에 있어서 카드사만 책임지는 부분이 아니라, 보험사나 PG사 같이 책임질 수 있는 부분으로 되어 있는데 우리나라는 아직까지 그런 식의 제도적인 장치가 마련돼 있지 않다.
그렇다고 해서 어떤 보험을 다 일반 국민이 들게 해서 상품 가격에 전가될 소지가 있다. 일단은 정보보안을 우선적으로 강화하고, 그리고 이제 PG사가 재무적 능력을 갖추도록 하고 단계적인 절차를 거쳐서 소비자들이 온라인 쇼핑몰에서 물건을 구매함에 있어서 어떤 편의성을 제고해 나가자는 것이 이번 발표의 주된 내용이다. 그럼에도 불구하고 단계적으로 PG사가 카드정보도 이용할 수 있도록 표준 약관을 우리가 개선해 나갈 계획이다.
-카드업계 쪽에서는 이번에 공인인증서 대체수단이 사실은 지금 LG CNS ‘엠페이’ 밖에 없는 상황에서 별도의 인증수단을 택하라고 강제 받았다는 비판이 있다.
▲(손병두 금융위 금융서비스국장)지금은 사실은 공인인증서하고 동일한 정도의 보안 수단, 보안 기능을 가지고 있는 것만 금감원에 인증방법평가위원회를 통해서 거기를 통과한 것만 공인인증서하고 똑같은 효력을 가지고 있다. 그래서 현재 통과한 것은 LG CNS의 Mpay밖에 없는 것이다.
그리고 지금 자체적으로 카드사에서 ARS 인증 등을 공인인증서하고 똑같은 효력을 갖고 있는 것으로 지금 인정하는 것을 준비 중에 있는데, 하여간 이번에 우리가 규정을 완화를 5월에 했음에도 불구하고 역시 어렵다는 그런 문제 제기를 카드사들도 같이 인지를 하고 있는 상황이다.
지금은 휴대폰을 통한 인증방법까지도 LG CNS의 Mpay나 아니면 그간의 공인인증서하고 동등한 효력을 구현을 해서 본인을 확인하는 쪽으로 그렇게 지금 카드사에서 자체적으로 준비 중인 것으로 파악이 되고 있다.
기존에 하고 있는 휴대폰 인증만으로도 본인 확인을 한 것으로, 30만원을 넘는 경우에도 그것으로 충분한 것으로 우리가 카드사하고 협의를 하고 있고, 그렇게 될 것으로 전망하고 있다.
-결국은 PG사한테 카드정보를 줄 수 있는 권한을 여기에 부여를 하겠다는 얘기아닌가.
▲(정찬우 부위원장)PG사 카드정보 보유 부분은 말씀드린 바와 같이 보안능력, 그리고 재무적인 능력, 사고가 났을 때 배상을 해줄 수 있을 만큼의 재무적인 능력 등이 있는 경우에 한한다. 우리가 그런 정보를 줘라 저장해라 하는 것이 아니고 이것은 카드사와 가맹점 간의 계약 사항으로 하는 것이다. 금융당국은 표준 약관 개정을 하고 이런 논의를 할 수 있도록 한 것이다.
-공인인증서 문제가 지금 카드 업계 쪽만 국한돼서 문제가 나오는데 실질적으로 지금 은행이나 이런 쪽에서는 공인인증서를 계속 사용하고 있다. 이를 어떻게 보나.
▲(정찬우 부위원장)공인인증서 다른 금융권 이용 문제는 사실 전자금융거래법개정안이 법사위를 통과한 바 있는데, 7월에. 거기에는 공인인증 방법, 그러니까 인증 방법은 필요한데 그 공인인증서만을 강제해서는 안 되게끔 돼 있다. 다양한 인증수단도 활용할 수 있게끔 돼 있기 때문에 이 부분은 시간이 지나면서 법이 시행되면서 차차 개선돼 나갈 것으로 생각한다.
(손병두 금융서비스 국장)추가로 말하자면 법이 시행이 되게 되면 하위의 규정들을 거기다 정비를 해야 된다. 그렇게 되면 전자금융감독규정상에 있는 ‘공인인증서를 사용하여야 한다’라는 의무화 규정이 다 삭제가 되게 되는데, 그렇다고 그러면 은행의 자금 이체에 있어서도 공인인증서를 하루아침에 은행들이 없앨 것이냐, 그것은 좀 공론화가 필요한 것 같다.
그렇게 될 수 있는 환경은, 우리가 여건은 개선을 해주는데 사실 전자자금 이체하는 데 있어서 ‘과연 공인인증서를 사용 안 해도 좋은가’라는 그런 불안이 고객들에게 어느 정도 있는 것으로 우리가 판단을 하고 있기 때문에, 그런 것은 공론화를 거쳐서 은행권과 협의해서 없애는 방향으로 갈 것이다.
-지금 카드정보 보유하에서 페이팔(Paypa)l 등에 도입을 허용한다고 했는데, 과거에 구글코리아가 PG사업을 국내에서 하려고 하다가 서버를 국내에 두지 않는다는 이유로 거부당한 적이 있는데 이게 그것하고 향후에 도입·허용을 하겠다는 것하고 어떤 차이가 있나.
▲(전요섭 금융위 전자금융과장) 구글코리아 그 문제는 물적설비에 관련된 문제였고, 물적설비 부분은 작년에 전자금융감독규정을 개정해서 주로 디지털 콘텐츠를 파는 업체에 해당하는 글로벌 영업기업에는 물적설비 없이 등록할 수 있도록 이미 허용이 되어 있다.
-과거에는 소비자들이 공인인증서를 사용하고 금융사고가 났을 때 은행으로부터 피해보상을 받을 수 있는 게 상당히 어려웠다. 이번에 공인인증서가 아닌 다른 인증수단으로 결제를 하게 될 경우 보상은 누가 책임지나.
▲(손병두 금융서비스국장)공인인증서를 사용하라는 것만으로도 피해보상을 소비자들이 받는데 제약이 있었는데, 만약에 그런 의무를 부과하지 않으면 정보유출이나 사고가 났을 때 사고 유발자가 책임을 지는 쪽으로 아마 시스템이 앞으로 바뀌어나갈 것이다.
아마 피해보상에 있어서도 결국은 미국 같은 시스템이 정보 유출자, 예를 들면 타겟 같은 곳은 카드업자도 많은데 정보 유출된 곳이 거기에서 나온 곳에서 피해보상을 하는 시스템이었기 때문에 우리나라도 의무 부과를 면제해주면 앞으로 은행이나 카드사들이 부정사용 방지 시스템을 개발을 해서 그런 것에 대한 책임을 강화하는 쪽으로 우리 금융감독이나 그런 방향이 정해질 것으로 보인다.
-이번 바뀐 개선안을 보면 휴대전화 인증으로 대체한다는 얘기가 나와 있는데 보안에 대해 어느 정도 구체적인 계획이 있나.
▲(정찬우 부위원장) 휴대전화 인증을 대체수단으로 인정하겠다는 것은 지금 발표한 바와 같다. 그런데 대신 카드사들은 FDS(위조 방지 시스템·Fraud Detection System)에 대한 많은 투자를 하고 있다. 스미싱이나 파밍에 관한 부분도 우리가 지속적으로 보완을 강화해야 한다고 보고 있다.
그런데 현재로서는 지금까지 카드사가 10만원 이하에 대해서 휴대전화만으로도 공인인증서 대체하는 그런 결제방식을 써왔는데, 크게 사고가 대폭 늘어났던가 하는 징후는 보이고 있지 않다.
-논액티브엑스(Non-ActiveX) 공인인증서 기술은 정부가 개발해서 보급을 하는 것인지, 아니면 기존 공인인증 지정업체들이 개발을 하도록 하겠다는 것인가.
▲(최재유 미래부 정보통신방송정책실장) 그것은 지금 정부가 한다는 게 아니고 인터넷진흥원(KISA)를 통해서 민간업체가 그것을 개발을 하도록 할 것이다. 7월 지금 부분적으로 기술개발을 하고 8월까지 개발을 마친 뒤 9월 보급화 완료를 염두에 두고 있다.
손예술 기자 kunst@
이제까지 공인인증서나 이에 준하는 보안 기준을 갖고 있어야 본인인증의 효력을 인정받을 수 있었으나 이마저도 해제된 것이다.
다음은 정찬우 금융위 부위원장 일문일답 요지.
-우리나라의 온라인 쇼핑몰에서 결제시스템이 불편한 이유가 보안문제때문인 거으로 알고 있다. 그러나 이 문제는 역시 미국이나 중국도 마찬가지 일 것이다. 굳이국내에서 고집하는 이유는 무엇인가.
▲(정찬우 금융위 부위원장)미국하고 우리나라와 다 정보보안의 중요성은 다 동일하게 중요할 것이다. 그런데 실질적으로 우리나라의 경우에 있어서는 이제 PG사의 규모가 정보보안을 충분히 담보할 수 있는 만한 수준의 규모나, 재무적 능력을 갖추지 못한 경우가 있다.
또 외국에서는 물건을 온라인 쇼핑몰에서 살 때 보험제도가 발달돼 있다. 예를 들어서 물건 구입 시 카드의 오·도용 문제가 된다면 물건을 사는 소비자가 일정의 물건을 사는 가게의 보험료가 포함돼 있다.
그래서 외국에는 정보유출이나 혹은 카드의 오·도용에 있어서 카드사만 책임지는 부분이 아니라, 보험사나 PG사 같이 책임질 수 있는 부분으로 되어 있는데 우리나라는 아직까지 그런 식의 제도적인 장치가 마련돼 있지 않다.
그렇다고 해서 어떤 보험을 다 일반 국민이 들게 해서 상품 가격에 전가될 소지가 있다. 일단은 정보보안을 우선적으로 강화하고, 그리고 이제 PG사가 재무적 능력을 갖추도록 하고 단계적인 절차를 거쳐서 소비자들이 온라인 쇼핑몰에서 물건을 구매함에 있어서 어떤 편의성을 제고해 나가자는 것이 이번 발표의 주된 내용이다. 그럼에도 불구하고 단계적으로 PG사가 카드정보도 이용할 수 있도록 표준 약관을 우리가 개선해 나갈 계획이다.
-카드업계 쪽에서는 이번에 공인인증서 대체수단이 사실은 지금 LG CNS ‘엠페이’ 밖에 없는 상황에서 별도의 인증수단을 택하라고 강제 받았다는 비판이 있다.
▲(손병두 금융위 금융서비스국장)지금은 사실은 공인인증서하고 동일한 정도의 보안 수단, 보안 기능을 가지고 있는 것만 금감원에 인증방법평가위원회를 통해서 거기를 통과한 것만 공인인증서하고 똑같은 효력을 가지고 있다. 그래서 현재 통과한 것은 LG CNS의 Mpay밖에 없는 것이다.
그리고 지금 자체적으로 카드사에서 ARS 인증 등을 공인인증서하고 똑같은 효력을 갖고 있는 것으로 지금 인정하는 것을 준비 중에 있는데, 하여간 이번에 우리가 규정을 완화를 5월에 했음에도 불구하고 역시 어렵다는 그런 문제 제기를 카드사들도 같이 인지를 하고 있는 상황이다.
지금은 휴대폰을 통한 인증방법까지도 LG CNS의 Mpay나 아니면 그간의 공인인증서하고 동등한 효력을 구현을 해서 본인을 확인하는 쪽으로 그렇게 지금 카드사에서 자체적으로 준비 중인 것으로 파악이 되고 있다.
기존에 하고 있는 휴대폰 인증만으로도 본인 확인을 한 것으로, 30만원을 넘는 경우에도 그것으로 충분한 것으로 우리가 카드사하고 협의를 하고 있고, 그렇게 될 것으로 전망하고 있다.
-결국은 PG사한테 카드정보를 줄 수 있는 권한을 여기에 부여를 하겠다는 얘기아닌가.
▲(정찬우 부위원장)PG사 카드정보 보유 부분은 말씀드린 바와 같이 보안능력, 그리고 재무적인 능력, 사고가 났을 때 배상을 해줄 수 있을 만큼의 재무적인 능력 등이 있는 경우에 한한다. 우리가 그런 정보를 줘라 저장해라 하는 것이 아니고 이것은 카드사와 가맹점 간의 계약 사항으로 하는 것이다. 금융당국은 표준 약관 개정을 하고 이런 논의를 할 수 있도록 한 것이다.
-공인인증서 문제가 지금 카드 업계 쪽만 국한돼서 문제가 나오는데 실질적으로 지금 은행이나 이런 쪽에서는 공인인증서를 계속 사용하고 있다. 이를 어떻게 보나.
▲(정찬우 부위원장)공인인증서 다른 금융권 이용 문제는 사실 전자금융거래법개정안이 법사위를 통과한 바 있는데, 7월에. 거기에는 공인인증 방법, 그러니까 인증 방법은 필요한데 그 공인인증서만을 강제해서는 안 되게끔 돼 있다. 다양한 인증수단도 활용할 수 있게끔 돼 있기 때문에 이 부분은 시간이 지나면서 법이 시행되면서 차차 개선돼 나갈 것으로 생각한다.
(손병두 금융서비스 국장)추가로 말하자면 법이 시행이 되게 되면 하위의 규정들을 거기다 정비를 해야 된다. 그렇게 되면 전자금융감독규정상에 있는 ‘공인인증서를 사용하여야 한다’라는 의무화 규정이 다 삭제가 되게 되는데, 그렇다고 그러면 은행의 자금 이체에 있어서도 공인인증서를 하루아침에 은행들이 없앨 것이냐, 그것은 좀 공론화가 필요한 것 같다.
그렇게 될 수 있는 환경은, 우리가 여건은 개선을 해주는데 사실 전자자금 이체하는 데 있어서 ‘과연 공인인증서를 사용 안 해도 좋은가’라는 그런 불안이 고객들에게 어느 정도 있는 것으로 우리가 판단을 하고 있기 때문에, 그런 것은 공론화를 거쳐서 은행권과 협의해서 없애는 방향으로 갈 것이다.
-지금 카드정보 보유하에서 페이팔(Paypa)l 등에 도입을 허용한다고 했는데, 과거에 구글코리아가 PG사업을 국내에서 하려고 하다가 서버를 국내에 두지 않는다는 이유로 거부당한 적이 있는데 이게 그것하고 향후에 도입·허용을 하겠다는 것하고 어떤 차이가 있나.
▲(전요섭 금융위 전자금융과장) 구글코리아 그 문제는 물적설비에 관련된 문제였고, 물적설비 부분은 작년에 전자금융감독규정을 개정해서 주로 디지털 콘텐츠를 파는 업체에 해당하는 글로벌 영업기업에는 물적설비 없이 등록할 수 있도록 이미 허용이 되어 있다.
-과거에는 소비자들이 공인인증서를 사용하고 금융사고가 났을 때 은행으로부터 피해보상을 받을 수 있는 게 상당히 어려웠다. 이번에 공인인증서가 아닌 다른 인증수단으로 결제를 하게 될 경우 보상은 누가 책임지나.
▲(손병두 금융서비스국장)공인인증서를 사용하라는 것만으로도 피해보상을 소비자들이 받는데 제약이 있었는데, 만약에 그런 의무를 부과하지 않으면 정보유출이나 사고가 났을 때 사고 유발자가 책임을 지는 쪽으로 아마 시스템이 앞으로 바뀌어나갈 것이다.
아마 피해보상에 있어서도 결국은 미국 같은 시스템이 정보 유출자, 예를 들면 타겟 같은 곳은 카드업자도 많은데 정보 유출된 곳이 거기에서 나온 곳에서 피해보상을 하는 시스템이었기 때문에 우리나라도 의무 부과를 면제해주면 앞으로 은행이나 카드사들이 부정사용 방지 시스템을 개발을 해서 그런 것에 대한 책임을 강화하는 쪽으로 우리 금융감독이나 그런 방향이 정해질 것으로 보인다.
-이번 바뀐 개선안을 보면 휴대전화 인증으로 대체한다는 얘기가 나와 있는데 보안에 대해 어느 정도 구체적인 계획이 있나.
▲(정찬우 부위원장) 휴대전화 인증을 대체수단으로 인정하겠다는 것은 지금 발표한 바와 같다. 그런데 대신 카드사들은 FDS(위조 방지 시스템·Fraud Detection System)에 대한 많은 투자를 하고 있다. 스미싱이나 파밍에 관한 부분도 우리가 지속적으로 보완을 강화해야 한다고 보고 있다.
그런데 현재로서는 지금까지 카드사가 10만원 이하에 대해서 휴대전화만으로도 공인인증서 대체하는 그런 결제방식을 써왔는데, 크게 사고가 대폭 늘어났던가 하는 징후는 보이고 있지 않다.
-논액티브엑스(Non-ActiveX) 공인인증서 기술은 정부가 개발해서 보급을 하는 것인지, 아니면 기존 공인인증 지정업체들이 개발을 하도록 하겠다는 것인가.
▲(최재유 미래부 정보통신방송정책실장) 그것은 지금 정부가 한다는 게 아니고 인터넷진흥원(KISA)를 통해서 민간업체가 그것을 개발을 하도록 할 것이다. 7월 지금 부분적으로 기술개발을 하고 8월까지 개발을 마친 뒤 9월 보급화 완료를 염두에 두고 있다.
손예술 기자 kunst@
뉴스웨이 손예술 기자
kunst@newsway.co.kr
<저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지>
댓글