[초대석] “FDS, 개인정보 과도 수집 논란 주의해야”

“보안조치 상당부분을 고객이 부담했던 것에서 이제는 고객 편의성을 보장하고 보안 리스크를 기업이 대응하는 패러다임으로 전환해야 한다.”

임종인 고려대 정보보호대학원장이 지난 16일 서울 소공동 한국은행 제1별관에서 열린 한국은행 전자금융세미나에서 촉구한 내용이다.

기존엔 PC환경 중심에 전자금융사고 발생 시 입증 및 보상책임이 금융회사에 있어 금융사가 사용자에게 여러 사전 보안조치 책임을 떠넘겼다.
그러나 임 원장은 “이제는 언제, 어디서든, 어떠한 디바이스로도 금융거래가 가능한 환경으로 변화하고 있으며 사용자의 편의성을 보장하고 금융사가 보안 리스크를 사후 대응하는 형태로 전환할 필요가 있다”고 지적했다.

그는 금융보안 패러다임 전환에 따른 과제로 △고객 편의성 보장 △FDS 개발 및 구축 △감독과 규제 패러다임 변화를 꼽았다.

이상금융거래탐지시스템(Fraud Detection System·FDS)은 요즘 금융권 가장 큰 화두 중 하나다. 지금까지 카드사 위주로 FDS를 운영했지만 최근 금융위는 금융전산보안 강화를 위해 모든 금융사에 FDS를 구축하도록 했다. 현재 각 시중은행들이 FDS 구축 경쟁에 뛰어들고 있지만 이 과정에서 해결해야할 문제도 남아있다.

임 원장은 “개인정보보호법에서 개인정보 최소 수집 원칙을 규정하고 있어 FDS를 위한 개인정보 수집이 과도한 개인정보 수집 문제를 일으킬 수 있다”고 주장했다. FDS 구축과 활용을 위해서는 기존의 정상적인 활동기록과 이상행위 기록 등에 대한 수집이 필요한데, 이 데이터 확보가 FDS 탐지율에 주요한 역할을 한다.

따라서 “FDS와 정보수집의 필요성 설득과 사회적 합의, 관련 가이드라인 등이 이뤄지지 않은 상황에서 FDS 도입은 문제가 될 수 있다”는 것이다. 그가 “FDS 개인정보 수집 활용 전반에 대한 논의가 필요하다”고 주장하는 이유다.
또한 “FDS를 위해 수집하는 개인정보 항목이 관련법 위반이 되지 않도록 법제 개선을 해야한다”며 “FDS와 같은 새로운 보안조치 도입이 어려운 영세업체를 위한 기술적인 지원도 필요하고 가이드라인 역시 마련해야 한다”고 금융당국의 역할에 대해서도 언급했다.

특히 FDS를 구현하고 운영하기 위해선 ‘여신전문금융업감독규정’에서 규정한 가맹점의 신용카드 번호 등 금융기록 저장 금지 조항을 재검토가 필요하다는 것이 그의 지적이다.

임 원장은 패러다임 전환에 따라 금융당국의 감독방향 역시 “필수 보안조치 나열식, 보안조치 이행 시 면책 등 규제 중심 감독에서 이용자 편의성과 사업자 자율성을 보장하는 방식으로 바뀌어야 한다”고 설명했다.


김효원 기자 hyowon123@fntimes.com