자율보안 체계 구축, 사고는 엄중 대처
법률 위반 시 매출액 3% 과징금
연이은 사고에 금융소비자 불안 가중

금융당국이 금융회사 스스로 보안체계를 구축하도록 하는 ‘디지털금융보안법’을 추진한다. 일정 수준의 자율성을 보장하되, 보안 시스템 미비로 사고가 발생할 경우에는 그에 대한 책임도 더 크게 지운다는 방침이다. 개인정보 유출 등 최근 연이은 금융사고에서 금융사들의 관리·감독 소홀이 피해를 키웠다는 판단에 따른 조치다.

현행 전자금융거래법보다 감독·제재 강화

28일 금융권에 따르면 최근 금융위원회는 금융보안원으로부터 디지털금융보안법 관련 연구용역 결과를 전달받았다. 금융위는 이번 연구 결과를 토대로 구체적인 법안을 마련한다는 방침이다. 전날 김소영 금융위 부위원장은 ‘미래 변화와 금융의 성장 전략’ 세미나에 참석해 “올해 디지털금융보안법제를 검토해 구체화해 나갈 계획”이라고 밝혔다.

법안의 핵심은 자율보안 체계다. 금융사들이 회사에 맞는 자율보안 체계를 스스로 구축하도록 일정 권한을 부여하고, 규제 위반 사항에 대해서는 엄격한 책임을 묻는 식이다. 먼저 금융보안 위반에 대해서는 금융회사 전체 매출액의 3%에 해당하는 금액을 최대 과징금으로 제시했다. 다만 200억원의 상한선을 뒀다.

과징금 부과 사유도 추가했다. 보안이 미흡해 발생한 사고나 해킹 등을 즉각 알리지 않아 타 금융사로 위험이 전이되거나 소비자에게 일정 금액 이상 피해가 발생한 경우 등이다. 현행 전자금융거래법(전금법)에서는 금융사가 거래 정보를 누설한 경우에만 과징금이 부과된다. 또 전금법에서 최대 5,000만원의 과태료 부과 대상인 안전성 확보 의무 위반은 그 사유를 세분하고, 감독규정은 법률로 상향한다.

아울러 규제 범위를 금융사에 IT 서비스를 제공하는 제삼자로까지 확대한다. 금융회사가 제삼자와 체결한 계약과 관련해 정부의 지시를 따르지 않으면, 이행강제금을 5,000만원씩 연간 최대 2회 부과하는 식이다. 금융사가 보안 시스템을 운영하는 과정에서 외부 인력 의존도가 갈수록 높아진 데 따른 결정이다.

당국은 이 같은 내용을 바탕으로 전문가 등 의견을 수렴해 법안 내용을 최종 확정한다는 계획이다. 이종오 금융감독원 디지털·IT 부문 부원장보는 전날 업무설명회에서 “금융보안체계의 자율성과 유연성은 제고하되 대규모 소비자 피해를 유발하는 정보 유출, IT 장애 등 금융사고에는 엄중하게 대응·조치하겠다”고 말했다.

보안 시스템 미작동 적발 잇따라

금융당국이 이처럼 금융 보안 강화에 고삐를 죄는 것은 최근 급증한 개인정보 유출 사고에서 금융사들의 관리·감독 소홀이 피해를 키웠다는 판단 때문이다. 일례로 신협은 지역본부 소속 순회감독 A씨가 퇴직 후 단위신협 감사로 이동하면서 개인신용정보 1만8,465건이 담긴 업무 관련 파일을 해당 조합 직원에게 이메일로 전송한 것으로 드러났다. 금감원은 신협중앙회의 보안 미비를 지적하며 과징금 28억7,200만원, 과태료 1억1,360만원을 부과했다.

카카오페이도 금융당국의 강도 높은 제재를 받았다. 카카오페이는 중국 알리페이에 지난 6년여간 누적 4,000만 명의 개인 신용정보 542억 건을 이용자 동의 없이 제공했다가 적발됐다. 금융당국은 카카오페이의 행위를 ‘적법 처리 근거 없는 국외이전’으로 판단하고, 이에 대해 과징금 59억6,800만원을 부과했다. 또 국외 이전에 대한 적법성을 갖추도록 시정명령했다.

가상자산 투자자가 급증함에 따라 암호화폐 거래소들도 금융당국의 점검 대상에 이름을 올렸다. 금융정보분석원(FIU)이 암호화폐 거래소 업비트와 업비트 운영사 두나무를 대상으로 자금세탁방지 현장검사를 한 결과, 두나무는 특정금융정보법(특금법)에 따른 신고의무를 이행하지 않은 해외 미신고 가상자산사업자 19개 사와의 가상자산 이전 거래 총 4만4,948건을 지원한 것으로 파악됐다.

이와 함께 특금법상 고객확인의무와 거래제한의무 위반 사실도 드러났다. 두나무는 업비트 최초 거래 시 주민등록증과 같은 실명확인증표를 징구한다. 하지만 이때 초점이 맞지 않거나 빛 번짐 등으로 신원 정보를 확인할 수 없는 경우, 원본이 아닌 인쇄·복사본이나 사진 파일 등을 인정한 사례가 3만4,477건 확인됐다. 또 상세 주소를 공란으로 두거나 주소와 무관한 내용을 입력한 경우에도 고객 확인을 완료 처리한 사례가 5,785건이나 됐다.

이에 FIU는 두나무와 소속 직원의 특금법 위반을 들어 일부 영업정지 3개월과 이석우 대표이사 문책경고, 준법감시인 면직 등 직원 9명의 신분 제재 조치를 통보했다. FIU 관계자는 “신규 이용자에게 영향을 미치는 부분부터 조속히 확정 짓기 위해 일부 영업정지 등 제재를 먼저 발표했다”며 “향후 제재심 논의를 거쳐 과태료를 결정할 계획”이라고 밝혔다.

탈취당한 2조원, 가상자산 거래소도 ‘취약’

이에 더해 최근에는 세계 10위권 글로벌 암호화폐 거래소에서 대규모 해킹 사건까지 발생하면서 금융 서비스 이용자들의 불안을 가중하고 있다. 싱가포르에 본사를 둔 바이비트(Bybit)는 이달 21일(현지시각) 15억 달러(약 2조1,577억원) 상당의 이더리움과 이더리움 파생상품 등을 탈취당했다고 알렸다. 해당 사건은 통상 핫월렛(온라인 가상자산 지갑)보다 해킹으로부터 안전한 장치로 여겨지는 콜드월렛(오프라인 가상자산 지갑)이 도난당했다는 사실이 밝혀지며 우려를 키웠다.

이례적인 피해 규모에 가상자산 업계는 물론 미국 연방수사국(FBI)도 조사에 나섰다. 26일 FBI는 이번 해킹 사건의 배후로 북한을 지목하며 범죄 수법에서 북한의 특정 해킹 수법인 ‘트레이더트레이터’가 포착됐다고 설명했다. 또 북한 해커들이 바이비트로부터 탈취한 자산 일부를 비트코인 및 기타 가상 자산으로 신속히 전환했으며, 이후 여러 블록체인에 걸쳐 수천 개의 주소로 분산시켰다고도 덧붙였다. 이렇게 분산된 자산들은 추가 자금 세탁을 거쳐 결국에는 법정 화폐로 현금화될 가능성이 크다는 게 FBI의 경고다.

이번 사례에서 볼 수 있듯 사이버공격은 북한의 주요 외화벌이 수단이다. 2016년 이전에는 사회 혼란을 일으키거나 정보를 탈취하는 것에 집중했다면, 2016년 이후로는 금융권과 암호화폐 거래소를 해킹하며 자금을 모은 것이다. 2016년은 북한이 핵실험을 강행하는 과정에서 국제연합(UN)의 강도 높은 금융 제재를 받은 해로, 북한이 해킹을 통해 탈취한 자산 대부분을 핵 개발에 투입하고 있다는 게 국제사회의 중론이다. 한국을 비롯한 전 세계 각국이 북한의 사이버 공격을 막기 위해 총력을 기울이는 배경이다.