인터넷뱅킹이나 홈트레이딩시스템 등 온라인 금융거래에 비액티브X 기반 보안프로그램들을 활용할 수 있는 길이 열렸다.
전자금융거래법 개정을 통해 전자금융거래를 위해 필수로 설치됐던 방화벽, 키보드보안프로그램, 백신 등을 반드시 설치할 필요가 없어지게 됐다. 이들 프로그램은 대부분 액티브X를 통해 구동됐던 탓에 잦은 오류나 사용자들의 불만이 높았었다.
금융위원회는 이 같은 내용을 담아 개정된 전자금융거래법을 내년 1월부터 시행할 예정이라고 12일 밝혔다. 금융위는 이러한 내용을 11월14일~12월24일까지 규정변경예고한 뒤 규제개혁위원회, 금융위 의결을 거쳐 내년 1월까지 개정절차를 마무리한다는 계획이다.
개정되는 전자금융거래법에는 금융회사에 보안기술을 채택할 수 있는 자율성을 부여했다. 전자금융거래를 위한 보안대책으로 사실상 액티브X 사용을 강제하는 보안프로그램 설치 의무 조항을 삭제해 자율적으로 보안기술을 도입할 수 있도록 했다는 것이다.
금융위 전자금융과 김경수 사무관은 법상 보안프로그램 의무 설치 조항이 있었는데 이 부분을 없애고 금융기관이 제한없이 더 좋은 보안프로그램을 자율적으로 정할 수 있도록 한다는 방침이라고 밝혔다.
이와 함께 개정된 전자금융거래법에 따라 금융회사는 제3자에 대한 정보보호업무 재위탁 허용 기준을 설정해야한다. 카드 3사 개인정보유출사고와 같은 외부업체 직원을 통한 정보유출을 막기 위한 조치다. 재위탁이 가능한 업무는 전자금융거래 정보보호를 위한 전산장비, 소프트웨어에 대한 개발, 운영, 유지관리로 제한된다. 또한 금융거래정보는 위탁회사의 데이터센터에 보관하되 제3의 장소로 이전시에는 내용을 알아보지 못하도록 비식별처리가 의무화 된다.
관련기사
- KISA '엑티브X' 퇴출 희망 기업에 컨설팅 지원2014.11.12
- 정부 “액티브X 대체기술에 수십억 투자”2014.11.12
- 액티브X 없는 공인인증서 상용화 눈앞2014.11.12
- KISA, 웹 표준 기준안 설명회 연다2014.11.12
이밖에 금융회사별 정보보호최고책임자(CISO) 책임 아래 보안점검의 날을 지정, 운영해야 한다. 전자금융관련 보안사고 발생시 보고체계를 기존 금융위, 금감원에서 금감원으로 일원화했다.
또한 외국계 금융회사의 국내 지점을 고려해 인터넷망과 내부망을 분리하는 망분리 규정에서 예외가 허용된다.
