소비자피해 생길 우려가 있었으나 예방조치 의무규정 없어
"전자적 침해행위로 인한 침해사고 및 소비자피해 예방 위한 제도적 장치 마련"
국회 정무위원회 양정숙 의원은 7일 전자적 침해행위로 인한 침해사고와 소비자 피해 예방을 위한 '전자금융거래법' 일부개정법률안을 대표 발의했다.
페이코 앱 서명키 유출됐지만 피해 없는 유출일까? 앱 서명키는 앱의 개발자를 인증하기 위한 수단이다. 즉, 특정 개발자가 만든 앱이 다른 개발자가 만든 유사 앱으로 오인되는 것을 방지한다. 따라서 앱 서명키가 유출될 경우, 해당 앱과 유사한 악성앱이 만들어져 유포될 가능성이 있다.
매월 410만명이 결제 서비스를 이용하는 페이코는 2022년 12월 6일 앱 서명키가 유출되었다고 발표했다. 발표 당일 금융감독원은 “현재까지 서명키 유출로 인한 직접적인 피해 사례는 없다”고 발표했다.
그러나 유출된 앱 서명키를 활용해 악성앱이 만들어졌을 경우, 소비자 피해가 발생할 가능성이 있다. 앱 설치를 유도하는 링크 등 비정상적인 경로로 악성앱을 다운로드 받고, 해당 앱에 개인정보를 입력할 가능성 등이 있는 것이다.
양 의원은 또 2022년 9월말 외국 해커가 마이크로소프트의 ‘드라이버 서명’을 탈취했다며 마이크로소프트는 사고 발생 직후인 2022년 10월 초에 탈취된 드라이버 서명을 철회하고 보안 업데이트를 실시하는 등의 무력화 조치를 완료했다고 설명했다.
그 결과 더 이상 도난된 마이크로소프트의 디지털 서명이 활용될 가능성은 없고 추가적인 피해 발생 가능성도 높지 않아 실제 금융 피해는 발생하지 않았지만 디지털 서명 탈취와 같은 보안 공격은 앞으로 지속적으로 발생할 수 있기 때문에 보안 대응은 더 강화될 필요가 있는 상황이다.
현행법상 앱 서명키가 유출되는 경우 전자적 침해행위에 포함되는지 명확하지 않고 침해사고 발생의 우려가 있어도 침해사고 예방조치 의무 규정이 없어 전자적 침해행위로 인한 피해 예방 장치가 미흡한 것이 사실이다.
그래서 전자적 침해행위에 앱 서명키 유출 행위를 포함하고, 금융회사 및 전자금융업자가 전자적 침해행위를 발견하면 즉시 침해사고 방지를 위한 사전조치를 하도록 의무화함으로써 침해사고 및 소비자 피해 예방을 위한 제도적 장치를 마련하려는 것이다.
양정숙 의원은 “전자금융거래법은 금융회사 및 전자금융업자가 전자적 침해행위로 인해 전자금융기반 시설 교란·마비 등의 사고가 발생할 경우 이를 금융위원회에 통지하고 피해 확산 방지를 위한 조치를 취하도록 했다. 하지만 이번 페이코 사건은 사고가 발생하지 않았다는 이유로 금융위원회에 통지가 빠르게 되지 않았다”고 우려했다.
이어 “서명키 탈취 사건은 디지털 시대에 맞춰 앞으로 더욱 증가할 것이다. 침해사고뿐만 아니라 소비자 피해를 사고 발생 이전에 예방할 수 있는 자세가 필요하다. 법적인 개정뿐만 아니라 신뢰와 책임감 있는 기업의 자세가 필요하다”고 강조했다.
양 의원은 한 마디로 "디지털 시대에 발 빠르게 대응하는 신뢰있는 금융이 되어야 한다"고 주문했다.
