[보안포럼]"전자금융감독규정 개정안, 기존 법 체계·실무와 조화 필요"

[아시아경제 김은별 기자] "일반법인 개인정보보호법이 특별법인 정보통신망법이나 신용정보법 등과 규제중첩이 발생할 수 있습니다. 여러 쟁점별로 제대로 해석하는 것이 필요합니다."

구태언 법률사무소 행복마루 변호사는 3일 '제1회 아시아경제 금융IT포럼' 강연에서 전자금융 감독규정 개정안과 관련한 해석상 쟁점들을 지적했다. 이 강연은 특히 금융회사 IT 실무자들의 집중도가 높았다. 여러가지 법이 중첩되면서 어떤 식으로 대응해야 할 지 어려워하던 실무자들이기 때문이다.

현재 개인정보와 관련해 금융회사의 의무를 규정하는 법률은 금융당국의 '전자금융 감독규정 개정안'외에도 신용정보법, 정보통신망법, 개인정보보호법 등이 있다. 그런데 어떤 법을 따르는가에 따라 세부안이 통일돼 있지 않는 경우가 있다.

구 변호사는 "개인정보보호법이 일반법으로 특별법인 정보통신망법이나 신용정보법 등과 규제중첩이 발생할 수 있고, 이에 따라 여러가지 쟁점이 발생할 수 있다"며 "실제 상황에 도입해봤을때, 일부분은 추가 개정이 필수적이다"고 지적했다.

구 변호사가 감독 규정과 기존 법률 사이에서 해석상 모호한 쟁점들은 비밀번호 생성 규칙, 보조기억매체 통제 등 약 10가지 정도다.

예를 들어 개정안 제12조(단말기 보호대책)에는 '비밀번호는 생년월일, 주민등록번호, 전화번호를 포함하지 않는 숫자와 영문자 및 특수문자 등을 혼합하여 8자리 이상으로 설정하고 분기별 1회 이상 변경할 것'으로 돼 있지만, 이는 '2종류 이상 10자리 혹은 3종류 이상 8자리'를 기준으로 하고 있는 정보통신망법상 방통위 고시와 불일치한다.

또 13조(전산자료 보호대책)에서도 '단말기에 이용자 정보 등 주요 정보를 보관할 때는 보관기간 및 관리 비밀번호 등을 정해 책임자의 승인을 받아야 한다'고 돼 있지만, 방통위 고시에서는 단말기에 개인정보를 보호할 때는 책임자 승인 뿐 아니라 암호화까지 하도록 규정하고 있다.

최근 보안 사고가 일어났던 것과 관련한 규제가 아예 마련되지 않은 경우도 있다. 구 변호사는 "최근 해킹사고들은 중요한 시스템관리자의 PC를 통해 일어났다"며 "개정안에는 제13조(단말기 보호대책), 제14조(정보처리시스템 보호대책) 등에 단말기의 외부 인터넷 접속 허용 여부에 대한 규정이 없다"고 꼬집었다.

아울러 구 변호사는 "여러 기관에서 금융 보안에 관심을 가져주시고 규제방안을 내놓은 것은 바람직하다"면서도 "감독 기관에서는 다른 법과 상충되는 모호한 규제에 대해 최소한의 해석·가이드라인도 함께 알려주신다면 실무자들이 더욱 쉽게 이해할 것"이라고 강조했다.

김은별 기자 silverstar@