정치∙사회 사이버 공격에 취약한 디지털은행들의 개인정보 보호 문제 사회∙종교 편집부 2022-01-05 목록
본문
사이버 공격 이미지(pngtree.com)
누구도 피해갈 수 없는 디지털 시대가 우리 생활 구석구석으로 파고드는 가운데 인도네시아가 겪고 있는 사이버 공격 횟수 역시 크게 증가하고 있다.
4일 자카르타포스트는 국가 사이버기구 데이터를 인용하여 2021년 1월부터 8월 사이 발생한 사이버 공격은 8억8,800만 건이며 지금까지 많은 기업들과 민간단체, 심지어 정부기관들까지 사이버 범죄 피해를 입었다고 보도했다.
특히 은행들은 그들이 취급하는 거대한 액수의 거래액뿐 아니라 그들이 보유하고 있던 방대한 정보의 가치때문에 사이버 공격의 주요 대상이 되어 왔다. 그 결과 은행들 역시 사이버 보안을 가장 최우선 과제로 취급하고 있다.
그럼에도 불구하고 디지털 시대에 접어든 은행들로서는 고객들에게 디지털 거래 방식을 가르치거나 금융 지식을 고취시키는 것, 또는 사이버 공격에 대비한 사이버 리스크 관리 전략을 도입하는 것만으로는 여전히 미흡한 부분이 남는다.
문제점을 파악하려면 우선 현행 법률을 들여다볼 필요가 있다.
현재 디지털 거래에 대한 포괄적 규정은 2016년에 나온 정보전자거래법(ITE)에 따른다. 해당 법규정에 따르면 전자시스템 운영자는 시스템을 안전하게 운영해야 하며 이로인한 사용자 피해가 발생할 경우 이를 책임져야 한다.
한편 은행권에서는 금융감독원(OJK)이 디지털은행들에 대한 새로운 규정(POJK)을 내놓았는데 이를 ‘시중은행의 POJK’, ‘시중은행상품 시행에 대한 POJK’라는 식으로 일컫는다.
이 규정은 디지털은행들이 혁신적 테크놀로지 탑재, 적합한 리스크 관리방식, 고객데이터 보호 등 일련의 조건들을 충족시키도록 하고 있다. 더 나아가 디지털은행이 관리자나 은행 직원들, 은행의 이익을 위해 일하는 제3자의 실수나 누락으로 인해 발생한 고객의 손실에 대해 책임져야 한다.
따라서 은행은 고객 정보의 비밀유지와 보안은 물론 은행의 업무 과실로 인한 손실 등 광범위한 책임이 부과된 상태다.
그러나 사이버 공격이 발생했을 때 관련 당사자들의 권리와 책임에 대한 구체적인 규정들은 마련되어 있지 않다. 즉, 사이버 공격으로 인한 직-간접적인 영향을 받아 은행서비스가 마비되거나 정보가 유출될 경우 이로 인해 발생한 고객 피해에 대해 은행이 어디까지 법적, 금전적 책임을 져야 하는지 불분명하다는 것이다.
마찬가지로 이러한 범죄 피해를 당한 은행에 대한 구제책은 무엇이며 모든 규정을 철저히 준수했음에도 불구하고 사이버 공격으로 인한 범죄 피해가 발생했을 때 은행이 주장할 수 있는 권리는 무엇인지도 정해져 있지 않다.
사이버 공격 관련 정보 유출로 인한 은행 고객들과의 분쟁에 대한 선례가 없어 다른 산업에서 있었던 케이스들을 참고해 볼 필요가 있다.
한 예로서 인도네시아 고객 커뮤니티가 정보통신부와 토코페디아(PT Tokopedia)를 대상으로 낸 2020년 소송이 있다. 이 사건에서 사이버 공격으로 인해 고객정보가 유출된 사건에 대한 전자시스템 운영자의 책임 한도에 대한 견해가 두 가지로 갈렸다.
한쪽 견해는 전자시스템 운영자가 고객정보 보안에 대한 무한책임을 져야 한다는 것이다. 정보가 유출되었다는 사실 자체가 운영자의 근무태만의 증거이며 법적 권한이 없는 제3자가 고객정보를 가지고 있다는 것은 그 자체로서 정보 유출의 증거라는 것이다. 어떤 사실을 적시하든, 운영자가 해당 사건 방지를 위해 얼마나 많은 노력을 했든 고객정보 유출 사실을 정당화할 수 없으므로 정보유출을 둘러싼 앞뒤 정황이 어쨌든 간에 운영자가 관련 손실에 대한 전적인 책임을 져야 한다는 것이 기본 논리다.
또 다른 쪽의 견해는 전자시스템 운영자가 정보유출 방지를 위해 충분한 노력을 했다면 그것만으로 이미 족하다는 것이다. 만약 운영자가 현행 법규정에 따라 모든 보안 프로토콜과 시스템을 적절히 실행했다면 부인할 수 없는 데이터 유출의 증거가 있다 하더라도 이를 운영자의 업무태만으로 볼 수 없다.
데이터 소유주인 고객이 손실 보상을 받으려면 해당 데이터가 운영자의 태만으로 인해 유출로 이어졌음을 직접 증명해야 한다는 것이다. 만약 해당 증명을 하지 못할 경우 운영자는 손해배상 책임이 없다는 논리다.
이 두 가지 견해는 금융산업에서는 양립할 수 없다. 상반되는 논리가 단순, 명료, 합당해야 할 고객 불만처리와 분쟁해결 과정을 자칫 난해하게 꼬아버릴 것이기 때문이다.
피해 고객들이 전국 각지에 분포되어 있고 각각의 개인들이 서로 달리 추정되는 피해금액 보상을 요구하며 은행을 대상으로 별도의 소송을 낼 평등한 권리가 있다는 사실도 감안하면 이러한 분쟁은 매우 복잡해질 수 있다.
은행에 대한 고객의 신뢰 외에도 디지털 비즈니스 모델을 보유한 일부 은행들이 주식시장에서 현재 상당한 시가 총액을 가지고 있다는 사실은 이 문제가 적절히 해결되지 않아 분쟁이 장기화될 경우 주식 시장에도 불똥이 튈 개연성을 높인다.
따라서 이해관계자들은 여러가지 고려해야 할 부분들이 있다. 그중 하나는 고객정보에 영향을 주는 사이버 공격이 벌어졌을 때 은행책임 한도에 대한 보다 발전된 지침을 내놓는 것이다. 은행이 져야 할 책임과 해당 방식, 신의성실을 지키는 은행들에 대한 법적 보호장치 등에 대한 면밀한 검토도 필요하다.
사이버 공격이 발생했을 때 피해자의 손실복구 절차, 해당 손실을 금전적으로 치환, 환산하는 표준 사례를 정하는 등 고객의 권리와 책임 부분을 분명히 하는 것도 매우 중요하다. 개인 정보의 가치란 매우 주관적인 판단기준이 서로 충돌할 수 있는 문제이므로 각 개인이 입은 피해에 대한 금액 환산 표준을 정해 놓지 않으면 관련 절차의 진행이 아예 불가능한 상황이 올 수도 있다.
사이버 보안과 복구에 대한 포괄적인 법률 및 개인정보 프라이버시에 대한 법률을 제정하는 것 역시 무엇보다도 중요한 일이다. 이 두 가지 법률 제정을 통해 전국에 산재한 은행 부문, 사업 주체들, 은행 고객들의 법률적 확실성 담보를 기대할 수 있을 것이며 급속히 발전하는 디지털 에코시스템을 건강하게 지원하고 스스로 적응해 가는 데에도 큰 도움이 될 것이다.
금융감독원(OJK)의 디지털뱅킹 전환 청사진에서 재차 강조하는 것처럼 은행이란 데이터를 기반으로 한 기업체다. 따라서 은행이 얼마나 매끄럽고 믿음직스럽게 고객 정보를 취급하느냐가 디지털 시대에 해당 은행이 여전히 경쟁력을 유지하며 살아남을 것인지를 결정할 것이다.
한편 현존하는 사이버 범죄와 사이버 공격의 위협이 날로 발전하고 있다는 것 역시 부인할 수 없는 사실이다. 따라서 이해관계자 간 협력과 공동노력을 강화하여 모범적인 시장규범을 만들어 공유하고 상호이해 속에 향후 닥쳐올 더 많은 문제들을 함께 극복하는 것이 매우 중요하다.[자카르타포스트/자카르타경제신문]
- 이전글100% 대면수업, 자카르타는 강행…보고르,데폭,버카시는 연기 2022.01.11
- 다음글자바-발리 PPKM 2주 연장…자카르타 2단계로 상향 조정 2022.01.03
댓글목록
등록된 댓글이 없습니다.
