[2015 금융IT포럼]생체인증 시스템, 금융사 자율에 맡긴다

정보 암호화·원본 폐기 등 요건지키면 OK

김유미 금융감독원 IT금융정보보호단 선임국장. 사진제공 금융감독원

[아시아경제 강구귀 기자] 금융감독원이 홍채, 지문, 정맥 등 생체인증에 관한 감독을 금융사에 ‘최소 권고’로 하기로 했다. 금융사의 자율 심사·규제를 보장하기 위해서다. 김유미 금융감독원 IT금융정보보호단 선임국장은 19일 서울 중구 소공동 롯데호텔에서 열린 아시아경제 주최 ‘2015 아시아경제 금융IT포럼’에 참석해 “내년에 도입하는 생체 인증에 대한 관리 감독을 최소화하고 되도록 금융사 자율에 맡길 것”이라고 밝혔다. 금융소비자들의 생체인증 정보를 금융사들이 관리하는 과정에서 정보를 암호화하고 원본 정보를 바로 폐기하는 최소한의 요건만 지키면 규제하지 않기로 방침을 정한 것이다. 금감원은 지난 8월부터 금융사, 금융협회, 금융결제원, 금융보안원과 태스크포스(TF)를 만들어 자율보안 체계를 논의해왔다.

생체인증은 공인인증서 의무 사용 폐지와 비대면 실명 확인 허용에 맞춰 새로운 인증 수단으로 자리잡았다. 정맥, 지문, 홍채, 얼굴 등 생체정보를 활용하는 인증은 별도의 장치를 휴대할 필요가 없어 간편하다. 분실 우려 없이 본인을 인증하는 강력한 수단으로 평가받는다. 김 선임국장은 “생체 인식 관리에 대한 금융사 규제가 지나칠 경우 시장 정착이 늦어질 수도 있다는 점을 고려했다”며 “자율보안 체계에서 소비자 피해를 최소화하는데 주력할 것”이라고 말했다.

올해 도입된 금융사 IT부문 내부감사 협의제는 규제 완화라는 취지에 맞게 내년에는 금융사의 자율권이 더욱 확대된다. 내부감사협의제는 금감원과 금융사가 내부감사 항목 등을 사전 협의해서 금융사가 자체 감사를 실시하는 제도다. IT 보안에 대한 사전 규제를 사후로 전환하고 민간의 자율 책임 문화를 조성하겠다는 목적이다. 핀테크 시대를 맞아 금융당국이 아닌 민간 중심의 자율적 보안체계 기반을 만들자는 취지도 있다. 금융사가 스스로 판단해 필요한 항목 위주로 점검하면 취약 부분을 빠르게 개선해 보안성을 높일 수 있을 것으로 금융당국은 판단하고 있다. 또한 금융사 스스로 전자금융거래 규모와 사고발생 추이, 보안 투자규모 등을 검토해 책임보험 가입금액을 적정 수준 이상으로 늘리도록 권고할 예정이다. 김 선임국장은 “내부감사협의제는 현재 38개 금융사를 대상으로 실시하고 있는데, 이행실적을 분석 후 대상을 확대할 것”이라며 “대형사 위주에서 중소형사로 확대할 계획”이라고 말했다.