본 문서는 의견을 요청하는(RFC) 초안(Draft)입니다. 취지에 찬성하시면 참여 해주시고 언제든지 좋은 의견 부탁드립니다.

오픈뱅킹은 적법한가?

공인 인증 예외 규정

국내 모든 전자 금융 거래는 전자 금융 거래법에 따라 공인 인증서 사용이 의무화 되어 있습니다. 따라서 국내 은행, 증권사, 카드 결제 등은 모두 공인 인증을 통해서만 서비스가 제공 되고 있습니다.

전자금융거래법

제21조 (안전성의 확보의무) ③금융감독위원회는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 「전자서명법」 제2조제8호의 공인인증서의 사용 등 인증방법에 대하여 필요한 기준을 정할 수 있다.

전자금융감독규정

제7조(공인인증서 사용기준) 모든 전자금융거래에 있어 「전자서명법」에 의한 공인인증서를 사용하여야 한다. 다만 기술적.제도적으로 공인인증서 적용이 곤란한 전자금융거래로 감독원장이 정하는 경우에는 그러하지 아니하다.

오픈 뱅크가 제안하는 서비스 규격을 금융 기관이 구현 하려면 국 내에서 공인 인증서 적용이 곤란한 전자 금융 거래로서 감독원장의 허가를 득하여야 합니다.

전자금융감독규정시행세칙

제31조(전자금융거래에 있어서 공인인증서 사용 예외) 금융기관 또는 전자금융업자가 수행하는 전자금융거래 중 공인인증서를 사용하지 않고 할 수 있는 전자금융거래는 다음 각 호와 같다.

  1. 본인 계좌에 대한 조회 업무
  2. 전화, CD/ATM 등과 같이 공인인증서의 설치·운용이 불가능한 수단을 이용한 전자금융거래
  3. 등록금, 원서접수비 등 본인확인이 가능하고 입금계좌가 지정되어 있는 경우
  4. 전자상거래에서 지급결제로서 30만원 미만의 신용카드 결제 또는 온라인 계좌이체
  5. 전자화폐, 선불전자지급수단을 온라인상에서 사용하는 경우
  6. 금융기관 등이 범위를 정하여 공인인증서 적용을 제외할 것을 감독원장에게 요청하고 감독원장이 이를 승인하는 경우

상기와 같이 공인 인증서의 설치 및 운용이 불가능한 수단이거나 금융기관이 범위를 정하여 제외 요청을 하고 감독원장이 승인하는 경우 공인 인증서를 통하지 않을 수 있습니다.

왜 예외가 되어야 하는가?

국내 PC 환경에서 전자 금융 거래가 가능하려면 윈도우 운영체제에서 인터넷 익스플로러(IE)를 사용하고 공인 인증기관이 제공하는 인증 플러그인(Active X 방식)을 설치하는 경우에만 가능합니다.

하지만, 소수의 사용자들 중에는 비 윈도우 및 비 IE 사용자들이 있으며 2003년 문제가 제기된 이후에도 계속해서 전자 금융 거래의 사각 지대에 놓여 있습니다.

이에 대한 금융 기관의 응답은 소수가 사용하는 다양한 웹브라우저와 운영체제에 맞는 모든 인증 서비스 수단을 제공하기 어려우며 소수 사용자에 비해 추가 개발이 어렵기 때문이라는 것입니다.

특히, 현재 공인 인증 기술은 PC 인터넷 환경의 소프트웨어에 기본 탑재되어 있지 않기 때문에 필연적으로 플러그인(Plugin) 기술로 개발 및 제공 되어야 합니다.

하지만, 글로벌 웹 브라우저 시장 점유상 IE를 제외한 주요 5개 제품과 운영체제 시장 점유상 윈도를 제외한 주요 10개 제품(모바일 포함)에 존재합니다. 따라서, 최대한 10개의 개별 플러그인을 제작해야 한다는 결론에 도달합니다. 각 웹 브라우저의 패키징 및 배포 비용을 고려하고 만약 OS의 범위를 확장하면 그 경우의 갯수는 더 많아집니다.

또한, 기술적 조합 중에는 현재로서는 플러그인 기술이 구현될 수 없는 경우(예, 소수 OS나 모바일 운영 체제)도 존재합니다.

공인인증기관이 이 모든 플러그인을 제공할 수도 없고, 그렇다고 해서, 인증기관도 아닌 거래의 일방 주체에 불과한 은행이나 카드사에게 공인인증용 플러그인을 마련하도록 강제하는 것도 사리에 맞지 않습니다.

현실적으로 모든 플러그인을 개발, 배포, 유지, 업그레이드 하는데 소요되는 비용은 거래의 일방 주체가 감당하지 못할 수준이며, 이로 인해 실질적으로 공인 인증을 통한 금융 서비스가 제공되지 못하게 됩니다.

전자금융감독규정시행세칙 31조는 이러한 경우를 위해 존재합니다. 특히, 2008년 하반기 부터는 모바일과 같이 공인 인증 기술을 이용할 수 없는 경우에 대해 VM뱅킹으로 공인 인증 없는 금융 거래 서비스가 이미 제공되고 있습니다.

따라서 금융 기관은 이러한 현실적 요인과 금용 거래에 필요한 보안 요건을 갖추어 금융감독원에 알리고 허가를 득하여 비공인 인증 기반 금융 서비스를 합법적으로 개시할 수 있습니다.