전자금융 거래 때 소비자의 불편을 초래해온 액티브X(Active-X) 보안프로그램 설치의무가 내년 1월 사라진다.

금융위원회는 12일 전자금융 거래 정보의 재위탁 기준과 사이버 안전대책 방안, 금융규제 개선, 전자금융보안 개선 등 내용을 담은 전자금융감독규정 개정안을 변경예고했다.

개정안은 사실상 액티브X를 강제하는 보안프로그램의 설치의무를 규정에서 삭제, 금융사들이 전자금융 거래 안정성 조치를 자율적으로 마련할 수 있게 했다.

그동안 전자금융 거래 때는 반드시 공인인증서를 사용해야 했고 이를 위해서는 액티브X 프로그램을 깔아야 하는 등 소비자의 불편이 컸다.

특히, 국내 인터넷쇼핑몰에서 30만원 이상의 물품을 구매하려면 공인인증서와 액티브X가 필요해 외국인이나 해외 거주자가 국내 인터넷 쇼핑사이트에서 물건을 사는 데에 장애요인이 돼 왔다. ‘천송이 코트’ 사례가 대표적이다.

금융위 관계자는 “규정 개정에도 금융사들이 필요에 따라서 액티브X 보안프로그램을 계속 사용할 수도 있지만 소비자들의 개선요구가 많아 점차 사라질 것으로 기대한다”고 말했다.

개정안은 또 금융사가 일회용 비밀번호 등 거래인증 수단으로 새로운 기술을 활용할 수 있도록 자율성을 부여했다.

제3자에 대한 정보보호업무 재위탁은 전자금융 거래정보의 보호와 안전한 처리를 저해하지 않는 범위에서 허용된다. 재위탁 가능업무는 전자금융거래정보의 보호와 관련된 전산장비·소프트웨어에 대한 개발·운영·유지 관리 등이다.

금융거래정보는 위탁회사의 데이터센터에 보관하는 것을 원칙으로 하되, 제3의 장소로 이전시 반드시 비식별 처리를 해야 한다.

금융사 내부통제 강화를 위해선 정보보호최고책임자(CISO)의 책임하에 사별로 보안점검의 날을 지정해 보안점검을 하도록 했다.

외부주문 통제소홀에 따른 정보유출 방지 차원에서는 외부주문의 단계별 보안관리 방안을 준수하고 외부주문 개발업무에 활용되는 업무장소와 전산설비를 내부 업무용과 분리해 설치·운영토록 했다.

금융회사의 전자금융사고 보고 창구는 기존 금융위, 금감원에서 금감원으로 일원화된다.

IT부문 정보보호 인력 산정에는 비상주 외주인력, 공동수탁사 인력, IT자회사 인력 등이 포함되며 외국계 금융사 국내지점 등 망분리 규정을 일괄적용하기 불가능하거나 불합리한 사례에 대해선 금감원장이 예외를 허용하기로 했다.

금융위는 변경예고를 거쳐 규제개혁위원회 심사, 금융위 의결을 거쳐 내년 1월까지 감독규정 개정절차를 마무리할 예정이다.

연합뉴스