인터넷뱅킹에 접속하면 돈을 한 푼 옮기기도 전에 설치 창부터 쏟아집니다. 처음 보는 이름들, 눌러서 넘겨야 하는 보안 경고, 가끔은 재부팅까지. "이 은행 보안프로그램을 왜 다 깔아야 하지? 로그인만 하려는 건데!" 지금까지의 답은 "법이 요구해서"였습니다. 그런데 다들 떠올리는 그 규정은 11년 전에 폐지됐고, 5년 뒤에 한 번 더 폐지됐는데도, 그 소프트웨어는 여전히 여러분 컴퓨터에 남아 있습니다. 무엇이 그것을 붙잡아 두고 있는지 정확히 짚어 보겠습니다.

습관은 진짜 의무에서 시작됐습니다
은행이 그 "보안프로그램"을 밀어 넣게 만든 규정은 실제로 있었습니다. 이름은 공인인증서입니다. 오랫동안 온라인에서 돈을 옮기려면 공인인증서를 가져야 했고, 공인인증서를 가지려면 그것을 발급하고 저장하고 검사하는 ActiveX 컴포넌트 더미를 설치해야 했습니다.
습관은 거기서 태어났습니다. 은행이 요구하면 설치하고, 그게 무엇인지는 묻지 않습니다. 이제 여러분은 "보안"된 상태입니다.
2015년까지는 진짜 법적 의무였다는 이야기입니다. 그런데 지금은 그로부터 10년도 더 지났습니다. 그사이 무슨 일이 있었을까요?
2015년, 의무는 폐지됐습니다
2015년 3월 18일, 아시아경제와 허프포스트코리아가 당시 보도한 대로 금융위원회는 정례회의에서 전자금융감독규정 개정안을 의결해, 전자금융거래에서 공인인증서 사용 의무를 폐지하고 ActiveX 보안프로그램 설치 의무 조항을 삭제했습니다. 안전성 확보 방법은 은행이 스스로 마련하도록 넘겼습니다. 시행은 즉시였습니다.
압력의 일부는 언론이 천송이 코트라고 이름 붙인 사건에서 나왔습니다. 별에서 온 그대를 본 중국 시청자들이 극 중 주인공이 입은 코트를 사고 싶어 했지만 살 수 없었습니다. 한국 결제창이 외국인은 발급받을 수 없는 인증서를 요구했기 때문입니다.

의무는 사라졌습니다. 설치 프로그램은 남았습니다.
2020년, 공인인증서는 독점을 잃었습니다
5년 뒤 공인인증서는 특별한 지위마저 잃었습니다. 전자서명법이 전부개정되면서 — 법률 제17354호, 2020년 6월 9일 공포, 2020년 12월 10일 시행 — 공인인증서 제도가 아예 폐지됐고, 민간 전자서명 수단이 실력으로 경쟁할 수 있게 됐습니다.
1999년부터 지켜 온 독점이 마침내 여러 선택지 중 하나가 된 것입니다.
5년 사이에 두 번 폐지된 셈인데, 은행은 아직도 설치 창으로 여러분을 맞이합니다!! 그러니 물어볼 만합니다. 오늘 기준으로 법은 실제로 무엇을 요구할까요?
현행법이 요구하는 것
저희가 직접 현행 전자금융거래법 — 법률 제21205호, 71개 조문 전체 — 을 확인했습니다. '공인인증'은 0번 나옵니다. '보안프로그램'도 0번 나옵니다.

이 법이 보안에 침묵한다는 뜻은 전혀 아닙니다. 오히려 제21조 제2항은 은행을 금융위원회가 정하는 기준에 묶어 둡니다.
전자금융거래법 제21조 제3항: ③ 금융위원회는 제2항의 기준을 정할 때 특정 기술 또는 서비스의 사용을 강제하여서는 아니 되며, 보안기술과 인증기술의 공정한 경쟁이 촉진되도록 노력하여야 한다.
2014년 10월 15일 개정된 이 조문이 오늘 시행 중인 내용입니다.
법은 이렇게 계속 움직입니다. 최근 석 달 사이 한국 디지털 규제가 어떻게 바뀌었는지는 이전 글 정보통신망법 시행, 3주 새 바뀌는 디지털 규제 3건에서 정리했습니다.
은행의 컴플라이언스 코트
법은 더 이상 그 소프트웨어를 요구하지 않습니다. 이제는 은행이 요구합니다. 은행은 그것을 제21조 제1항을 지켰다고 보여 주는 수단으로 봅니다.
전자금융거래법 제21조 제1항: ①금융회사등은 전자금융거래가 안전하게 처리될 수 있도록 선량한 관리자로서의 주의를 다하여야 한다.
선량한 관리자로서의 주의. 여기에는 체크리스트가 붙어 있지 않습니다. 무엇을 하면 이 기준을 충족하는지 아무도 은행에 미리 말해 줄 수 없습니다. 이미 돈이 사라진 뒤에 법원이 판단할 뿐입니다.
법은 은행에 무엇을 설치하라고 지시하기를 그만두고, 거래가 안전했는지를 은행에 묻기 시작했습니다. 이용자에게 보안 소프트웨어를 설치하게 하는 일은 은행이 서류로 꺼내 보일 수 있는 컴플라이언스 도장 같은 것입니다. 사고를 막기 위해 은행이 실질적인 무언가를 밀어 넣었다는 기록이 남으니까요.

그래서 은행은 여전히 그 소프트웨어를 내려받으라고 합니다. 다들 그렇게 하고 있으니까요! 그대로 두는 것이 업계 관행이고, 관행을 따르는 은행에는 설명할 이야기가 준비돼 있습니다. 은행 입장에서 그것을 걷어내서 돌아오는 몫이 크지 않습니다. 걷어냈는데 고객이 사기를 당하면 누군가는 해명해야 합니다.
의무는 2015년에 죽었고, 2020년에 또 한 번 죽었습니다. 그 의무가 만들어 둔 유인은 살아남았고, 그것을 끝내는 일은 아무의 업무도 아닙니다.
여러분 컴퓨터에는 이름조차 알 수 없는 "보안프로그램"이 몇 개나 깔려 있나요?
참고 자료
- 국가법령정보센터 — 전자금융거래법 (법률 제21205호): https://www.law.go.kr/법령/전자금융거래법
- 국가법령정보센터 — 전자서명법 (전부개정 법률 제17354호, 2020. 6. 9. 공포 / 2020. 12. 10. 시행): https://www.law.go.kr/법령/전자서명법
- 전자신문 — 굿바이 공인인증서…민간 전자서명 시대 열렸다 (2020-12-09): https://m.etnews.com/20201209000179
- 허프포스트코리아 — 공인인증서 해방? 의무사용 폐지 5문5답 (2015-03-19): https://www.huffingtonpost.kr/2015/03/19/story_n_6899692.html
- 아시아경제 — 공인인증서 의무 폐지, 수혜주와 피해주는? (2015-03-19): https://view.asiae.co.kr/article/2015031910132751503
