부적절할 경우 금융사에 보완 요구

<대한금융신문=문혜정 기자>전자금융거래는 금융거래의 특성상 신뢰성과 안전성이 뒷받침돼야 한다. 그동안 우리나라는 안전한 금융거래를 위해 금융위원회와 금융감독원이 공인인증서 의무사용을 제도적으로 뒷받침해왔다.

하지만 스마트 금융 등 인터넷 환경이 점차 변화하면서 금융당국은 지난 2010년 3월 ‘전자금융거래시 공인인증서 사용의무 규제완화 방안’을 마련하고 지난해 5월에는 최초의 인증평가기관을 지정해 금융사들이 다양한 인증방법을 전자금융거래에 도입할 수 있도록 했다.

스마트 금융이 대중 속에 파고든 지금, 앞으로 금융사들은 공인인증서 외에 좀 더 안전하고 편리한 인증방법을 선택하기 위해 어떤 준비를 해야 할까. 금융보안연구원은 ‘전자금융거래 인증방법안전성 평가의 이해’ 보고서를 통해 세부적인 평가 절차를 분석해 내놓았다.

금융기관 또는 전자금융업자(평가요청기관)가 새로운 인증방법을 평가받기 위해서는 지정된 인증평가기관에 평가를 신청해야 하며 전반적인 평가과정은 준비단계와 평가단계를 거쳐 총 8단계로 구분된다.<표 참조>

평가신청 단계에서는 인증방법 평가를 희망하는 금융기관 또는 전자금융업자가 평가신청서와 평가에 필요한 제출물을 작성해 평가기관에 제출한다.

제출물은 일반적으로 △인증방법 구조 및 메커니즘을 서술한 기능설명서 △인증수단 및 인증방법 사용메뉴얼 △인증방법 구현에 대한 시험내역을 서술한 시험서 △인증방법 관리 절차서 △인증방법 구현 시스템 △기준대응 설명서가 필요하다.

평가기관은 제출물이 평가를 진행하기에 적절한지 여부를 검토하고 부적절한 경우 추가로 제출물 보완을 요구한다. 적절하다고 판단되면 해당 인증방법에 대한 기능평가 기준을 작성하고 타 평가기관과 협의해 각 평가기관의 의견을 기능평가 기준에 반영한다.

그 후 평가기관은 평가요청기관에 평가신청 접수증을 발급, 신청한 인증방법의 보안군 및 특성을 고려해 평가수행 계획서를 작성하고 평가수수료를 산정한다.

평가수행 계획서 및 평가수수료를 평가요청기관과 협의해 합의하면 평가계약을 체결하고 평가요청기관은 평가기관에 평가수수료를 납부한다.

이렇게 준비단계가 모두 완료되면 평가기관은 합의된 평가수행 계획서를 기반으로 신청인증방법에 대한 평가수행 단계에 들어간다. 그 과정에서 기준에 부합되지 않는 사항이 발견되면 평가요청기관에 보완을 요구한다.

평가수행을 하는 과정은 △문서평가 △인증방법 독립시험 △인증방법 개발 및 운영환경 보안점검 △평가보고서 작성 4단계를 거친다.

문서평가는 가장 먼저 인증방법 설계 및 메커니즘과 관리적·절차적 보안이 평가기준을 만족하고 있는지 제출물을 기반으로 평가하는 단계다.

제출문서가 평가기준을 만족시킨다고 판단되면 실제 인증방법이 설계대로 적절히 구현됐는지 독립적으로 시험을 수행해 검증한다. 독립시험 중 평가기준을 만족하지 못할 경우 보완요구서를 발행해 보완을 요구하며 보완 중 설계 등이 변경될 경우 문서평가과정을 반복한다.

다음으로 인증방법 관련 관리적·절차적 보안이 실제 운영환경에서 적절히 이행되고 있는지 방문점검을 수행하며 점검 중 평가기준을 만족하지 못할 경우 다시 보완을 요구한다.

이렇게 평가기관이 모든 평가행위를 마치면 평가결과를 종합적으로 정리해 인증방법평가위원회 사무국에 안전성 평가보고서 등 관련 문서를 제출하고 평가를 종료하게 된다.

금융보안연구원 안재영 선임연구원은 “이제 전자금융거래 인증방법 안전성 평가제도가 시행됨에 따라 금융회사도 변화된 금융환경에 적합한 다양한 인증방법을 도입할 수 있게 됐다”며 “이에 따라 금융기관들도 전자금융거래시 인증방법의 중요성을 인지하고 평가기준에 부합되는 안전한 인증방법을 개발하도록 적극 협조해야 할 것”이라고 당부했다.