IoT와 AI 기술 발전에 따라 최근 결제분야에서 생체인증, 스마트보안카드, 블록체인 등 다양한 기술을 활용한 인증수단이 등장하고 있다.

하지만 전자금융거래법 제정 작업을 하던 지난 2000년대 초반 당시 인증기술과 인증수단만을 염두에 두고 구성한 현행 법률은 현재의 상황과는 부합하지 않다는 지적이다.

현행 전자금융거래법은 접근매체 종류를 법률에서 한정적으로 열거하는 형식을 취하고 있는데, 이러한 규제방식은 획일적(포지티브) 규제라는 비판과 함께 다양한 기술발전에 대비하기 위해 종류를 제한할 필요가 없다는 의견이 지속적으로 제기되고 있다,

금융결제원 전자금융부는 '사물인터넷(IoT) 및 인공지능(AI) 시대의 인증정책 방향과 법·제도 개선' 보고서를 통해 "인증제도는 비대면 전자거래의 핵심으로 인증에 대한 개념과 큰 정책방향 원칙을 현행 전자금융거래법이 아닌 ‘전자문서법’ 또는 ‘전자서명법’에서 규율하는 것이 통합체계성과 정합성 측면에서 합리적이다”라고 주장했다.

◆첨단인증기술 규제할 근거 없어 사각지대 발생  

접근매체(인증수단)는 기술이 발달하고 스마트폰 보급이 확산되면서 매체 형태보다는 정보형태로존재하는 경우가 많아질 것으로 보인다. 또한 이러한 정보형태의 접근매체는 기타 정보와 결합해 식별화되거나 변형, 가공, 분산 관리돼 활용될 가능성이 높다.

디지털금융업계 전문가들은 “최근 등장하고 있는 음파인증, 문답식 로그인 방식 등은 전자금융거래법이 미처 상정하지 못한 새로운 인증기술이며 이를 규율할 수 없는 상황에서 향후 규제 사각지대 및 정합성, 신뢰성 저하를 불러일으킬 수 있다”고 우려했다.

바이오정보의 경우 사용자의 개인정보보호를 위해 바이오정보를 그대로 저장하는 것이 아닌 암호화 단계를 거쳐 새로운 형태의 인증정보를 생성하고 이를 쪼개서 분산 보관하고 있다.

이 경우 다른 정보와 결합돼 변형된 비식별정보나 조각으로 쪼개져 분산관리 되고 있는 접근매체 정보를 일반적인 접근매체로 볼 수 있는지 또한 의문이 제기될 수 있다.

정보가 특정되지 않으면 사고발생 시 누가 배상책임을 져야 하는지 모호하고 분실·도난과 관련해 정보형태의 접근매체에 대해 어떻게 분실·도난을 인지하고 신고할 것인지도 불명확하다.

현행법상 바이오인증 업무를 수행하는 업체나 기관의 경우 아무런 법적 규제가 없기 때문에 누구나 기술과 장비만 갖추면 영업이 가능한 상황이다.

보안업계는 민감한 개인의 생체정보를 사설기관이나 사업자가 수집 보관해도 되는지 관련 법률에서 명확히 하고, 블록체인 분산원장을 통한 공동인증의 경우 모든 참가자에게 데이터를 공유하는 구조로 인가받은 자에게만 제한된 목적 하에 관련 정보에 접근할 수 있도록 통제장치가 필요하다고 입을 모은다.

금융결제원 김시홍 전자금융기획팀장은 “현재 전자금융거래법은 정보형태의 접근매체에 대한 명확한 근거 규정을 두고 있지 않으며 접근매체 정보를 이용자 동의 없이 타인에게 제공·누설하거나 업무목적 외 사용만 금지하고 있다”며 “접근매체 정보의 변형 및 활용의 범위와 방법, 요건, 보관방법, 정보 오·남용에 대한 통제장치가 없는 상황에서 이에 대한 법적규정이 시급하다”고 지적했다.