[포럼] 가상화폐 네거티브 규제 시급하다

김승주 고려대 정보보호대학원 교수 육군사관학교 초빙교수

  •  
  • 입력: 2018-07-24 18:00
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리
[포럼] 가상화폐 네거티브 규제 시급하다
김승주 고려대 정보보호대학원 교수 육군사관학교 초빙교수

고등학생들의 자율학습, 프로야구 선수들의 자율훈련, 육군사관학교의 무감독 자율시험. 이들 모두에는 공통점이 있다. 강한 책임 의식과 올바른 방법론이 동반되지 않으면 안 하니만 못하다는 것.

과거 우리 금융당국의 보안 관련 정책들은 주로 '포지티브 규제' 방식이었다. 이는 특정 위험에 대한 최소한의 보안대책을 정부가 직접 규율하고 있는 방식으로서, 예를 들면 "주민등록번호 및 계좌정보 등 금융정보를 암호화해서 저장할 것", "이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속시 우선적으로 이용자PC에 개인용 침입차단시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것" 등과 같이 관련 법, 시행령, 또는 지침에 업체가 취해야 할 조치들을 일일이 명시해 주는 방식이다.

이와 같은 정부주도 방식은 인터넷뱅킹과 같은 인터넷서비스의 빠른 확산에 기여한 측면이 큰 반면 플랫폼 종속성, 법에서 하라는 것만 하는 수동적 문화 조장, 업체의 창의적이고 능동적인 보안대책 시도 부족으로 인한 경쟁 저하 등의 문제가 있는 것도 사실이다. 더욱이 해킹사고가 발생할 경우 해당 기업에게 "우리는 법에서 하라는 것은 다했으니 사고는 불가항력이었다"고 항변할 여지를 남겨둠으로써 이용자의 피해보상을 어렵게 만든다는 문제가 있다.우리나라와 달리 미국과 영국, 일본 등 주요 선진국에서는 기업이 직접 자사 서비스와 관련된 보안위협을 스스로 평가하고 합당한 대책을 세우도록 하는 '네거티브 규제' 방식을 취하고 있다.

최근 가상화폐가 초미의 관심사로 떠오르면서 관련 업계와 전문가들을 중심으로 일정기간 규제를 면제해주는 규제 샌드박스의 도입과 네거티브 규제로의 전환이 시급하다는 목소리가 높아지고 있다. 그런데 여기서 명심해야 할 것은 네거티브 규제가 단순히 업체 마음대로 하는 것을 의미하지는 않는다는 점이다.

진정한 네거티브 규제란 업체에게 광범위한 자율을 보장함으로써 기업이 직접 자사 서비스와 관련된 보안위협을 평가하고 스스로 알아서 '자산의 규모에 걸맞는 최선의 대책'을 세우도록 하는 것을 말한다. 이때 정부는 보안대책이 충분치 않아 이용자에게 해킹 피해를 끼친 금융회사에 대해서는 문을 닫을 정도로 천문학적 규모의 징벌적 배상금을 부과함으로써 업체가 나태해지는 것을 단속한다. 이와 같은 방식은 산업의 확산을 상대적으로 더디게 한다는 단점이 있긴 하지만, 기업들로 하여금 보안문제에 더 적극적으로 나서게 하는 효과가 있다.

현재 국내 가상화폐 시장을 보면 책임에 대한 얘기는 없이 자율만을 주장하는 모습을 종종 목격하곤 한다.

은행과 같은 금융회사, PG사와 같은 전자금융업자들은 전자금융거래법에 따라 해킹 등으로 인한 손해배상책임을 이행하기 위한 보험 또는 공제에 가입하거나 준비금을 적립하고 있다. 그러나 가상화폐 거래소들은 보험가입 또는 준비금 적립이 의무사항이 아니며, 해킹이나 시스템 장애 등 이용 과정에서의 문제에 대해선 책임면제 조항을 약관에 명시한 무책임한 거래소도 상당수다. 더욱이 최근에는 해킹으로 수백억대의 이용자 피해를 발생시킨 한 거래소가 직접 돈(가상연합화폐)을 찍어내는 방식으로 보상하겠다는 방안을 내놓아 논란이 되기도 했다.

네거티브 규제가 성공적으로 정착하기 위해서는 업체의 자발적인 책임의식이 반드시 뒤따라야 한다. 이제는 우리도 피해자의 눈물은 외면한 체 산업진흥, 일자리 창출 등의 허울 좋은 구호만을 맹목적으로 외치고 있지는 않은지 스스로 돌아봐야 할 때다.

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사