금융IT

“금융보안 규제, 더 많이 해제돼야”… 빅테크·핀테크, 한 목소리

이상일

[디지털데일리 이상일기자] 오픈뱅킹, 신용정보법 개정 등 제도적 개선을 통해 전자금융거래에 대한 전면적인 개정이 이뤄지고 있는 가운데 빅테크, 핀테크 업체들이 금융권에 적용되던 일괄적인 보안 관련 규제에 변화가 필요하다고 입을 모으고 있다.

금융시장에 큰 영향을 미치는 만큼 금융 보안에 대한 투자와 노력을 게을리 해서는 안되지만 특정 기술과 방법을 강제하지 말고 다양한 기술을 통한 보안 노력에 대한 허용이 필요하다는 목소리가 높아지고 있는 것이다.

◆망분리 저항감 여전, 기술 자율 보장해야 = 빅테크, 핀테크 업계에서 가장 개선이 필요하다고 보고 있는 것은 역시 망분리 정책이다.

금융권에선 해킹 위협과 내부 정보 유출 등에 대응하기 위해 인터넷방과 업무망을 분리하는 망분리 정책을 유지하고 있다.

최근 코로나19로 인해 재택근무 허용에 대한 요구가 커지면서 금융당국이 7년만에 금융권의 재택근무가 가능하도록 망분리 규제를 개선하긴 했지만 전산센터 시스템 개발·운영·보안 업무와 원격 시스템 유지보수 업무는 포함되지 않았다.

한 핀테크 업체 관계자는 “이번에 연말정산을 하려던 직원들이 망분리 탓에 사무실에서 일을 처리하는데 큰 혼란을 겪었다”며 “마이데이터 사업에 참여하면서 강화된 보안이 적용됐기 때문에 사업을 위한 어쩔 수 없는 불편이긴 하지만 합리적이진 않다는 생각이 강하게 든 계기가 되기도 했다”고 밝혔다.

네이버파이낸셜 김지식 이사는 “디지털 금융의 발전을 위해선 다양한 기술이 개입, 경쟁 환경이 마련돼야 한다. 법으로 특정 기술을 강제해선 안 된다”며 “대표적으로 망분리 개선이 필요하다. 일률적 방법을 강제하는 것은 바람직 하지 않다. 망분리로 인해 별도의 개발기간 소요는 물론 인력을 영입하는 것도 방해된다. 전금법 개정안에서 이러한 것이 논의될 필요가 있다”고 지적하기도 했다.

때문에 업계에서는 공인인증서의 사례와 마찬가지로 기술에 대해 열린 금융보안 정책이 필요하다는 입장이다.

공인인증서의 경우 명칭을 ‘공동인증서’로 바꾸고 국가가 공인했다는 독점 지위를 없애 다양한 사설 인증서의 등장을 가능하게 했다. 공인인증서의 독점적 지위를 폐지하는 '전자서명법 개정안' 처리로 사설 인증서도 기존 공인인증서의 역할을 할 수 있게 됐다.

마찬가지로 망분리라는 특정 기술을 강제하기 보다는 망분리 효과를 누릴 수 있는 다양한 보안기술에 대해서도 빅테크, 핀테크업체들의 책임을 전제로 허용해야 한다는 의견이 여전히 대두되고 있다.

망분리 규제에 대해선 기존 금융권에서도 시각이 변화하고 있다. 디지털 트랜스포메이션으로 인한 금융권의 디지털 금융 전략이 본격화되고 있는 가운데 망분리가 업무의 속도와 변화에 대응하지 못한다는 의견이다.

한 시중은행 CISO는 “앞으로도 망분리가 만능이라고 할 수는 없다. 모바일 기기를 가지고 영엽을 하는 ODS 등이 대면영업의 접점이 될 텐데 망분리 때문에 제약조건이 많다”며 “개인적으로는 망분리가 자연스럽게 폐지될 수 있을 것으로 본다. 물론 망분리를 하는데 많은 시간이 걸렸지만 디지털 금융시대에서는 사용자의 최종 디바이스 단에서 원천적으로 보안을 수행하는 방식으로 변화할 것”이라고 밝혔다.

◆스크래핑 기술 제한도 문제 = 오는 8월 본격화되는 마이데이터 사업에 앞서 2월부터 적용된 스크래핑 기술에 대한 제한도 일각에서 문제점으로 제기되고 있다.

‘스크래핑(Scraping)’이란 고객의 인증정보를 이용해 특정 금융사나 공공기관, 정부 사이트의 개인 정보 중 필요한 정보를 자동으로 추출해 제공하는 기술이다.

2월 5일부터 마이데이터 사업이 허가제로 전환되면서 마이데이터 허가를 받은 기업들은 API(응용프로그램인터페이스)를 통해 데이터를 수집할 수 있게 됐다. 기존 스크래핑 방식에 대해서는 오는 8월까지 6개월의 유예기간이 주어졌지만 사실상 스크래핑을 통한 서비스는 어려운 상황이다.

금융당국은 “불법과 합법의 경계에서 스크래핑 기술이 사용됐는데 이를 API를 통해 합법적으로 열어주겠다는 것이다. 지금보다 발전된 사업이 가능하고 법적으로도 유효한 서비스가 가능해진다”는 입장이다.

하지만 핀테크 업체들은 물론 기존 금융사 들에서도 일괄적인 스크래핑 재제에 대해서 부정적 기류가 감지되고 있다.

한 핀테크 업체 관계자는 “스크래핑 기술 안정화를 위해 많은 노력과 투자를 했다. 금융사에서 API를 통해 관련 정보를 제공한다고 하지만 금융사에서 해당 API를 만들지 않으면 방법이 없어진다. 시장의 혼란을 막기 위해서라도 당분간 병행이라도 해줬으면 하는 바램”이라고 밝혔다.

물론 마이데이터 사업을 영위하지 않는 기업은 스크래핑을 통해 개인 신용정보를 수집하는 것이 가능하다. 다만 마이데이터로 인한 데이터 결합과 활용이 본격화될 것으로 보이는 가운데 기존에 상당한 투자를 진행해 온 스크래핑 방식의 업무 시스템과 API를 통한 시스템 연계 두가지를 병행하기는 금융사, 핀테크 업체들 입장에서도 어려운 문제다.

<이상일 기자>2401@ddaily.co.kr

이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널