[소비라이프 / 금융소비자연맹 방연희 간사] 스마트폰의 보급과 모바일의 발전 덕분에 핀테크산업의 성장은 금융시장의 혁신적인 서비스 바람을 일으키고 있는 반면, 이를 이용하는 금융소비자는 비대면 금융거래의 안전성에 대해 상당히 우려하는 것으로 조사됐다.
한국은행에 따르면 모바일금융서비스를 기피하는 가장 큰 이유는 ‘개인정보 유출 우려’가 72.5점(100점 만점)으로 가장 높고, 다음으로는 ‘공인인증서 등 안전장치에 대한 불신’이 70.7점으로 나타났다. 더욱이 핀테크를 통해 금융서비스에 대한 새로운 접근 채널이 확대됨에 따라 개인정보 유출, 해킹 등 보안사고에 대한 우려는 더욱 커질 수 있을 것으로 보여진다.
보안 사각지대 출현
박정국(2015)의 ‘핀테크와 정보보안’ 연구에 따르면, 핀테크 보안위협 요인은 서비스측면과 규제체계 측면으로 나누어 볼 수 있다. 서비스측면의 위험요인은 소비자가 모바일로 간편 결제를 할 경우, 카드정보 저장주체가 카드사에서 PG사(지급결제사업자) 그리고 쇼핑몰까지 확대됨에 따라서 야기 될 수 있는 위험이다. 게다가 메신저기반 송금 서비스처럼 금융서비스와 기존IT서비스 결합됨에 따라 보안위협은 배가 될 가능성은 크다.
규제체계 관점에서 보는 보안위험요인은 금융회사의 업무를 비금융회사와 제휴하거나 또는 보안업무를 외주에서 수행할 경우, 기업간의 보안책임 영역이 모호해짐으로서 발생되는 위험이다. 예를 들어, 보안업무를 아웃소싱 하는 상황에서 정보유출과 같은 금융사고 발생 시 그 책임은 판단하기 쉽지 않을 것이다.
게다가 명확한 책임소지를 가리는데도 상당한 시간이 소요될 것으로 예상되어 진다. 한국은행 자료에 의하면, 글로벌 IT기업의 경우 국가별로 비금융회사의 금융업 인가 및 영업범위에 차이가 있으므로 보안규제 체계의 사각지대 가능성에 대하여 언급했다.
효율 중심 사후책임VS보안 중심 사전 규제
해외의 금융보안 규제방식은 편의성을 크게 해치지 않는 범위에서 사업자의 자율성을 보장한다. 사후적 규제와 더불어 거래금액이나 신용도에 따라 보안수준을 소비자에게 차등 적용함으로써 금융거래의 효율성을 높이고 있다.
반면 국내의 금융보안 규제방식은 오프라인 거래수준의 보안성을 요구하고 있어서 일률적 규제가 적용된다고 볼 수 있다. 이런 사전적 규제방식은 비교적 낮은 사고발생율과 실시간 처리의 장점을 갖고 있다. 그러나 다양한 규제와 법규로 인하여 사고 발생율은 낮지만 핀테크산업 성장의 걸림돌로 지적되기도 한다.
그렇다면, 핀테크 서비스의 안전을 위협하는 요인과 그 해결 방안들이 무엇인지 살펴보도록 해야 할 것이다.
1. 예방측면: 본인확인 인증강화
핀테크산업의 성장을 위협하는 요인으로 비대면 기반의 본인인증, 정보유출, 부정거래, 시스템 중단 등이 있으며 이러한 위험요인 해소 방안으로 예방, 탐지, 복구 측면에서 모색 해 볼 수 있을 것이다.
예방적인 방법으로는 본인확인을 위한 인증강화와 이용자의 단말보호 강화가 해킹사고 예방에 무엇보다도 중요하다. 게다가 스마트워치와 같은 웨어러블기기 사용이 확산되는 상황에서 개인정보 보호를 위한 각종 동의 및 고지절차를 효율적으로 처리할 수 있는 방안도 필수적이라고 보여진다.
2. 탐지측면: 단일계층 보안 → 다계층 방어 전환
탐지적 측면에서는 핀테크, 사물인터넷(IoT: Internet of Things) 등이 확산되면서 기존의 보안시스템은 더욱 한계를 갖게 될 것이다. 기존 보안시스템의 한계점을 극복하기 위해서는 사용자 구간에 집중된 단일계층 보안체계를 다계층 보안체계로 전환돼야 할 것이다.
이상거래 탐지시스템은 탐지적 측면에서 보안체계의 한계점을 극복하려는 방안 중 하나이다. 이상거래 탐지시스템(FDS:Fraud Detection System)은 전자금융거래 접속정보, 거래내역 등을 종합적으로 분석해 이상금융거래를 탐지 및 차단하는 시스템이다. 즉 금융소비자들의 금전적 손실이나 정보 유출 등을 탐지하고 차단하기 위해 고안된 시스템이다. 그러나 이상거래 탐지시스템(FDS)을 우회하거나 복제 단말기 사용, 사용자 단말기 권한 탈취 등 FDS가 탐지하기 어려운 새로운 위협에 따른 대처방안도 반드시 고민해야 할 부분이다.
3. 복구대응측면 (BCP:사업유지계획)
핀테크 서비스의 안전성을 확보하기 위한 또 다른 대응방안은 사업유지계획(BCP: Business Continuity Plan)이다. 시스템 마비, 정보유출, 대량예금인출 등과 같은 사고 발생 상황에서도 업무 연속성이 유지될 수 있는 대책을 갖춰야 하고, 사고 발생 시 긴급조치와 사고원인을 분석해 재발방지 대책 등을 수립하는 상시적 조직 또한 준비해야 될 것으로 보인다.
금융감독원은 금융 IT부문에 있어서 금융사들의 자율적인 점검강화를 제안했다. 그중 하나는 금융회사의 자체감사를 통해 IT보안관련 미흡사항을 발굴·개선할 것을 요구했다.금감원은 이에 따른 이행결과 확인 및 사후관리를 하고 있으며, 2015년 38개 금융사를 대상으로 실시 중이라고 언급했다.
그 외에도 금감원은 금융회사 스스로 전자금융거래 규모, 사고발생 추이, 보안 투자규모 등을 종합적으로 검토해 적정한 보험가입 금액을 산정 할 것을 요구했다. 또한, 감독원은 보험가입 금액 적정성 및 보험가입 이행실태를 확인하겠다고 밝혔다. 핀테크산업의 성장에 따른 부작용을 최소화시키기 위한 노력은 각 금융사와 기업들이 진행하고 있다.
부작용 최소화 노력도 중요하겠지만, 개인과 기업간의 분쟁에 따른 해결방안과 보상체계 지침도 마련돼야 할 것이다. 분쟁해결 가이드라인과 조속한 지침 마련을 위해서는 무엇보다도 소비자들의 적극적인 참여와 큰 관심이 필요하다.
