금융 정보 오가는 공동 결제망…보안 점검 철저해야
소비자와 맞닿는 핀테크 앱엔 모의 해킹테스트 실시

안재영 금융보안원 핀테크보안팀장
금융보안원 안재영 핀테크보안팀장이 20일 서울 강남구 그랜드힐 컨벤션에서 열린 오픈뱅킹 설명회를 통해 보안점검 주요내용을 설명하고 있다.

<대한금융신문=문지현 기자> 핀테크 혁신의 핵심 인프라로 지목되는 ‘오픈뱅킹’ 시행을 앞두고 핀테크 기업들이 철저한 보안 시스템 점검·관리에 돌입한다. 금융당국이 오픈뱅킹 기반 서비스 출시의 첫 허들로 ‘보안 검증’을 강조하고 나섰기 때문이다.

20일 금융위원회는 금융결제원, 금융보안원과 함께 서울 강남구 그랜드힐 컨벤션에서 핀테크 기업 등 오픈뱅킹 이용기관들을 대상으로 오픈뱅킹 진행 현황 및 향후 일정을 안내하는 오픈뱅킹 설명회를 개최했다.

오픈뱅킹은 제3자에게 은행 계좌 등에 대한 접근을 허용하고 지급결제 기능을 개방하는 제도다. 은행의 금융결제망을 핀테크 기업이 사용할 수 있도록 개방하는 것으로, 이를 통해 특정 은행 앱 하나로 모든 은행에 있는 계좌를 조회하고 출금·이체도 할 수 있게 된다.

금융위원회는 '금융결제 인프라 혁신 방안' 중 하나로 오는 10월부터 은행권을 중심으로 오픈뱅킹을 시범 가동할 예정이다.

그러나 오픈뱅킹은 금융소비자의 금융 정보가 오가는 공동 결제망인 만큼 중요개인정보 노출 위험, 거래정보 위·변조 등에 대한 보안 문제가 필연적으로 대두돼왔다.

이에 금융당국은 이번 설명회에서 오픈뱅킹 서비스 관련 보안성 확보 방안을 제시했다.

보안점검은 △오픈뱅킹 기반 핀테크 서비스(앱·웹) 취약점 점검 △오픈뱅킹 이용기관 보안 점검 △운영기관(금융결제원) 보안 점검 등 총 3단계로 오픈뱅킹 이용 전에 실시된다. 보안 검증을 거친 기관만이 오픈뱅킹 인프라를 이용할 수 있는 셈이다.

보안점검 수행 주체인 금융보안원은 먼저 오픈뱅킹 이용기관인 은행과 핀테크 기업에 대해 오는 8월부터 9월사이 약 4주간 서면 및 현장점검을 진행할 계획이다.

관리, 물리, 기술 3개 영역으로 나눠 침해사고 대응과 물리적 보안, 개발 보안 등 14개 분야에서 30개의 점검항목을 기준으로 평가를 실시한다.

오픈뱅킹 이용기관 중 전자금융업자와 은행은 보안점검 항목에 대한 충족 여부를 자체적으로 점검한 후 금융보안원에 제출해도 된다. 전자금융업자나 은행에 속하지 않아도 정보보호관리체계(ISMS) 인증을 보유하고 있는 핀테크 사업자는 자체 점검으로 대체 가능하다.

금융소비자들과 직접 맞닿게 되는 오픈뱅킹 기반 핀테크 서비스에 대해서는 더욱 철저한 보안검증이 이뤄진다.

금융보안원은 먼저 오픈뱅킹 환경에서 검증 대상 서비스 테스트를 완료 후, 모의 해킹테스트를 실시할 방침이다. 웹은 4개 분야·12개 항목, 모바일은 5개 분야·17개 항목에 대해 진행되며 플랫폼 별로 약 5일 정도 소요될 예정이다.

마지막으로 오픈뱅킹 운영기관인 금융결제원에 대해서는 오픈뱅킹 시스템 업무 실시 전 연 1회 이상 정기적으로 취약점 점검과 보안 점검을 실시한 후 결과에 대해 보완 조치할 계획이다.

오픈뱅킹 활용 서비스를 계획하고 있는 핀테크 사업자 등 이용기관들은은 보안점검이 2~3개월 소요될 것을 감안해 늦어도 오는 9월까지 사전 이용 신청서를 접수해야 한다.

일각에선 핀테크 스타트업들이 보안점검 방안 요건을 충족하기 어려울 것이란 우려도 나온다.

이에 금융위 관계자는 "보안점검 가이드라인을 만들 때 많이 고민해본 결과 중요한 정보가 오가는 공동결제 시스템인 만큼 최소한의 보안은 확보해야 된다고 판단했다”며 “적정 수준의 (보안) 항목을 고려했으니 성실히 응한다면 충족하는데 큰 무리는 없을 것이라고 생각한다”고 말했다.

저작권자 © 대한금융신문 무단전재 및 재배포 금지

키워드

Tags #오픈뱅킹 #오픈API