오는 18일 '금융 고속도로망' 오픈뱅킹 본 사업이 전면 실시된다. 핀테크 스타트업도 오픈뱅킹을 이용해 다양한 금융 서비스를 선보일 예정이다. 본 사업을 앞두고 금융 당국과 금융결제원, 금융감독원, 금융보안원 등이 범정부 합동으로 강력한 보안 대책을 수립했다. 이른바 철옹성 프로젝트다.
8일 정부와 금융권에 따르면 금융 당국이 유관 기관과 함께 강력한 보안대책 가이드라인을 마련했다. 오픈뱅킹에 진입하는 스타트업 대상으로 규제는 대폭 완화하되 해킹 등 보안 사고를 대비한 미시 정책을 수립했다.
우선 범정부 합동으로 오픈뱅킹 본 사업 실시 전인 13일 정보기술(IT) 리스크 발생에 대비해 '관련기관 합동 훈련'을 실시한다. 금융위, 금결원, 금감원, 은행, 핀테크사 모두 참여해 본 서비스 실시에 앞서 보안 취약점 등을 점검한다.
최근 금감원은 오픈뱅킹 전산 사고가 발생하지 않도록 금융사 등에 공문을 보내 철저한 테스트와 취약점 점검을 별도로 주문했다. 향후 검사에서 해당 규정 위반이 발견되면 엄중 제재할 것이라고 밝혔다.
이에 따라 금융사와 이용 기관은 전자금융감독규정 제12조(단말기 보호대책), 제41조(약관 제정·변경에 따른 보고), 제60조(외주 주문 등에 대한 기준) 등을 마련하고 이를 준수해야 한다. 또 비상 대책 수립, 프로그램 통제, 보안성 심의 수행, 전자금융 기반 시설에 대한 취약점 분석·평가를 실시한다.
장애인 차별도 금지된다. 장애인차별금지 및 권리구제 등에 관한 법률 17조에 의거, 오픈뱅킹 서비스 이용에 정당한 사유 없이 장애인을 배제 및 거부할 경우 강력한 제재를 받게 된다.
중대형 스타트업도 오는 18일부터 서비스를 이용할 수 있게 됨에 따라 정부는 국제 표준과 유럽 지급결제서비스지침(PSD2)에 준하는 보안 규격을 지원키로 했다. 국제 표준인 HTTPS, OAuth2.0 인증을 통해 보안통신과 이용 기관의 정당한 접근에 대해서만 허용한다.
또 강화된 고객인증(SCA)으로 다중인증 체계를 지원키로 했다. 비밀번호 등 지식 기반 인증과 문자메시지(SMS)·자동응답(ARS)·적요 등 접근 매체 점유 인증, 지문 등 생체 정보를 결합해 사용자 인증 범위도 넓힐 계획이다.
금융보안원도 현장 점검 등을 통해 강력한 보안 가이드라인을 수립했다.
오픈뱅킹 서비스 개시 이전, 서비스 취약점 점검과 이용기관 보안 점검을 수행한다. 이용 기관 보안 점검도 14개 분야 30개 항목으로 디테일하다. 웹은 4개 분야 12개 항목, 모바일은 5개 분야 17개 항목에 대해 각각 수행하고 이를 통해 애플리케이션(앱) 취약점을 사전에 점검 조치하기로 했다.
금융사 오픈뱅킹 거래 내역 하루치를 몰아서 주는 금결원의 'FDS 익일 사후 통보' 방식도 전면 개편했다. 지난 7일부터 이상거래탐지 내역을 10분 단위로 알려준다.
금결원 관계자는 “비정상적 금융 거래 발생 시 금결원이 운영하는 이상거래탐지시스템(FDS)이 1차적으로 탐지해 이용 기관으로 전파하며, 이용 기관의 FDS를 통해 최종적으로 거래 차단 또는 추가 인증을 수행하는 2-티어(Tier) 구조로 운영하기로 했다”고 말했다.
그동안 논란이 된 보증 문제도 해결했다.
금결원은 오픈뱅킹 출금·이체 보증 한도를 이용 기관의 일일 출금 한도 200%로 정했다. 대형 사업자 가운데 재무 건전성과 리스크 관리 등에서 일정 수준을 충족시키면 출금 은행과 보증 한도에 대해 개별 협의를 할 수 있도록 했다.
이를 두고 역차별이라며 반발 조짐이 있었다.
출금이체 보증은 부당 인출 등 보안사고 방지를 위해 마련된 일종의 충당금 개념이다.
중소형 기업 대상 보험 상품은 있지만 거래량이 많은 대형 기업이 가입할 수 있는 보증보험 상품이 없었다. 금결원은 최근 은행과 개별 협상을 진행하는 대형 사업자가 계약이 되지 않을 경우 보증보험에 가입할 수 있도록 규제를 대폭 완화했다.
이와 함께 부당인출 등으로 인한 소비자 피해를 막기 위해 고객당 출금한도, 이용기관당 출금한도를 엄격하게 운영키로 했다.
길재식기자 osolgil@etnews.com