[칼럼]핀테크 보안, 금융시장 패러다임의 혁신 가능한가

Printer-friendly versionPrinter-friendly versionSend by emailSend by email
전통적인 산업 규제에서 탈피해야 껍데기 IT강국에서 핀테크 강국으로
Monday, April 3rd, 2017
구태언

구태언 변호사(테크앤로법률 사무소 대표) 

핀테크(Fintech)라는 화두를 배제하고 최근의 금융경제시장을 논할 수 있을까? 금융(Finance)과 기술(Technology)의 합성어로 간편결제, P2P금융, 크라우드펀딩 등으로 분류된다. 실생활에서 삼성페이, 네이버페이, 카카오페이와 같은 간편결제 서비스는 이미 유용한 서비스로 자리매김 해 가고 있다. 한국 뿐만 아니라 세계경제 무대에서도 핀테크 기업의 성장은 괄목할 만한 추세다.

중국 핀테크 시장의 규모는 2015년을 기준으로 중국 GDP 의 20%에 달하는 12조~15조 위안 정도로 추정되며, 이용인구는 5억명을 넘겼다고 한다. 미국의 경우를 보면 2016년 1분기에 뉴욕에서 핀테크에 투자된 금액을 6억9천만 달러로 추산 했는데, 이는 같은 시기에 실리콘밸리에 투자된 금액인 5억1 천만 달러를 상회하는 것으로 핀테크 산업의 매서운 성장세를 보여주는 지표라 하겠다.

2025년경이면 소비자금융 수익의 60%, 매출의 40%를 핀테크 기업들이 차지할 것이라는 경제 전 망도 제시되고 있다. 이러한 점들을 종합적으로 고려해 본다면, 이는 은행 등의 전통적인 금융업체를 핀테크 기업들이 대체하게 될 것이라는 의미로 해석되며, 한 국가의 금융경쟁력의 중심축이 핀테크 산업으로 옮겨갈 것이라는 의미가 된다. 이제는 핀테크 선진국이 세계금융의 중심국이 될 것이고, 이러한 이유로 세계 각국이 자국의 핀테크 산업을 육성하고 지원하는데 주력하고 있다.

한국 핀테크산업, 금융시장 패러다임의 변화 

무엇보다도 우수한 IT인프라 확충이라는 비교우위에 서 있으므로, 핀테크 산업의 성장 토양으로서는 매우 유리하다 할 것이다. 핀테크 산업은 본질적으로 IT 기술을 바탕으로 이루어지는 금융서비스업이므로 지리적 물리적 경계에 제한 받지 않는 국경을 초월하는 분야다. 따라서 우리나라가 핀테크 산업의 중심축으로 자리매김 한다면, 반드시 우리나라의 경제 성장에 큰 동력이 될 것이며, 나아가 우리나라가 세계금융중심지로 도약할 수 있는 천재일우의 기회를 맞이하게 된다. 따라서 이러한 인식의 합의 아래 핀테크 산업을 주축으로 한 금융시장 패러다임의 변화를 적극적으로 수용할 수 있는 방안에 대하여 논의해 보고자 한다.

핀테크 시대에서 금융시장의 패러다임 변화는, 종래의 금융시장이 거대 소수의 독점 플레이어의 시대였다면, 핀테크 산업 시대의 금융시장은 다수 플레이어의 공존 시대로 그 중심축이 분할되어 옮겨가고 있다. 첫째, 금융시장에서의 주도권자가 교체될 것이다. 기존에는 은행, 증권사 등 전통적 금융기관들과 이용자들의 관계로 양분 되었다면, 이제는 IT업체들이 플랫폼 사업자로서 금융산업의 전면에 포진할 것이다. 이제는 다수의 금융거래가 플랫폼을 기반으로 이루어 질 것으로서, 고객들은 플랫폼 사업자를 통해 금융거래를 할 것이고, 플랫폼 사업자와 핀테크 업체는 협업을 통해야 할 시대다. 최근 시중은행권들이 기존의 운영 방식에 안주하지 않고 모바일 플랫폼 사업자로 변신을 꾀하고 있는 것도 이와 무관하지 않다.

둘째, 다수 플레이어의 공존 시대가 될 것이다. 기존 금융시장이 소수 금융사를 중심으로 운영되어 왔다면, 핀테크 산업시대에는 ‘사용자’, ‘플랫폼 사업자’, ‘핀테크 업체’, ‘금융기관’ 등 이 유기적으로 연결되어 작동해야 한다. 소비자가 신용카드를 이용하여 택시요금을 간편결재 서비스를 이용하여 결재하는 아주 간단한 과정에서도 소비자와 택시, 대규모 플랫폼 사업자로는 카카오, 네이버, 구글, 애플 등을 들 수 있다. 앱 주체, 간편결재 서비스를 제공하는 플랫폼 사업자, 신용 카드사라는 다수의 운영주체간에 유기적인 커뮤니케이션을 요한다. 이러한 커다란 패러다임의 변화 속에서 예상되는 문제점과 그 대처방안에 대하여 살펴 보고자 한다.

보안 핀테크 산업의 문제점과 대처방안

핀테크 산업의 최선봉 과제로서 보안 핀테크를 들 수 있다. 발전하면 할수록 비례하여, 혹은 오히려 더 막 중하게 다루어져야 하는 분야가 보안 문제다. 이는 동전의 양면과 같아서 떼어 놓고는 상정할 수 없는 선결과제다. 그 이유로는 구조적인 이유에서 비롯된다. 전통적인 금융시스템에 비하여 다수의 주체가 공존하게 되므로, 기존에는 망 분리를 통해 보안을 공고히 할 수 있었다면, 다수의 주체간에 인터넷을 통한 정보공유의 경우에는 외부 망을 통한 정보의 흐름 과정에서 해킹 등 보안사고가 발생할 가능성이 급격히 증가할 수 밖에 없는 구조다. 또한 관련 금융정보를 보유하는 주체가 많아지므로 그만큼 해킹 등 보안사고가 발생할 가능성이 더더욱 높아진다. 최근 유럽에서 기존의 개인정보호 지침보다 강화된 GDPR (General Data Protection Regulation)의 제정을 통해 개인정보보호를 강화하려는 움직임을 보이는 것도 이와 궤를 함께한다.

보안 미비는 필연적으로 해킹으로 이어지게 되는데, 해킹으로 인한 사회적 파장과 경제적 손실 등이 매우 극심 할 것이다. 이러한 예상 문제점을 보완하지 못한 중요한 금융정보가 흐르는 내부 전산망을 외부 인터넷 망과 분리하는 방법이다. 망 분리를 하는 방법은 여러 가지 있으나, 본고에서는 논의상 편의를 위하여 물리적으로 분리하는 방식(자사 내부 망에 연결된 PC와 인터넷 망에 연결된 PC를 따로 두는 방식)을 가정하겠다. 다면 핀테크 서비스 자체에 대한 불안과 불신이 생기고 이는 금융산업 전반에 대한 혼란으로 이어질 것이므로, 보안이 최우선 선결과제임이 분명하다. 실질적으로 소비자들로 하여금 핀테크 서비스로의 진입을 주저하게 만드는 가장 큰 장애물은 간편성 이면에 예상되는 보안상 취약함에 대한 걱정이다.

결론적으로 핀테크 시대를 준비하는 필수 자세는 바로 보안에 대한 직시와 역량의 집중이다. 현 시점에서 우리나라의 핀테크 보안은 어디에 위치하며, 어디를 향해 나아가야 할 것인가를 검토해야하며, 이를 위해서는 먼저 현재 우리나라 핀테크 업체들 에게 적용되고 있는 보안 규제들을 살펴보고자 한다.

본래 핀테크란 IT와 금융이 융합된 형태의 산업이다 보니, 규제 역시 전통적인 금융업에 적용되던 규제들과 더불어 IT에 적용되는 규제들까지 중첩적으로 적용 받고 있어서 활동에 많은 제약이 따르는 실정이다. 금융당국도 이러한 문제를 해결하기 위해 나름의 방책을 강구해 오고 있으며 그 노력으로 보안프로그램 설치 폐지, 공인인증 서 사용의무 폐지 등으로 이어졌으나, 단지 몇몇 규제를 완화하는 정도의 소극적인 자세로는 충분하다고 보기는 어렵다. 이유인즉, 우리나라는 사전규제 방식을 취하고 있으며, 법률상에 가능한 금융행위를 나열하는 소위 ‘Positive’ 방식을 사용하고 있다. 따라서 이러한 방식 아래에서는 특정 금융행위를 가능하게 하기 위해서는 오히려 추가적인 입법이 필요한 방식이다. 이는 핀테크 산업의 경우에도 마찬가지이다. 입법과정은 그 자체로 오랜 시간이 필요할 뿐더러, IT와 금융이 접목되어 있는 핀테크의 특성상 관련부처 간의 이해관계 충돌의 문제로 입법 상에 더욱 많은 시간을 요함이 자명하다. 이는 곧 핀테크 산업의 추진력과 경쟁력 저하를 초래할 수 밖에 없게 된다. 새로운 사업 모델을 시도하려 해도 넘어야 할 규제가 첩첩이며, 만일 규제를 넘었다 하더라도 시행을 담보할 수 없을 것이며, 암초가 산재해 있는 실정인 셈이다. 더불어 금융기관 이외에도 플랫폼 사업자, 핀테크 업체 등이 금융시장에서 활약해야 할 것인데, 기존의 금융규제 시스템은 매체분리 원칙 폐지, 보안프로그램 설치 의무 폐지(2015.2.), 공인인증서 사용의무 폐지, 인증방법평가위원회 폐지, 국가기관 인증 정보보호 제품 사용의무 폐지(2015.3) 등 정부가 금융업 허가를 내준 후 사전 규제와 감사를 통해 해당 금융 기관을 중심으로 규제하는 전통적 규제방식으로는 이들을 효율적으로 규제하기는 용이하지 않다. 이러한 점 에서 핀테크 산업 육성을 위해서 그 선결과제로서 보안 규제상 의 쇄신과 능동적 변화가 필요하다고 할 것이며, 이를 중점적으로 검토해 보고자 한다.

전통적 규제방식에서 탈피하여 이슈 중심의 규제방법을 택해야

사업 주체에 대한 개별 규제를 탈피 전통적인 금융규제 법제하에서는 금융업을 허가제로 하여 금융기관 등을 중심으로 규제하였다. 그러나 핀테크 시대에는 수많은 인터넷 플랫폼 사업자들이 금융서비스의 플랫폼으로 기능할 것이고, 금융감독 당국이 수 많은 플랫폼 사업자들을 일일이 사 전 규제한다는 것은 매우 비현실적이며, 사실상 불가능에 가깝다. 따라서 이제는 전통적 규제방식에서 탈피하여 금융시장에서 특정한 종류의 문제가 발생했을 때에 이를 규제하는 이슈 중심의 규제방법을 택하는 것이 적절하다.

금융서비스는 보편적 서비스가 될 것으로 금융업을 수행하는 전통적 금융회사가 제공하는 서비스에서 플랫폼사업자가 직접 또는 금융회사가 플랫폼 사업자를 통해 플랫폼 이용고객들에게 서비스하는 모습을 띄기 때문이다. 금융감독 당국은 공정거래위원회처럼 특정 산업 군이 아닌 모든 인터넷 서비스사업자들이 금융서비스를 할 때 적용될 규제를 만들고 이를 해석하는 광범위한 권한을 오히려 갖게 된다.

기술중립성 확보 공인인증서의 사용 의무화가 문제 되는 이유

기술중립성(Technology Neutrality)확보 공인인증서의 사용 의무화가 왜 문제가 되는지 되짚어 보자. 공인인증서는 실질적으로 PKI(Public Key Infrastructure)를 기반으로 한 하나의 보안솔루션에 지나지 않는 것인데, 정부가 전자상거래시(1997. 7.), 인터넷 뱅킹시(2002. 9.), 온라인 증권거래시(2003. 3.)에 이의 사용을 의무화하였다. 본래 기술 중립성이란 ‘특정 기술 또는 서비스의 사용을 강제하지 않는것’을 의미하는데, 대표적으로 기술중립성에 반한 사례가 바로 이러 한 ‘공인인증서’의 의무적 사용이라 할 것이다. 정부에서 하나의 기술의 적용을 강요한 결과, 기술간의 경쟁 은 도태되었고, 공인인증서의 보안 수준은 개선되지 않았고, 결국 ‘공인인증서 파일’과 ‘공인인증서 암호’가 해킹 당하기만 하면 속수무책으로 당할 수밖에 없게 된다.
다른 관점에서 보자면 보안기술 영역이 무경쟁 상태에 놓여있으므로 대체할 다른 기술이 개발될 여지도 없었다는 문제 점이 있다. 공인인증서 사용 의무 규정과 보안프로그램 설치 강제 규정이 폐지된 현 시점에서도 대다수 금융기관들이 여전히 기존의 방식대로 공인인증서를 사용하고, ‘nProtect’나 ‘Ahnlab Safe transaction’ 등 보안프로그램 설치를 강요하고있는 실정이다.

미국의 경우에는 사기거래탐지기술인 FDS(Fraud Detection System)가 도입되어 사용자에게 보안프로그램 설치 의무를 떠넘기지 않는다는 점이 양국의 관점과 가치관의 차이를 극명히 보여주는 지점이다. 정부가 특정기술을 법으로 정해 강요하는 방식은 다양한 플랫폼 사업자들이 정보보안을 더욱 잘 할 것이라는 점에서도 더 이상 타당하지 않다. 핀테크 보안에 대해서는 ‘사전적 규제’에서 ‘사후적 규제’로의 전환으로 변화시킬 필요가 있다.

온라인 서비스에 있어서는 정보보안이 선택이 아닌 필수다 보니 핀테크 업체가 자발적으로 보안 기술을 발전시킬 능동적이고 적극적인 동기부여가 되는 셈이기때문이다. 따라서 전통적인 규제 방식은 사전적 규제를 굳이 고집 할 필요는 없어 보인다. 핀테크 산업의 자율적인 생성, 발전, 소멸 과정에서 ‘보이지 않는 손’이 보안 솔루션을 우수하게 배양시킬 수 밖에 없으며, 플랫폼 사업자들은 온라인 정보보안에 있어서 훨씬 뛰어 난 보안수준을 갖추게 되므로 금융당국이 사전적으로 설계한 보안수준이 오히려 보안수준을 약화시킬 수도 있다.

금융당국의 미래 지향적인 변신 규제의 방식이 변화 한다면, 금융당국의 성격도 부수적으 로 변화되는것이 마땅할 것이다. 기존의 금융보안당국이 Supervisor 역할을 해왔다면, 이제는 Supporter로서의 역할을 하는것이 필요한 시점이라고 봐야 할 것이다. 중국의 경우 2015년 8월 ‘국가 핀테크 보안기술 전문가 위원회(National Committee of experts on the Internet financial security technology)’를 설립했다. 이 곳을 중심으로 인터넷협회, 중국핀테크협회 등이 핀테크 기업을 일정 부분 감독하고, 그와 동시에 기업들이 필요로 하는 기술지원을 제공하고 있다. 감시자의 역할 보다는 조력자의 역할이 핀테크 산업의 본질적 성격에 더욱 부합할 것이며, 이를 바탕으로 한 산업의 발전이 더욱 촉진될 것으로 예상 할 수 있다.

핀테크 산업의 키워드는 ‘금융회사의 해체를 통한 금융서비스의 온라인 서비스화’

핀테크 산업의 가장 축약적인 키워드는 ‘금융회사의 해체를 통한 금융서비스의 온라인 서비스화’다. 석기시대에서 청동기 시대로 넘어가는 대격변의 시점이 있었듯, 산업의 근간을 근본적으로 변화시키고 개혁하여야 하는 시점에 우리는 지금 서 있다. 이 변화의 물결에 잠식당하지 않기 위해서는 우리 역시 변화해야 하고, 그 결과에 따라 미래세계금융의 중심지가 될 수 있고, 이의 주도권을 가질 수도 있다. 역사가 늘 그러했듯이, 위기는 기회의 이면이므로 천재일우를 놓치지 않고자 한다면 기존의 전통적인 산업규제에서 탈피하여 핀테크 산업의 체질을 튼튼히 하는데 역량을 집중해야 한다. 이 파도를 슬기롭게 타고 넘는다면, 인터넷 속도만 빠르고, 무제한 와이파이만 제공되는 인프라만 강국인 껍데기 IT강국이 아니라, 내실이 튼튼한 진정한 핀테크 산업 강국으로 거듭날 것 이고, 이를 진정으로 고민하고 즉각 실천에 옮겨야 할 갈림길에 서 있음을 잊지 말아야 한다. 금융감독 당국과 금융회사들의 근본적 인식의 변화를 촉구한다.

Comments

WT16_Ad-Banner-728x90px