[이슈분석]해커 표적된 `핀테크 산업`...보안 대책 `뒷전`

간편결제로 촉발된 핀테크 붐이 확전 양상이다. 금융권과 IT기업이 합심해 장밋빛 핀테크 비즈니스에 동참하며 산업 진흥에 나서고 있다. 하지만 핀테크산업 이면에는 새로운 보안 취약점이 도사리고 있다는 우려도 공존한다. 간편결제 같은 ‘핀테크 혁신’을 이끌어내려면 사이버 보안을 한층 강화해야 한다는 지적이다.

[이슈분석]해커 표적된 `핀테크 산업`...보안 대책 `뒷전`

◇한국인 70% 이상 “모바일 결제 위험하다” 인식

한국은행이 최근 국내 지급수단 이용형태를 조사한 결과 인터넷 결제를 사용하지 않는 사람 72.3%가 정보유출 가능성과 보안문제를 우려하고 있다. 특히 모바일 결제에서는 정보유출 및 보안 우려를 미사용 이유로 꼽은 비율이 78.3%나 됐다.

정부가 지급결제시장 혁신을 위해 보안 규제를 사전인증제에서 사후확인제로 전환하기로 한 것과 관련, 보안 시스템 구축과 피해보상 비용 부담이 증가할 가능성도 제기된다.

세계적으로 핀테크산업은 황금기를 맞이했다.

컨설팅업체 액센츄어에 따르면 세계 핀테크 투자는 2008년 1조원에서 5년 만에 3조원 규모로 폭증했다. 2018년에는 8조원 규모로 늘어날 전망이다.

2007년 아이폰 등장으로 촉발된 혁명이 모바일 결제 등 핀테크산업을 이끄는 단초가 됐다. 여기에 쉽게 개발이 가능한 오픈소스 소프트웨어와 고가 장비 없이 자원 사용이 가능한 클라우드 기술도 핀테크 스타트업 발전을 가져왔다.

이제 금융사 지점을 통해서만 취급할 수 있던 다양한 금융상품, 서비스가 통신사나 유통업체, IT업체에서 취급하는 상품으로 변모하고 있다.

정부는 핀테크산업 육성을 위해 다양한 규제를 풀었다. 보안성 심의와 인증방법평가위원회를 폐지해 자체적으로 보안성 심의 후 서비스를 하도록 했다. 공인인증서 사용, 전자금융거래 매체분리, 국가기관 인증 제품 사용 등 과잉규제로 분류됐던 족쇄도 과감히 폐지했다. 진흥책으로는 핀테크지원센터 설립과 전자금융업 진입장벽 완화, 인터넷전문은행 설립 등도 함께 추진했다.

하지만 일련의 규제개혁이 자칫 핀테크 진흥에만 초점이 맞춰져 제2 금융보안 사고를 촉발할 여지가 있다는 지적도 나온다.

◇각종 규제 철폐, 이를 보완할 핀테크 보안 대책 절실

핀테크가 새로운 서비스를 제공하는 만큼 다양한 사업자가 존재하고 거래 형태도 다변화되고 있어 보안사고에 노출될 우려가 있다. 한국 핀테크 상징으로 여겨지는 간편결제와 인터넷전문은행 같은 서비스는 온라인으로 본인을 인증하고 개인정보를 교환한다. 별도 보안 가이드라인이 없으면 해커 먹잇감이 될 공산이 크다. 핀테크 위협요소는 본인인증, 정보유출, 시스템 마비, 부정거래 등 헤아릴 수 없이 많다.

핀테크 보안사고를 사전 예방할 수 있는 방안을 보완해야 한다는 지적이다. 여기에 보안사고 발생 원인에 따른 책임 소재를 명확히 할 법체계 개편이 절실하다.

이건범 한신대 교수는 “개인정보 보호와 지급결제 시스템 안정화는 지급결제 수단과 인증 방식을 보완하는 것만으로는 해결할 수 없는 문제”라며 “지급결제시스템 참여자와 결제수단을 전반적으로 포괄하는 정보보호 대책 수립이 필요하다”고 제언했다.

현재 지급결제제도 운용과 금융안정은 중앙은행이, 금융산업 선진화와 금융시장 안정 책임은 금융위원회와 금융감독원이 맡고 있다. 통신산업은 미래창조과학부 관할이다. 하지만 정부부처조차 일관성 있는 정책이 없는 상황이다. 보안 대책도 마찬가지다. 유관 당국의 원활한 협조와 장기적인 비전 공유가 필요한 시점이다.

규제개선 과제 중 하나인 공인인증서 의무사용 폐지와 같은 전자상거래 불편 해소는 1년 사이 간편결제 규모를 두 배 이상 증가시켰다. 규제개선을 바탕으로 금융산업 활성화에 가시적인 성과를 보여줌으로써 많은 금융 소비자가 규제개선 혜택을 직간접으로 체감하고 있다.

그동안 번번이 무산됐던 인터넷전문은행도 비대면 실명확인 허용 등 획기적인 규제완화에 힘입어 올해 안에 가시적인 성과가 나타날 것으로 기대하고 있다.

8월 말 기준 2015년 전자금융업 신규등록 건수가 이미 2014년 전체 신규등록 건수의 두 배에 달하고 있으며 핀테크산업 육성을 위한 금융당국 정책의 가시적인 성과라고 볼 수 있다.

이는 다시 말해 보안이 금융서비스 보편적 가치에서 차별적 가치를 갖고 있음을 의미한다. 내년 본격 시행 예정인 계좌이동제로 인해 정보유출 등 보안사고 시 금융소비자 이동이 더욱 가속화될 것으로 전망된다.

◇적극적인 보안 투자만이 핀테크 성공의 길

핀테크 보안 강화를 위해서는 참여사의 적극적 보안 투자가 선결과제다. 한국은행 최근 보고서에 따르면 금융회사 보안 투자 규모는 금융당국 권고안인 IT예산 7%를 뛰어넘는 약 5670억원(10%)에 달한다. 글로벌 핀테크기업과 경쟁하며 소비자 신뢰와 선택을 얻어내기 위해서는 금융당국 가이드라인 준수를 위한 예산편성이 아닌 보안 인프라 확보를 위한 실질적 예산을 편성해야 한다.

내부 IT 보안감사제도 활성화로 스스로 보안수준을 지속적으로 진단하고 향상시키고자 하는 노력도 뒷받침돼야 한다. 규제완화가 되긴 했지만 금융당국 감독과 검사에 따른 타의적인 조치로는 경쟁력 있는 보안수준 확보가 불가능하다. 금융회사 자체 내 위협을 지속적으로 탐지, 개선할 수 있는 내부 IT 보안감사 프로세스 확립이 필요하다.

아울러 보안 역할을 정보보호최고책임자(CISO)뿐만 아니라 CEO, 정보관리최고책임자(CIO), 감사부서 등으로 배분시키고 보안사고 발생 시 최종 의사결정권자인 경영진 차원에서 신속한 대처와 의사결정이 가능하도록 자율보안 거버넌스 체계 확립이 필요하다. 핀테크산업은 명확한 보안지침과 가이드라인이 전무한 상황이다. 조직적 보안사고 대응이 불가능하다는 것이다.

금융은 소비자 신뢰를 얻을 때에만 진정한 혁신을 이루고 핀테크산업 불씨를 우리 경제 신성장동력으로 만들 수 있다.

시스템상으로는 PCI-DSS(Payment Card Industry-Data Security System)와 FDS(Fraud Detection System) 고도화가 필요하다. PCI-DSS는 카드사나 지불결제(PG)사가 어떻게 자체 시스템 보안을 갖출 것인지를 정의해 놓은 업계 표준지침이다. 우리나라에서도 발 빠른 몇몇 업체가 이미 인증을 받았지만 핀테크 비즈니스에서 이 지침을 따르는 곳은 많지 않다.

PCI-DSS 인증을 받았다고 해서 완벽한 보안이 되는 것은 아니다. 정보유출이 꼭 시스템에서 일어나는 것만은 아니기 때문이다. 중요한 것은 글로벌 환경에서 세계 표준에 맞게 보안 시스템을 구축하지 않으면 핀테크산업은 해커 놀이터가 될 공산이 크다는 점이다. 이와 함께 FDS 구축도 선결과제다.

FDS는 간편결제 전제조건이다. 지난해 초 발생한 카드사 정보유출도 따지고 보면 각사가 FDS를 구축하다가 발생한 사건이다. 대부분 카드사가 FDS를 구축해 놓고 있지만 전문적 운영이 더 중요하다. 고객 결제정보를 축적해 분석하고 패턴을 만들어 관리해야 한다.

길재식기자 osolgil@etnews.com