유럽연합 GDPR시행 한달 앞, 10개 금융사 테스크포스 발족

ⓒ게티이미지
ⓒ게티이미지

5월 25일부터 한층 강화된 유럽연합(EU) 개인정보보호규정(GDPR)으로 금융권도 발등에 불이 떨어졌다. 사용자가 본인 데이터 처리 관련 사항을 제공받거나 열람, 정정할 수 있게 된다. 만약 개인정보 처리 원칙, 동의요건, 국외이전 등 심각한 GDPR 위반 사항이 발견되면 연간 매출 4%, 또는 2000만유로의 과징금이 부과된다.

GDPR은 데이터를 공개하는 일종의 방법론이다. 유럽은 이를 금융사가 오픈API형태로 제공하라는 가이드라인이 있다.

23일 금융권에 따르면 GDPR 대응 방안으로 오픈 API가 '대안'으로 부상하면서 국내 금융사 10곳이 금융보안원과 별도 협력체제를 구축했다.

NH농협은행, KEB하나은행, 우리은행, 부산은행, KB금융지주, 신한금융지주, JB금융지주, 한국투자증권, 신한카드, 삼성카드 등 10개 금융사는 금융보안원과 '금융권 개별 오픈 API 지원 테스크포스(TF)'를 발족했다. 지난 19일 1차 킥오프를 갖고 매달 정례 회의를 갖기로 했다.

이들 금융사는 금융 API통합 보안지침을 조속히 만드는데 합의했다.

개별 운영하는 API를 통합해 운용하고, 이에 맞는 통합 지침을 제정하겠다는 것이다. 주관은 금융보안원이 맡는다.

TF에 참여한 관계자는 “약 5번의 회의를 거친 후, API관련 보안점검 가이드라인을 제정할 계획”이라며 “지침 범위나 구체적인 수준은 현재 논의 중”이라고 말했다.

그간 은행 등 개별 금융사는 API를 선보였지만 금융사간 연동이 되지 않아 문제가 많았다. GDPR 대응을 위해서도 통합 가이드라인이 절실한 상황이다.

현재까지 API보안지침은 금융보안원과 농협은행이 총 33개 항목을 규정한 기준이 유일하다.

TF는 우선 은행 API가이드라인을 일원화하는 방안을 추진한다.

통합 보안지침 제정되면 금융 서비스 기업은 사업 완결성과 추진동력에 힘을 받을 것으로 보인다. 최근에는 인터넷전문은행까지 API 연동을 검토하고 있어 IT기반 기업의 API사업 기회가 늘어날 전망이다. 중장기로는 최근 정부가 발표한 '신 데이터산업 육성 방안'에 적극 기여한다는 목표를 수립했다.

정부는 법·제도 제약으로 정보 분석 수요에 대응할 수 있는 데이터 생태계 조성을 위해 3대 추진 전략과 10대 과제를 선정했다. 우선 금융 분야를 빅데이터 테스트베드로 추진한다. 데이터 활용 가치가 높은 금융 분야에서 빅데이터 활성화를 이끌겠다는 전략이다.

빅데이터 분석과 이용을 위한 명확한 법률 근거를 마련한다. 익명성 정보와 가명처리 정보는 사전 동의 등 정보 보호 규제를 대폭 완화한다.

이 부분이 GDPR 항목을 해결할 수 있는 대안이 된다. 이 부분까지 TF에서 해법을 제시한다.

이와 별개로 ETRI를 통해 API표준화 작업도 추진한다.

길재식 금융산업 전문기자 osolgil@etnews.com