[이슈분석]스크래핑 보안취약 쟁점 놓고 의견 분분

지난달 금융위원회는 '금융분야 마이데이터 산업 도입방안'을 발표했다.

흩어져 있는 개인 신용정보를 한번에 조회하는 '내 손안의 금융 비서'를 만들겠다며 여러 계획을 보고서에 담았다.

그 중 논란이 된 부분이 '스크래핑 기술 금지'다. 금지 이유로 실제 해킹 사례를 언급하며, 스크래핑 기술을 매우 위험한 보안 취약 기술로 분류했다.

금융위는 실제 보도자료를 통해 지난 2015년 10월 스크래핑 관련 해킹 사고가 발생했다고 해당 내용을 공개했다.

호주 멜버른에 위치한 한 회계법인의 스크린 스크래핑 소프트웨어가 해킹 당해 고객 및 직원 1600명에 대한 성명, 주소, 생년월일 등 개인정보 뿐 아니라 계좌 상세 내역 등 금융정보가 모두 유출됐다는 것이다.

이 같은 보안 취약점을 근거로 스크래핑 기술이 정보 유출 우려가 있고 피해가 확산될 가능성이 크다는 입장을 밝혔다.

반향은 컸다. 스크래핑 기술이 해킹의 수단이 될 수 있다는 부정적 여론이 형성됐고, 그간 스크래핑 사업을 하거나 이용했던 기업은 정보를 불법으로 다루는 이상한 기업으로 전락했다.

[이슈분석]스크래핑 보안취약 쟁점 놓고 의견 분분

◇금융위 발표, 스크래핑 SW 해킹 사례는 '거짓'

전자신문이 해당 해킹 사건을 역추적했다. 진짜 스크래킹 기술이 해킹당했는지 궁금했다.

결과적으로 금융위 발표는 사실과 달랐다.

확인 결과, 스크래핑 소프트웨어(SW)가 해킹당한 것이 아니라 Xero사(뉴질랜드 본사, 글로벌 회계서비스 제공업체)에서 제공하는 급여 서비스를 이용중인 회계사무소의 Xero 계정 및 비밀번호가 피싱으로 인해 탈취된 것으로 드러났다.

해당 회계사무실에서 관리하는 고객 직원 1600명의 성명, 주소, 생년월일, 세금파일번호, 은행계좌 상세, 소득, 멤버십번호 등 개인정보 및 금융정보가 탈취된 사건이다.

2015년 10월 26일자 현지 언론인 ARN from IDG도 해당 내용을 다뤘다. Xero사 보안팀이 피싱 공격으로 인한 사고를 추적하고 있다고 보도했다. 시드니 모닝 헤럴드도 기사를 통해 침해당한 회계SW 제작사 Xero는 몇몇 사용자가 피싱 사기 목표가 됐고, 해당 침해를 고객에게 알렸다는 내용의 기사를 보도했다.

즉 금융위가 확인도 제대로 되지 않은 사례를 금융분야 마이데이터 산업 도입방안에 기입하고, 이를 배포하면서 혼란을 초래했다. 일각에서는 스크래핑 대체 기술로 부상한 API 진영에서 금융위 자료를 대신 작성했다는 의혹까지 제기되는 상황이다.

◇스크래핑 해킹 0건, 인증 보안 정말 문제 있을까?

관련업계는 금융당국이 오픈 API 기술 활용을 높이기 위해 있지도 않은 보안 취약점을 억지로 끼워 맞췄다고 지적한다.

현재 스크래핑 기술에 대한 관리 규정은 꽤 엄격하다.

국내 스크래핑 사업자는 금융정보중계업으로 분류, 본인신용정보관리업과 동일기준을 적용받는다. 또 등록된 엔진에서만 정보를 수집하고, 금융감독원이 스크래핑 서비스에 대한 관리감독권을 갖고 있다.

관련업계 보안 관계자는 “기업은 자체 전산시스템 내에서 스크래핑을 운영하기 때문에 인증정보 저장에 따른 정보보호·보안 위험은 현저히 낮다”며 “기업 인터넷뱅킹에서도 계좌별 접근 권한 체계를 제공하고 있어 부당한 정보 조회로 금융사고가 발생할 확률은 거의 없다”고 설명했다.

따라서 기업 스크래핑 이용 자체를 규제하기 보다는 미국과 일본처럼 화이트 리스크 운영(등록된 엔진에서만 정보 수집), 전자결제 등 대행업자로 등록된 기업에 한해 사업을 할 수 있는 등록제 도입이 필요하다고 입을 모았다.

이미 2000만명 이상 스크래핑 기술을 근간으로 한 다양한 핀테크 서비스를 이용하는 상황에서 전면 금지 규제는 국가 산업에 막대한 악영향을 초래할 수 있다고 경고했다.

금융 API가 도입되더라도 스크래핑 기술을 대체하는 데 상당한 시간이 소요되고 막대한 투자비가 드는 것도 감안해야 한다고 부연했다.

한국 스크래핑 기술력은 세계적으로도 인정받는다. 최근 네이버 라인도 스크래핑 기술을 활용해 해외 네트워크를 넓히는데 활용할 정도다.

해외업체들과의 역차별 및 해외 진출 기회까지 상실할 수 있다는 점도 고려해야 한다.

◇무조건 금지 보다 등록제 도입 등 최적 대안 제시해야

스크래핑 기술은 이미 국내 모든 산업계가 활용한다고 보면 된다.

우선 금융기관은 개인자산관리, 모바일뱅크 비대면 거래에 스크래핑 기술을 활용한다. KB국민은행 마이머니, NH농협은행 스마트자산관리, KEB하나은행 에셋플래너가 대표적이다.

카카오뱅크와 케이뱅크 등 인터넷전문은행은 물론 대부분 은행은 모바일뱅크와 비대면 대출에 스크래핑 기술을 집적화했다. 증권사와 보험사도 비대면 계좌개설, 비대면 보험계약, 심사 등 업무 자동화에 활용한다.

핀테크 스타트업도 스크래핑 기술을 핵심 플랫폼으로 사용한다. 간편결제, 모바일 자산관리, 가계부, 인슈어테크, P2P개인신용평가 등이다. 카카오페이는 물론 토스, 핀크, 뱅크샐러드, 브로콜리, 보맵, 레몬클립, 비욘드플랫폼, 8퍼센트 등 내로라하는 스타트업이 다양한 서비스를 스크래핑을 통해 제공한다.

공공 영역도 스크래핑 기술을 대거 적용했다.

은행계좌 실시간 조회와 증빙 자동화 영역에 사용한다. 국민건강보험공단, 주택금융공사, 산업기술평가원은 물론 국내 대학 대부분이 대상이다. 그외 삼성, 현대백화점, 롯데, 한진, 신세계, 풀무원 등 대기업 또한 기업자금관리 서비스와 증빙자동화 영역에 스크래핑 기술을 활용하고 있다. 1만여개 이상 중견·대기업이 포함된다.

이를 일시에 걷어낸다는 정부 계획이 현실성이 없다는 지적이 나오는 이유다.

무엇보다 정부가 해당 기술 금지를 현실화 할 경우, 해외로 스크래핑 서비스를 확대하고 있는 국내 기업들의 앞을 막아버리는 셈이 된다. 현재 30여개국, 2500개 금융기관에서 한국 스크래핑 기술을 활용한다. 우리 기업이 최고 경쟁력을 가진 첨단분야 해외 비즈니스를 정부가 나서 막는 것이다.

업계는 해외 사례처럼 체계적인 기술과 서비스를 제공할 수 있는 관리 기준을 정부가 먼저 만드는 것이 필요하다고 밝혔다.

길재식 금융산업 전문기자 osolgil@etnews.com