마이데이터(본인신용정보관리업) 사업자 선정을 앞두고 본허가를 득한 사업자가 반드시 거쳐야 하는 기능적합성 심사와 시스템 보안취약점 점검 심사 업무에 병목현상이 발생, 자칫 서비스 출시가 지연될 수 있다는 우려가 제기됐다. 오는 8월 4일 마이데이터 정식 시행일에 맞춰 서비스를 출시하려는 기업 수요가 대거 몰리고 있어 당분간 혼선이 불가피할 것으로 예상된다.
19일 업계에 따르면 다음 주 2차 마이데이터 사업자 신청에 상당한 기업이 몰릴 것으로 예상됨에 따라 기능적합성 심사와 보안취약점 점검 업무에 과부하가 우려된다.
2차 사업자 신청에는 주요 대형 증권사와 지방은행·보험사·캐피털·카카오뱅크를 비롯한 핀테크 기업이 대거 참여할 것으로 전망된다. 1차 사업자는 마이데이터와 비슷한 서비스를 제공해 온 업체를 우선 접수했지만 2차부터 전체 업권 대상으로 확대했다.
마이데이터 2차 사업자 허가 신청 접수는 오는 23일 시작한다. 이후 매월 마지막 금요일에 정기 접수를 진행, 후속 사업자는 더욱 늘어날 것으로 전망된다.
금융당국은 병목 현상 해결을 위해 이른바 심사 패스트트랙도 검토하고 있다.
사업자 심사에 걸리는 시간을 단축하기 위해 설비와 인력 등을 모두 갖췄다고 자체 판단하는 업체는 예비허가를 생략하고 곧바로 본허가를 신청할 수 있도록 제도를 완화했다. 통상 예비허가 심사에 약 2개월이 걸리는데 이를 건너뛰고 본허가 심사로 직행할 수 있도록 한 것이다. 본허가 심사는 약 1개월 소요된다.
문제는 사업자 자격을 획득한 후 의무적으로 거쳐야 하는 보안취약점 점검과 기능적합성 심사에 신청 기업이 몰림으로써 서비스 출시가 지연될 가능성이다.
기능적합성 심사는 안정적인 마이데이터 서비스를 위해 신용정보법령상 행위규칙 준수 여부, 표준API 규격 적합성 등을 서비스 출시 이전에 확인하는 절차다. 정보전송요구, 정보조회 등 총 4개 분야에서 19개 항목을 심사한다. 서비스 출시 후에는 주요 기능 변경 때마다 수시로 심사를 받아야 한다. 심사에 걸리는 기간은 통상 2~3주가 필요한 것으로 알려졌다.
마이데이터 서비스 시스템에 대한 보안취약점 점검도 반드시 이행해야 한다. 응용프로그램, 데이터베이스(DB), 웹서버 등 5대 분야에서 375개 항목을 점검한다. 마이데이터 사업자가 금융보안원 또는 27개 외부 평가전문기관 가운데 선택해서 점검을 받을 수 있다. 전자금융감독규정 제37조의2에 따라 취약점검 자체전담반을 보유한 기업은 직접 보안취약점 점검을 수행해도 된다. 기간은 일주일 정도 걸린다.
현재 마이데이터 준비 기업이 우려하는 것은 기능적합성 심사다. 금융보안원만 가능한 업무여서 보안취약점 점검처럼 다른 외부 평가전문기관을 이용할 수 없다.
금융보안원은 이달 말 기능적합성심사 준비를 마치고 다음 달 초부터 업무를 시작할 계획이다. 개발이 끝난 마이데이터 서비스를 대상으로 심사해야 하는 만큼 아직 1차 사업자 가운데에서 심사를 신청한 곳은 없다.
문제는 2차 사업자 선정 발표가 7월 중순 이후로 예상되는 만큼 마이데이터 정식 시행일 이전까지 기능적합성 심사를 완료하려면 기간이 빠듯하다는 점이다. 통상 심사에 일주일이 걸리지만 신청기업이 몰리면 서비스 시행 날짜를 기약 없이 기다려야 하는 상황도 감안해야 한다.
당장 이에 대한 뚜렷한 대책은 전무하다. 금융보안원은 기능성적합 심사는 최대한 외부 전문기관으로 신청을 분산하도록 유도할 방침이다. 가장 큰 문제인 보안취약점 점검은 사전 수요조사를 실시, 특정 기간에 심사 신청이 몰리지 않는 방안을 강구하고 있다.
금융보안원 관계자는 “아직 1차 사업자 심사가 시작되지 않았고, 2차 사업자와 심사 기간이 중복될 공산이 있어서 일정 조율을 고려하고 있지만 구체화 방안은 확정되지 않았다”면서 “추가 인력을 투입하는 등 최대한 병목현상을 완화하려고 한다”고 말했다.
배옥진기자 withok@etnews.com
