금융위원회와 금융보안원이 올해 말까지 민간 금융보안기술 평가체계 구축에 관한 연구를 진행한다. 이에 따라 내년에 전문기관에 의한 민간 금융보안기술 검증방안이 나오게 될지 주목된다.

31일 금융권에 따르면, 금융위와 금보원은 최근 민간 금융보안 및 인증 기술평가 시스템 구축방안 연구를 시작했다.

연말까지 두 기관은 국내외 금융보안 기술평가 시스템 구축사례를 분석하고 기술평가 시스템 구조, 기술평가 기관의 역할, 기술평가 기관 관리 및 감독 방안, 공신력 확보 방안 등 금융권 기술평가 시스템 구축 방안을 마련할 방침이다. 전자금융거래법 등 국내의 관련 법제의 개선 필요 사항도 함께 연구한다.







금융위가 민간 금융보안기술 검증방안을 만들려고 하는 것은 금융규제 개혁 후속 조치의 일환으로 해석된다. 금융위와 금융감독원은 지난해 1월 핀테크 산업 활성화를 위해 '보안성 심의'를 폐지한다는 규제 완화 정책을 발표하고 그해 6월 폐지했다.

금융 보안성 심의는 금융회사들이 금융보안기술, 핀테크 기술 등을 쓰기에 앞서 금융당국이 보안을 검증하는 제도였다. 이 제도는 금융 IT서비스의 보안과 안전성을 높여주기는 했지만, 보수적인 검증으로 인해 과도한 규제라는 지적이 있었다. 특히 핀테크 산업이 주목 받으면서 새로운 서비스 창출에 걸림돌이 될 수 있다는 주장이 많아 폐지됐다. 금융당국은 보안성 심의 폐지 후 민간 자율로 보안을 강화하는 방안을 추진하고 있다.

이에 따라 금융회사들과 핀테크 기업들은 자체적으로 보안을 검증하고 판단, 선택해 보안기술과 핀테크 서비스를 도입할 수 있게 됐다. 하지만 일각에서는 서비스 공급자와 사용자의 자체 검증에 대해 반신반의하는 시각이 있다. 또 금융회사와 핀테크 기업이 자체적으로 보안 검증체계를 만들어 검증하는데 부담을 호소하는 사례도 있다.

이런 상황을 고려해 금융위는 민간에 제3자에 의한 금융보안기술 검증방안을 마련해 민간 자율 보안체계의 허점을 보완하려는 것이다.

금융위 관계자는 “다양한 핀테크와 금융보안기술이 사용될 수 있도록 보안성 심의 등이 폐지되고 사후 신고로 대체됐다. 대형 은행 등 일부 금융회사들은 자체적으로 할 수 있지만 작은 금융회사들과 핀테크 업체들에게는 검증체계를 갖추고 검증하는 것이 부담이 될 수 있다”며 “민간 차원에서 3자가 검증을 전문으로 해주면 부담을 줄여줄 수 있을 것”이라고 말했다.

금융보안원 관계자도 “핀테크, 금융보안기술에 대한 규제가 완화되면서 자율성이 높아졌지만 워낙 많은 제품이 있고 금융회사들이 이를 어떻게 검증해야할지 고민하고 있다”며 “이에 따라 검증을 어떻게 하는 것이 좋을지 연구하는 것”이라고 말했다.

금융위는 12월 중순까지 연구를 완료한 후 결과를 내년도 정책에 반영할 것으로 보인다. 이에 따라 내년 중 새로운 금융보안기술 검증방안이 나올 것으로 예상된다. 공통평가기준(CC) 인증, 웹접근성 인증 등 다른 검증 사례로 볼 때 새 방안은 제3의 전문기관이나 전문기업이 검증을 해주는 방식이 될 것으로 보인다. 금융당국이 민간, 공공 등에서 금융보안기술 검증을 해줄 수 있는 기관들을 지정하거나 신고를 받아 관리할 가능성도 있다.

다만 새 방안이 나와도 그 검증은 금융회사들의 선택 사항 중 하나가 될 가능성이 높다.

금융위 관계자는 “민간 검증 시스템을 만들어 이를 이용할 곳은 이용하고 또 자체적으로 검증을 하려는 곳은 그렇게 할 수 있도록 할 것”이라고 말했다.

[테크M = 강진규 기자(viper@techm.kr)]