금액-신용도따라 보안수준 차별화… 금융거래 효율성 높여

  • 동아일보
  • 입력 2015년 2월 12일 03시 00분


[핀테크시대 정보보안]<4>선진국 시스템에서 배울점

미국의 핀테크 기업인 빌가드는 고객의 위치를 추적해 신용카드가 부정 사용된 징후가 있으면 이를 바로 통보하는 서비스를 제공한다. 소비자의 활동 지역이나 구매 패턴을 분석해 평소와 전혀 다른 곳에서 엉뚱한 물건을 사면 이를 걸러내 알려주는 방식이다. 빌가드는 지난해 말까지 수십억 달러의 카드 결제 내용을 모니터해 이 가운데 6000만 달러(약 660억 원) 상당의 수상한 거래를 적발하는 실적을 올렸다.

미국 영국 등 ‘핀테크 선진국’에서는 이처럼 금융거래에 있어 사후(事後) 보안 시스템이 세밀하게 구축돼 있다. 핀테크 업계에도 빌가드와 같이 첨단 기술을 활용해 소비자의 금융 보안을 지켜주는 기업이 많다. 이런 효율적인 보안 체제는 사전적인 보안에 치중해 획일적이고 딱딱한 규제를 강요하는 한국에도 시사점을 준다는 지적이 많다.

○ 상황이나 고객 특성에 따라 유연한 보안 체제

선진국의 금융 보안 시스템은 한국보다 훨씬 융통성 있고 유연한 게 특징이다. 우선 소비자의 편의를 위해 금융거래를 할 때는 보안 절차를 완화하는 대신 사후에 부정·사기 거래를 찾아내고 문제를 걸러내는 방식을 쓴다. 예를 들어 평상시와 다른 예외적인 구매행위가 일어났을 경우 카드사에서 “당신이 산 게 맞느냐”고 ‘2차 확인’ 절차를 거치는 식이다. 매번 공인인증서의 비밀번호를 누르고 보안 프로그램을 작동시켜야 하는 한국의 결제 시스템보다 더 효율적이다.

이 같은 유연한 보안 체제는 규제나 제도를 정부가 획일적으로 강제하지 않고 민간에서 자율로 정립했기 때문에 가능했다. 미국의 카드업계는 자율적 보안인증 체계인 ‘PCI-DSS’를 운영하면서 이 기준을 충족하지 못하는 기업들과는 사업 제휴를 맺지 않는 등의 강력한 진입 장벽을 갖추고 있다. 김종현 우리금융경영연구소 연구위원은 “금융거래는 간편하게 해주고 사후에 이상금융거래탐지시스템(FDS) 등을 동원해 점검하는 선진국 시스템이 ‘보안 강도’도 높은 편”이라며 “사후 보안을 높이기 위해서는 그만큼 비용이 수반되지만 간편 결제를 제대로 하기 위해서는 국내 금융사들도 이 방식을 따를 수밖에 없다”고 말했다.

선별적 선택적인 규제를 한다는 것도 국내와는 다른 점이다. 한국은 수십만 원 단위의 소액 결제·송금을 할 때와 수천만 원 단위의 고액 거래를 할 때 적용되는 보안 규제가 동일하다. 하지만 미국 유럽 등은 획일적으로 똑같은 보안 수준을 강요하지 않고 거래 규모나 고객의 신용도에 따라 규제를 차별적으로 집행한다. 조규민 금융보안연구원 정보보안본부장은 “일률적으로 같은 보안 체제를 갖추고 있는 우리와 달리 미국은 신용도 등 고객의 특성에 따라 보안 강도나 서비스를 다르게 하고 있다”고 말했다.

소비자에게 선택권을 부여하는 기업도 있다. 미국의 페이팔은 사용자에게 ‘일회용 비밀번호(OTP) 서비스’를 이용할지를 결정하게 한다. 만약 소비자가 유난히 보안에 대해 걱정이 된다면 소액의 수수료를 내고 이 서비스를 택하면 된다.

○ 규제는 자율로, 책임은 무겁게

미국의 유통업체 ‘타깃’은 2013년 말 약 7000만 명의 고객 정보가 유출되는 사고를 겪었다. 이로 인해 최고경영자(CEO)가 물러난 것은 물론이고 기업이 내야 할 벌금도 약 36억 달러(약 3조9000억 원)에 이르는 것으로 추산되고 있다. 이처럼 선진국은 보안 관련 규제는 그다지 정교하게 짜지 않지만 사고에 대한 책임은 무겁게 따지는 쪽을 택하고 있다. 민간의 자율 규제가 발달할 수밖에 없는 이유다.

인력과 기술 수준의 차이도 있다. 페이팔의 경우 사기 거래를 탐지하는 인력이 본사에 700명 이상이 있다. 금융거래를 할 때 본인 확인을 하는 기술도 선진국이 대체로 앞서 있다. 일본은 손바닥 정맥을 이용해 본인 인증을 하는 자동화기기(ATM)가 일반화돼 있고 호주의 일부 은행은 모바일뱅킹을 할 때 고객의 목소리 인증 방식을 쓴다. 이 같은 기술력 덕분에 이들 국가는 대면(對面) 본인 확인을 굳이 의무화할 필요가 없다. 현재 한국과 같은 금융실명법상 본인 확인 규정을 갖고 있는 나라는 주요국 중 독일 정도뿐이다.

금융당국은 이 같은 선진국의 보안 체계에 대한 연구를 마친 뒤 국내 실정에 맞는 대안을 내놓을 방침이다. 금융위원회 관계자는 “국내에서 어떤 핀테크 기업이 생기고 무슨 사업을 할지에 대한 연구가 끝난 다음에 그에 맞는 보안 시스템을 검토할 것”이라고 말했다.

핀테크 기업인 비바리퍼블리카의 이승건 대표는 “우리는 보안사고가 한 건이라도 나면 무조건 금융기관이나 당국이 무거운 책임을 지는 분위기여서 규제도 매우 딱딱하다”며 “크고 작은 보안 사고를 일일이 제재하지 말고 큰 틀에서만 원칙을 설정하는 식으로 패러다임을 바꿔야 한다”고 말했다.

유재동 기자 jarrett@donga.com
#보안#차별화#효율성
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0

댓글 0

지금 뜨는 뉴스

  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0