[핀테크시대 정보보안]<4>선진국 시스템에서 배울점
미국 영국 등 ‘핀테크 선진국’에서는 이처럼 금융거래에 있어 사후(事後) 보안 시스템이 세밀하게 구축돼 있다. 핀테크 업계에도 빌가드와 같이 첨단 기술을 활용해 소비자의 금융 보안을 지켜주는 기업이 많다. 이런 효율적인 보안 체제는 사전적인 보안에 치중해 획일적이고 딱딱한 규제를 강요하는 한국에도 시사점을 준다는 지적이 많다.
○ 상황이나 고객 특성에 따라 유연한 보안 체제
이 같은 유연한 보안 체제는 규제나 제도를 정부가 획일적으로 강제하지 않고 민간에서 자율로 정립했기 때문에 가능했다. 미국의 카드업계는 자율적 보안인증 체계인 ‘PCI-DSS’를 운영하면서 이 기준을 충족하지 못하는 기업들과는 사업 제휴를 맺지 않는 등의 강력한 진입 장벽을 갖추고 있다. 김종현 우리금융경영연구소 연구위원은 “금융거래는 간편하게 해주고 사후에 이상금융거래탐지시스템(FDS) 등을 동원해 점검하는 선진국 시스템이 ‘보안 강도’도 높은 편”이라며 “사후 보안을 높이기 위해서는 그만큼 비용이 수반되지만 간편 결제를 제대로 하기 위해서는 국내 금융사들도 이 방식을 따를 수밖에 없다”고 말했다.
선별적 선택적인 규제를 한다는 것도 국내와는 다른 점이다. 한국은 수십만 원 단위의 소액 결제·송금을 할 때와 수천만 원 단위의 고액 거래를 할 때 적용되는 보안 규제가 동일하다. 하지만 미국 유럽 등은 획일적으로 똑같은 보안 수준을 강요하지 않고 거래 규모나 고객의 신용도에 따라 규제를 차별적으로 집행한다. 조규민 금융보안연구원 정보보안본부장은 “일률적으로 같은 보안 체제를 갖추고 있는 우리와 달리 미국은 신용도 등 고객의 특성에 따라 보안 강도나 서비스를 다르게 하고 있다”고 말했다.
소비자에게 선택권을 부여하는 기업도 있다. 미국의 페이팔은 사용자에게 ‘일회용 비밀번호(OTP) 서비스’를 이용할지를 결정하게 한다. 만약 소비자가 유난히 보안에 대해 걱정이 된다면 소액의 수수료를 내고 이 서비스를 택하면 된다.
○ 규제는 자율로, 책임은 무겁게
인력과 기술 수준의 차이도 있다. 페이팔의 경우 사기 거래를 탐지하는 인력이 본사에 700명 이상이 있다. 금융거래를 할 때 본인 확인을 하는 기술도 선진국이 대체로 앞서 있다. 일본은 손바닥 정맥을 이용해 본인 인증을 하는 자동화기기(ATM)가 일반화돼 있고 호주의 일부 은행은 모바일뱅킹을 할 때 고객의 목소리 인증 방식을 쓴다. 이 같은 기술력 덕분에 이들 국가는 대면(對面) 본인 확인을 굳이 의무화할 필요가 없다. 현재 한국과 같은 금융실명법상 본인 확인 규정을 갖고 있는 나라는 주요국 중 독일 정도뿐이다.
금융당국은 이 같은 선진국의 보안 체계에 대한 연구를 마친 뒤 국내 실정에 맞는 대안을 내놓을 방침이다. 금융위원회 관계자는 “국내에서 어떤 핀테크 기업이 생기고 무슨 사업을 할지에 대한 연구가 끝난 다음에 그에 맞는 보안 시스템을 검토할 것”이라고 말했다.
핀테크 기업인 비바리퍼블리카의 이승건 대표는 “우리는 보안사고가 한 건이라도 나면 무조건 금융기관이나 당국이 무거운 책임을 지는 분위기여서 규제도 매우 딱딱하다”며 “크고 작은 보안 사고를 일일이 제재하지 말고 큰 틀에서만 원칙을 설정하는 식으로 패러다임을 바꿔야 한다”고 말했다.
유재동 기자 jarrett@donga.com