* 본 기사는 디지털데일리가 7월 발간한 <디지털금융, 혁신과 도전>2020년 특별호에 게재된 내용중 일부를 요약한 것으로, 편집사정상 책의 내용과 다소 다를 수 있습니다.
<2020 금융 디지털 & IT전략-⑪> 2020년 금융 피테크‧IT감독 방향 분석
- 금융혁신 촉진과 보안위협 대응, 쏠림없는 균형 찾기에 감독‧검사 역량 총동원
- 감독·검사에 AI·디지털 활용, 더욱 매서워진 눈초리… 금융감독 체계도 고도화
최근 국내 금융IT분야 관계자들은 혁신 금융서비스 시행에 앞서 금융감독 당국의 의중을 파악하는데 많은 공을 들인다. 준비하고 있는 혁신 서비스가 규제 샌드박스 영역에 포함됐다고 하더라도 과연 기존 금융감독규정상 문제가 전혀 없는지, 또 나중에 논란거리가 될 가능성이 있는지 없는지 꼼꼼히 체크하고 싶어하기 때문이다.
금융감독원(이하 ‘금감원’)은 태생적으로 ‘규제 기관’이다. ‘금융 경찰’이라는 닉네임답게 정부는 금융회사들의 일탈을 막기위한 강력한 감독 및 검사기능을 금감원에 부여하고 있다. 특히 민감한 금융 고객정보를 다루는 금융권의 IT 영역에 대한 금감원의 감독·검사 기능은 인공지능(AI)와 같은 혁신기술이 접목되면서 더 정교하게 다듬어지고 있다.
‘섭테크’(Supervisor tech)를 통한 스마트한 디지털금융 관리 감독 총괄기관으로서의 위상이 재정립되고 있다. 또한 핀테크 서비스의 범위가 최근 2~3년새 크게 확장되면서 이제는 기존 금융권의 IT 뿐만 아니라 핀테크분야까지 감안한 감독 및 검사 역량이 요구되고 있다.
그러나 2020년 현재, 금감원이 직면하고 있는 고민은 따로 있다. 오히려 금감원은 규제기관이 아니라 디지털금융과 핀테크를 촉진시키는 촉진자로써, 이와 동시에 그에 따르는 보안 위협의 증가를 제어하는 역할을 동시에 요구받고 있다.
만약 금융 IT‧핀테크 분야야서 필요 이상으로 강도 높은 감독권을 행사할 경우, 시장에선 디지털금융 혁신의 의지가 꺽어버릴 우려가 높고, 반대로 보안정책을 너무 시장의 자율에만 맡겨놓을 경우 가늠할 수 없는 보안위협을 축적하는 결과를 초래할 수 있기 때문이다. 금감원으로서는 ‘과하지 않은 또 그렇다고 너무 유하지도 않은’, 그런 시그널을 시장에 던져줘야 하는 상황이다.
하지만 현실적으로 이러한 ‘절묘한 균형점’을 달성하기란 쉽지 않다. 시장에선 “클라우드와 관련한 보안 요구가 여전히 너무 과도하다”는 지적이 꾸준히 나오고 있다.
또한 올해 코로나19 사태를 거치면서 재택근무를 엄격하게 제약한 ‘금융 물리적 망분리’의 제도 개선을 요구하는 금융권의 목소리도 커지고 있다. 물론 반대로, 금융 보안을 중시하는 측면에선 “혁신 금융서비스로 잠재적 보안위협이 커지고 있는데 금감원의 역할이 너무 느슨한 것 아니냐”는 반론도 나온다.
이러한 종합적인 시장상황을 반영, 금감원은 2020년 금융 IT‧핀테크부문 감독 방향의 키워드로 ‘균형’을 꼽고 있다. 이와관련 금감원은 ▲디지털 금융 확산에 따른 리스크 감독체계 구축▲혁신기술 적용 및 환경 변화에 부응하는 보안정책 추진 ▲클라우드 서비스 확대에 따른 망분리 규제의 발전적 개선방안 모색 (클라우드 실효성과 보안의 균형잡힌 망분리 규제 방안) ▲전자금융사고 예방을 위한 검사쳬계 운영 ▲예방적/실질적 소비자 보호체계 마련 등을 올해 목표로 제시하고 있다.
금감원이 주요 금융보안 위협으로 꼽고있는 것들중 가장 신경쓰고 있는 분야는 역시 클라우드(Cloud)와 오픈뱅킹(Open Banking)이다.
국내 금융권의 클라우드 서비스 이용 확대에 따라 보안 리스크도 동시에 확대되고 있다고 게 금감원의 시작이다. 다만 클라우드 보안위협의 경우, 해킹 등 순수한 사이버보안위협 보다는 클라우드 사업자의 갑작스런 서비스 중단도 리스크 요인으로 꼽고 있다.
이 때문에 금감원은 클라우드사업자의 서비스 중단에 대비한 ‘업무 연속성 계획’(BCP) 수립, 또 특정 클라우드 서비스에 대한 지나친 의존도를 완화하는 방안을 모색하도록 금융권에 주문하고 있다. 이른바 ‘멀티(Multi) 클라우드’ 방식이 안전하다고 보는 것이다.
이와함께 국내 금융회사가 국외에서 클라우드 방식으로 업무를 위탁할 경우, 사전에 리스크를 사전에 식별하고, 클라우드업체와의 분쟁에 대비해 재판관할등 금융회사의 요구 사항을 구체화해서 계약서에 반영할 것으로 요구하고 있다.
물론 이같은 금융 클라우드에 대한 규제는 최소한의 장치다. 클라우드 확산에 따른 국내 금융권의 자율 보안규제 기조를 더 강화시키겠다는 게 금감원의 생각이다. 실제로 지난 2013년 이후, 엄격하게 유지돼왔던 국내 금융회사 IT인력 및 정보보호 예산(5%-5%-7%)규정도 2019년말을 끝으로 종료시켰다.
오픈뱅킹 시행, 즉 금융결제망 인프라의 개방은 기존 폐쇄적이었던 금융망이 오픈API 등을 통해 외부 핀테크 기업들에게 개방되는 역사적 상징성을 가진다. 그러나 그에 따른 보안위협도 커진만큼 기존보다는 훨씬 더 강력한 24시간 대응체계 구축이 요구된다.
금융감독원 IT핀테크 전략국 정기영 부국장(사진. 현 금감원 불법금융대응단 국장)은 지난해 12월11일 서울 더 플라자호텔에서 <디지털데일리>가 개최한 ‘2020년 전망, 금융IT 혁신’컨퍼런스에 기조 발표자로 나와 2020년 주요 금융 IT감독 방향을 소개하면서 현재 엄격하게 유지되고 있는 금융권의 물리적 망분리 제도의 개선이 논의되고 있다고 밝힌 바 있다.
또한 디지털금융 시장이 개화하면서 기존 금융규제 및 관리감독은 한계를 노출하고 있으며, 금감원은 금융감독 고도화를 위해서 레그테크, 섭테크 등 금융감독의 디지털화를 강화할 계획이라고 밝혔다. 아울러 디지털금융 시대에 맞도록 기존 규제 등을 적극적으로 ‘시장 친화적’으로 보완한다는 방침이다.
현재 금융위, 금감원 등 금융감독 당국은 클라우드 서비스 확대 뿐만 아니라 올해 상반기 코로나19 사태로 촉발된 금융회사 직원들의 원격 접속 불가에 따라 기존 ‘물리적 망분리’ 규제의 발전적 개선방안을 모색하고 있다.
2020년 상반기까지는 아직 이 문제에 대해 결론을 나지는 않은 상황이지만 클라우드 실효성과 균형 잡힌 망분리 규제를 위한 정책적 지향점이 크게 달라지지는 않은 상황이다.
현재 국내서도 AWS, MS 등 주요 클라우드 기업들은 금융회사와 계약을 맺고 클라우드 서비스를 제공하는 사례가 늘고 있다. 이 클라우드 기업들은 논리적 망분리를 통해 IT자원을 효율적으로 운용하고 있다. 따라서 클라우드로 전환하지 않은 국내 금융회사들에 대해서만 '물리적 망분리'를 엄격하게 적용하는 것은 논란이 될 수 있다. 이에따라 금감원도 이러한 시장의 상황을 감안해 기존의 망분리 정책을 유연하게 수정하겠다는 의지로 풀이된다.
핀테크 기업을 ‘유니콘’ 기업으로 육성하기위한 ‘스케일업(Scale–up)’ 전략에 있어서도 금감원의 정책적 지원은 매우 중요한 요소다.
이와함께 진입장벽 완화를 위해선 규제 샌드박스 특례기간 연장을 적용하고 핀테크 기업에 특화된 임시허가 도입, 개별 금융업법에서 특화 인허가 신설 및 세분화에 나설 계획이다.
이와함께 금감원은 ‘전자금융사고 예방을 위한 검사체계 운영’ 방침과 관련, 금융회사의 자율보안 강화를 인정하되 사고발생시에는 금융회사의 실질적, 우선적 책임을 대폭 강화함으로써 상시 경각심을 갖도록 유도한다는 방침이다. 이와함께 전자금융사고에 대비한 금융회사 비상대응체계 점검 및 지도도 강화할 계획이다.
또 ‘예방적, 실질적 소비자 보호체계 마련’과 관련, 금감원은 FDS 고도화, 전자금융사고 발생시 신속한 고객 배상을 위한 위한 내부절차 및 관행을 요구하되, 보안과 전자금융거래 편의성의 균형 유지할 수 있도록 강조하고 있다.