핀태크 제동걸리나…금융당국, 오픈 API플랫폼 보안강화 요구
[대한민국 '금융IT뉴스' 전문 포털 , DD 디지털금융]
[디지털데일리 이상일기자] 금융권에서 추진되는 오픈 API 플랫폼이 시장에 성공적으로 안착될 수 있을지 주목된다.
오픈 API 플랫폼은 핀테크 기업이 금융사의 인터페이스(API)를 활용해 해당 서비스가 정상 작동하는지 시험해 볼 수 있는 테스트베드를 더한 개념이다.
현재 NH농협은행이 개별은행 중 처음으로 오픈API 플랫폼을 오픈, 운영하고 있으며 이르면 3/4분기 중으로 금융당국 차원의 오픈 플랫폼이 론칭될 예정이다.
금융당국은 지난해 규제개선을 넘어 핀테크 산업 발전을 위한 인프라 구축이 필요하다는 인식아래 금융권 공동 핀테크 오픈 플랫폼 구축을 추진하고 있다. 이를 통해 핀테크 기업이 금융사의 금융상품과 데이터에 접근하기 어려웠던 점과 보안 및 안정성을 담보한다는 전략이다.
◆개방과 보안 충돌 = 하지만 조금씩 문제점도 노출되고 있다. 오픈된 개발 환경과 금융보안이라는 명제가 서로 충돌하고 있다는 점이 해결해야 할 과제로 떠오르고 있다. 물론 이는 당위론적 측면에서 예상하지 않았던 것은 아니지만 이제 이런 문제도 한번쯤은 짚고 넘어가야한다는 분위기다.
일례로 시중은행 중 처음 오픈 플랫폼 운영에 나선 NH농협은행은 농협상호금융과 ‘NH핀테크 오픈플랫폼 이용기업에 대한 보안 가이드라인’을 마련해 발표했다.
NH농협은행은 지난해 12월부터 NH핀테크 오픈플랫폼 시범서비스를 시행했다. 약 3개월 간 핀테크 기업들의 의견을 듣고 금융보안원의 자문을 받아 이번 가이드라인을 마련했다.
은행권 오픈플랫폼 이용과 금융 API 활용에 대한 정보보호 기준 및 보안 기준이 제시된 것으로 정보보호 범위 및 대상은 NH농협은행과 직접 통신하는 핀테크 기업의 서버, 이와 연계된 정보처리 시스템, 여기에 접근할 수 있는 인력과 관리용 단말기 등이다.
NH농협은행이 이러한 보안 가이드라인을 마련한 것은 금융고객의 정보 등 중요정보를 오픈 API를 통해 제공해야 하는 상황에서 이를 활용하는 핀테크, 스타트업들의 보안 수준이 적정해야 한다는 요구에서 비롯됐다.
업계의 한 관계자는 “오픈API를 통해 금융사로부터 정보를 건네받는 스타트업도 최소한의 보안 정책과 시스템, 프로세스를 갖춰야 할 필요성이 있다”며 “민감한 금융정보를 다루는 만큼 최소한의 안전장치가 마련될 필요성이 있기 때문”이라고 지적했다.
금융 오픈 플랫폼을 구축 중인 금융결제원과 코스콤도 이러한 문제에 동의하고 관련 논의를 진행하고 있다.
은행권 오픈 플랫폼을 구축하고 있는 금융결제원은 현재 금융보안원과 협의해 오픈API를 활용하는 업체들이 지켜야할 보안 수준 등을 검토하고 있다. 금융결제원 관계자는 “오픈 플랫폼을 사용하고자 하는 기업을 대상으로 금융보안원이 모의해킹과 취약점 분석 등 실사까지도 하는 방향까지 검토하고 있다”고 밝혔다.
코스콤도 현재 구축중인 자본시장 대상 오픈API 플랫폼에 대한 보안적합성 심사는 물론 개별 기업에 대한 보안 정책도 논의 중이다. 코스콤 관계자는 “스타트업 등 참여 기업에게 개발시 주의점과 시큐어 코딩 등 금융사가 개발할 때 지키는 보안 정책 등을 주지시키고 있다”고 전했다.
또 금융결제원과 코스콤은 금융보안원에서 오픈 플랫폼 운영과 관련한 보안 지침이 확정되면 이에 따른 대응에도 나설 계획이다. 금융결제원과 코스콤은 각자 맡은 금융산업 영역에서의 보안 요구사항 등을 금융보안원에 전달한 상태다.
◆강화된 보안기준, 저변확대에 장애? = 문제는 금융 서비스에 있어 필수적인 보안이 스타트업 등 오픈 플랫폼을 이용하려는 업체들에게 오히려 장애물로 작용할 수 있다는 점이다.
앞서 가이드라인을 확정한 NH농협은행의 경우 정보보호 및 보안 기준이 크게 관리적·기술적·물리적 보호조치 등 총 33개 항목으로 이뤄져 있다. 하지만 이러한 보안기준을 만족하기가 쉽지 않다는 것이 스타트업들의 생각이다.
한 스타트업 관계자는 “현재 시스템이 아마존웹서비스를 통해 운영되고 있는데 금융보안 기준을 적용하면 오픈API 플랫폼을 사용할 수 없는 상황”이라고 지적했다. 또 자체적으로 시스템을 운영하고 있는 스타트업이라 하더라도 기초적인 보안 솔루션 및 장비 도입에 그친 경우가 많아 오픈 플랫폼을 이용코자 하면 별도 투자가 진행돼야 한다는 점도 문제다.
이에 대해 업계에서는 오픈 API 플랫폼 활용 업체를 대상으로 한 전용 클라우드 서비스 제공 등 해결책이 나와야 한다고 지적한다. 보안 투자 여력이 부족한 스타트업들이 원활히 아이디어를 현실화할 수 있도록 프라이빗 클라우드 서비스 제공 등 아이디어가 필요하다는 것이다.
<이상일 기자>2401@ddaily.co.kr
[2024 IT혁신상품] AI 협업부터 비정형데이터 보호까지…지란지교그룹 '각개약진'
2024-12-19 18:33:01비트코인, 1억5000만원대 유지…RWA NOVA 코인, 비트마트에 신규 상장
2024-12-19 18:06:07'계엄군 점거' 서버 살펴본 선관위 보안자문위…"침입 흔적 없다"
2024-12-19 17:56:25[현장] 티빙·웨이브 합병 두고 CEO별 온도차…"주주 동의 필요 vs 無 관여"
2024-12-19 17:13:57[DD퇴근길] 갈길 먼 AI 기본법…바디프랜드, '가구' 선보인 이유는
2024-12-19 16:52:18