금융IT

'오픈뱅킹' 흥행 기대감… 금융보안원, 보안점검 수요기업 파악나서

디지털데일리 발행일 2019-06-21 09:49:20
이상일
[디지털데일리 이상일기자] 올 하반기에 시행될 오픈뱅킹 서비스와 관련해 보안성 점검 주무 기관인 금융보안원이 사전 보안 점검에 대해 대비할 수 있도록 관련 업계의 도움을 강조했다. '오픈뱅킹'은 금융 지급결제시스템을 핀테크 등 비금융회사들에게도 개방함으로써 혁신 금융서비스를 창출하고, 핀테크산업의 활성화를 유도하기위한 정책이다.

금융위원회와 금융결제원, 금융보안원이 20일 서울 삼성동 그랜드힐컨벤션에서 개최한 ‘오픈뱅킹공동업무설명회’에서 금융보안원 핀테크보안팀 안재영 팀장은 “금융보안원은 중요한 점검을 수행해야 한다. 다만 7월 전 수요 예측을 위해 도움이 필요하다. 보안점검 신청 기간 중 조사받을 의향이 있는 기업이 답변해 주면 도움이 될 것 같다”고 밝혔다.

오픈뱅킹에는 다양한 핀테크 업체들이 참여할 것으로 보여 사업 초기에는 많은 기업들이 보안성 점검 신청을 할 것으로 전망된다. 따라서 금융보안원은 사전 시장 수요 조사를 통해 효율적인 보안성 점검에 나설 계획이다.

오픈뱅킹 시스템은 핀테크 서비스 애플리케이션을 이용하는 사용자와 핀테크 서비스시스템을 제공하는 이용기관, 그리고 오픈뱅킹 시스템을 운영하는 금융결제원의 시스템이 서로 연결된다. 전자금융거래를 위해 사용되던 그동안 폐쇄적이었던 시스템이 오픈되는 만큼 금융보안 측면에서 금융당국은 만전을 기울이고 있다.
금융보안원은 오픈뱅킹 공동업무의 안전한 운영 및 이용을 지원하고 금융 소비자를 보하기 위해 보안점검 업무를 수행한다. 크게 이용기관 보안점검과 핀테크 서비스 취약점 점검을 대상으로 하게 된다.

보안점검의 경우 전자금융거래법 상 금융회사 또는 전자금융업자의 경우 자체적으로 보안점검 항목별 충족여부를 점검 결과자료 제출로 대체하는 것을 검토 중이다. 또 전자금융업자의 경우 업무 실시 초가 점검수요 집중이 예상되는 만큼 2020년 상반기까지 이용 신청한 이용기관 점검을 유예하되 서비스 실시 1년 내 점검 의무화를 검토할 계획이다.

이용기관이 오픈 API 이용 핀테크 서비스 운영 시 중요정보 보호 등 적절한 보안관리 체계를 마련하고 있는 지 점검하게 된다. 점검 방법은 서면 및 현장 점검으로 진행되며 오픈뱅킹 이용 서비스 실시 전 약 4주간의 기간이 소요될 전망이다.

점검 항목으로는 금융보안원에서 개발한 3개 영역 14개 분야, 30개 점검항목으로 구성된다. 다만 은행 또는 전자금융업자는 자체 점검할 수 있고 ISMS 인증을 보유한 경우도 자체 점검으로 운영기관에 제출하면 된다.

한편 오픈 API를 이용하는 핀테크 서비스 애플리케이션에 대한 취약점 점검의 경우 점검도구 등을 이용해 원격으로 자동 및 수동 점검이 진행되며 오픈뱅킹 환경에서 개발 및 테스트 완료 후 서비스 실시 전 점검하게 된다.

소요기간은 플랫폼 별 5영업일 내외가 소요될 예정이며 웹 4개 분야 12개 항목, 모바일 5개분야 17개 항목에 걸쳐 점검하게 된다. 점검을 수행하는 주체는 금융보안원, 정보보호전문서비스 기업 등 평가전문기관과 자산 2조원 이상 또는 상시 종업원 수 300명 이상을 충족하는 금융쇠사 및 전자금융업자의 자체 전담반 등이다.

안재영 팀장은 “보안 확보 필요성에 대해 의문이 있을 수 있지만 예를 들어 애플리케이션 단에서 모바일 패스워드가 적절히 보호조치가 안 되면 메모리 내 평문으로 노출되는 경우도 있다. 이처럼 많은 취약점이 있을 수 있어 정보 보호조치는 필수적”이라고 밝혔다.

<이상일 기자>2401@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스