국내 핀테크 시장 활성화의 선제 조건2 - 보안 분야는 핀테크 시대를 맞을 준비가 되었는가?

이정도면 가히 광풍 수준이다. 지난해 박근혜 대통령의 천송이 코드 발언으로 촉발된 국내 핀테크 열풍으로 인해 각 정부 부처는 연일 규제 완화와 지원을 외치고 있으며, 관련 주가는 연초부터 들썩이고 있다. 금융감독원은 공인인증서 의무사용, 보안성 심의 등 각종 사전규제를 폐지해 다양한 기술 개발을 독려하고 있고, 주요 은행들 또한 전담 부서를 신설하고 관련 상품을 출시하며 발 빠르게 대응하고 있다. 이뿐만 이 아니다. 다음카카오는 이미 '카카오페이'와 '뱅크월렛카카오' 등의 서비스를 내놓았으며, 삼성전자와 네이버 역시 금융업 진출을 위해 발빠른 움직임을 보이고 있다.

 

그렇다면 과연 우리 정부의 핀테크 혁명 따라잡기는 성공할 수 있을까? 이제 곧 우리 눈앞에 펼쳐질 핀테크 시대를 온전히 맞이하는데 잊은 것은 무엇일까?

 

핀테크, 파괴적 혁신과 탈중개화의 시선으로

 

얼마 전, 은행권청년창업재단(디캠프), 한국핀테크포럼, 스타트업얼라이언스가 공동 주최한 '핀테크 디파티' 해사에서 마커스 그너크 스타트업부트캠프 핀테크 최고운영책임자는 "핀테크는 단순히 새로운 결제기술이 아니라 그 이상의 것이다. 파괴적 혁신과 탈중개화의 맥락에서 핀테크 생태계를 바라봐야 한다"고 말한 바 있다.

 

즉, 은행, 증권사, 카드사 등이 중개수수료를 통해 수익을 내던 비즈니스 모델은 앞으로 경쟁력을 잃을 것이며, 기존 금융시스템과는 전혀 다른 형태의 파괴적 혁신이 이루어지고 있는 곳이 핀테크라는 것이다.

 

또한 정부 주최의 간담회에서 한 기업인은 "현재 핀테크의 정의는 금융에 정보기술을 접목하는 형태로 정의되고 있는데, 이게 아니라 정보기술 중심에 금융이 접목되는 것으로 바라봐야 한다"며, "창업자들이 주인공이 돼야 크고 작은 혁신들이 많이 나오는데 우리나라처럼 정부와 대형 금융사들이 앞장선다면 혁신이 쉽지 않을 것"이라고 말했다.

 

핀테크를 어떻게 정의하던 간에 그 중심에 혁신적이고 창조적인 IT융합 중심의 사고가 있어야 한ㄷ는 것은 주지의 사실이다. 특히나 많은 전문가들은 수많은 IT기술 가운데서도 빅데이터 분석과 보안을 양대 인프라로 꼽는다. 그러나 문제는 그동안 있어왔던 각종 보안 관련 규정들이 핀테크의 정신과는 맞지 않다는 것이다.

 

 

전지적 보안 접근정책으로는 '창의성 없다'

 

우선, 국내 보안정책은 창의성을 허용하고 있지 않다.

 

얼마 전, 지난 2008년 2월에 있었던 인터넷 오픈마켓 옥션의 회원정보 유출 사고와 관련해 회사의 손해배상 책임이 없다는 대법원 판결이 나왔다. 옥션이 웹방화벽을 설치하거나 주민번호를 암호화하지 않았다는 사실은 인정되나 당시 법령상 위법이 아니라는 것이다. 이 판결의 근본적인 이유는 외국과 국내의 보안에 대한 접근방법의 차이에서 비롯된다.

 

우리나라에서 채택하고 있는 보안정책은 특정 보안위험에 대한 최소한의 보안대책을 정부가 직접 규율하고 있는 방식으로, 예를 들면 "비밀번호 및 바이오 정보를 일방향 암호기술로 암호화해 저장할 것", "주민등록번호 및 계좌정보 등 금융정보를 암호화해서 저장할 것" (이상 정보통신망법 시행령), "이용자 PC에서의 정보유출을 방지하기 위해 이용자의 접속시 우선적으로 이용자 PC에 개인용 침입차단시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것"(이상 전자금융감독규정시행세칙), "개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실, 도난, 유출, 변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 할 것" (이상 개인정보보호법) 등과 같이 관련 법, 시행령, 또는 지침에 업체가 취해야 할 조치들을 일일이 명시해 주는 방식이다.

 

이는 인터넷뱅킹과 같은 인터넷서비스의 빠른 확산에 기여한 측면이 큰 반면, 플랫폼 종속성, 업체의 창의적이고 능동적 보안대책 시도 부족, 보안기술간 경쟁 저하 등의 단점이 있는 것도 사실이다.

 

더욱이 해킹사고가 발생할 경우 해당 업체에게 "우리는 법에서 하려느느 것은 다했다. 이건 불가항력이었다"는 식의 면죄부를 주는 수단으로 악용되기도 한다. 우리나라와 달리 미국과 영국, 일본 등 주요 선진국의 경우에는 업체가 관련된 보안위험을 직접 평가하고 적절한 보안대책을 스스로 채택하도록 하고 있다. 이런 접근방법은 업체가 보안문제에 대해 좀 더 적극적으로 개입하도록 유도할 수 있다는 장점이 있다.

 

TGAF(Twitter, Google, Apple, Facebook), ANTI(Amazon, Netflix, Tesla, IKEA), 그리고 핀테크의 시대를 거치면서 미래를 예측하고 올바른 시장 정책을 수립하는 것은 점점 더 어려워지고 있다. 이런 상황에서 상명하달 식의 정부주도형 보안 대책은 시장을 경직되게 만들어 새로운 금융 서비스에 맞는 창의적인 보안기술들이 개발되는 것을 저해할 뿐이다. 최근 금융감독원이 핀테크 상담지원센터를 만들어 규제 개력을 지원하기로 하는 등의 노력을 하고 있는 것은 매우 고무적이다. 다만 보다 근본적으로 과거의 비합리적인 규제 관행을 개선해 민간의 창의성을 적극 유도하는 방향으로 바뀔 필요가 있다.

 

글로벌 기준과는 동떨어진 보안정책

 

두 번째 걸림돌은 우리의 보안정책이 글로벌 기준을 따르고 있지 않다는 것이다.

 

1996년 '정보화촉진기본법' 제정을 계기로 우리 정부는 1998년 2월부터 업체에서 개발한 보안제품의 안전성 및 신뢰성을 체계적으로 평가하고 인증해 주기 시작했다.

그러나 이때만 하더라도 국내의 평가기술력이 미약했기 때문에, 정부는 우리 나름의 고유 평가기준(일명, 'K등급 평가제도')을 제정하고 이에 따라 국산 제품의 안전검사를 수행해 왔다. 그러다가 2002년에 이르러 우리의 평가기술력이 일정 수준에 도달했다고 판단한 정부는 세계적인 수준의 안전성을 갖는 제품이 시장에 보급될 수 있도록 전격적으로 CC(Common Criteria, 공통평가기준)라고 하는 국제 표준을 도입하게 된다.

하지만 제품 평가에 과거보다 엄격한 잣대를 적용하다보니 이는 곧 평가기간의 장기화 및 평가 적체를 야기하게 되었고, 이에 우리 정부는 여론의 악화를 우려해 2007년 3월부터 평가, 인증 제도를 국내용과 국제용(해외수출용)으로 이원화하게 된다.

 

국제용의 경우 해외수출 및 국내보급을 목적으로 국제표준에서 요구하는 평가 기준 및 방법을 엄격하게 준용해 평가를 진행하는 반면, 국내용은 국내 기관, 업체 및 개인에서 보급하기 위한 목적으로 평가방법을 간소화시켜 검사를 수행하기 때문에, 평균 6~7개월 걸리던 평가기간을 3~4개월 정도로 단축시킬 수 있다.

 

그 결과 현재 업계에서는 국내용 평가로의 수요 쏠림 현상이 나타나고 있는 상황이며, 더욱이 2007년 당시 한시적으로 운영하겠다던 평가 이원화 제도는 이후 연장되어 현재까지도 지속되고 있는 실정이다.

 

이뿐만이 아니다. K-ISMS(Information Security Management System, 정보보호 관리체계 인증제도), K-CMVP(Cryptographic Module Validation Program, 암호모듈 검증제도) 등 수많은 보안성 평가제도들이 한국에서만 통용되는 '갈라파고스' 기준들이다.

우리가 원하는 핀테크는 한국 금융 혁신의 원동력을 넘어 세계 무대를 주도하는 글로벌 경쟁력을 가진 핀테크다. 국격을 넘나들며 금융서비스가 제공되는 핀테크 시대에 국제적으로 인정받지 못하는 보안기술을 갖고서는 시계시장에서의 경쟁은 불가능하다.

 

더욱이 우리가 국내에서 사용하는 내수용 제품의 보안수준과 수출용 제품의 보안수준이 다르다면, 그것도 수출용 제품의 보안수준이 더 높다면 과연 우리 국민 중 누가 납득할 수 있을까?

 

 

보안기술, 사용 편리성에 대한 고민 필요

 

세 번째로 이제는 보안기술도 사용 편리성에 대해서 고민해야 한다는 것이다.

 

그동안 우리나라의 보안제품들은 사용자의 편의성을 등한시 해 왔다. 소위 '금융 보안프로그램 3종 세트'의 사용의 제도적으로 의무화되어 있었기에 업체들은 굳이 사용자의 편의성을 개선할 필요성을 느끼지 못하였다.

 

그러나 상황은 달라졌다. 이제 업체는 보안 수준은 유지하면서도 사용자의 편의성을 높인다는 개념인 'usuable security'에 대해 고민해야 하며, 사용자의 PC에 소프트웨어 몇 개를 설치해서 안전한 환경을 만들 수 있다는 안이한 생각에서 벗어나 강력하지만 사용하기 편리한 거래연동 OTP, 보안토큰, 지문인식, FDS 등에 대해 연구해야 할 것이다.

 

관련 기술 개발과 더불어 마지막으로 당부하고 싶은 것은 정부, 업체, 사용자 등 이해 당사자들 모두의 인식 변화가 필요하다는 것이다. 보안에 있어서 우리 정부나 업체는 절대로 해킹 당하면 안된다는 강박관념을 가지고 있다.

 

하지만 해킹과 보안은 창과 방패의 관계와 같아서 필연적으로 해킹이 앞서나갈 수 밖에 없는 구조이며, 그러기에 절대적인 안전성이 담보되지 않으면 서비스를 개시할 수 없다는 식의 접근방식은 오히려 핀테크 기업의 육성에 걸림돌이 될 수 있다.

 

 

'막는다'에서 '복구한다'로 패러다임 전환

 

전 세계를 사업장으로 두고 있는 페이팔의 경우 매일 1,000만 건의 거래가 일어나고 있는데, 지난해 기준으로 사고율은 0.33% 였으며, 이는 매일 3만3,000건의 사고가 발생한다는 얘기다. 창업 초기 페이팔이 FDS를 설치하기 이전의 사고율은 이보다 훨씬 더했다. 여기서 우리가 주목해야 할 것은 해킹 사고가 꾸준히 발생하고 있지만 페이팔은 여전히 건재하고 있으며, 세상에서 가장 성공적인 핀테크 기업 가운데 하나로 꼽힌다는 점이다.

 

핀테크에 있어 보안은 매우 중요한 요소이다. 그러나 IT기술의 특성상 완벽한 보안이 존재할 수 없기 때문에 한번 뚫린 보안에 대해서는 회사가 책임감을 갖고 사후 조치를 취하는 것이 우선이며, 처벌하는 게 능사는 아니다.

 

좀더 다양한 핀테크 기업의 등장을 위해서는 무조건 막아야 한다는 식의 접근방식이나 해킹 당하면 안된다는 강박관념에서 벗어나 얼마나 빨리 손상된 시스템을 회복할 수 있게 할 것인지, 피해를 입은 사용자들에게 보상은 어떻게 할 것인지, 보안전문가들의 신규 취약점 발굴을 장려하기 위한 버그바운티(bug bounty, 취약점 신고 포상제)는 어떻게 활성화할 것인지 등을 보다 더 적극적으로 고민해야 할 것이다.

 

사용자들의 인식 변화도 필요하다. 보험료를 많이 낼수록 더 많은 보상을 받을 수 있듯이 좋은 기술, 많은 보상에는 이에 합당한 대가를 지불해야 함을 명심하고, 사용자들은 공짜만 찾으려는 보안 의식을 버려야 할 것이다.

 

미국의 이베이가 1998년 페이팔을 선보였고, 지난 2003년 중국의 알리바바가 알리페이를 출시한 것에 비하면, 핀테크 산업에 있어 국내는 아직 걸음마 단계다. 다행히 지금이라도 정부가 그간의 각종 규제를 풀고 노력을 경주하는 것은 매우 환영할 만한 일이다. 그러나 핀테크는 단순히 규제를 풀고 다양한 기술개발을 유도하기만 하면 되는 것이 아니라 문화 즉, 패러다임이 바뀌어야 하는 문제다.

 

핀테크에 대한 이해도가 낮은 상황에서 대통령의 말 한마디로 인해 무작정 핀테크 열풍에 휩쓸렸다간 이에 따른 부작용으로 예상치 못한 막대한 비용을 지불할 수 있다는 사실을 명심하고, 정부는 기술의 변화뿐만 아니라 이해 당사자들의 근본적인 인식변화가 수반될 수 있도록 노력해야 할 것이다.

 

 

 

 

출처 : "2015핀테크 완전정복"