IT DONGA

[핀테크] 선결되어야 할 과제, 규제 정책과 보안

권명관

[IT동아 권명관 기자] 핀테크(FinTech)는 Financial(금융)과 Technology(기술)의 합성어로, 금융과 ICT의 결합을 통해 새롭게 등장한 산업 및 서비스 분야를 뜻한다. 사실 핀테크는 지난 2007년 미국에서 발생한 서브 프라임 모기지 사태 이후, 2008년 글로벌 금융 위기로 확산되면서 (글로벌 시장에서) 급속히 발전했다. 경제 위기 상황에서 발 빠르게 대응하지 못했던 기존 금융권에 대해 소비자들이 불신하기 시작하면서, 빠르게 발전한 ICT 기술의 등장은 기존 금융이 담당하던 서비스를 새로운 플랫폼으로 대체했다.

기자는 핀테크 산업의 발전을 하나의 전환기로 보고 있다. 의외성을 띄고 있기 때문. 전통적으로 금융 산업은 보수적이었다. 금융 산업은 변화가 적고, 크게 변화하기도 어려운, 안정을 위주로 성장할 수밖에 없다. 하지만, ICT 산업은 개방적이다. 빠르게 변화하고, 주변의 기술을 받아 들이며, 창의성을 기반으로 성장한다. 즉, 보수적인 금융 산업과 개방적인 ICT 산업이 융합하는, 지금의 핀테크는 흔치 않은 일임에 분명하다.

핀테크

구매 패턴, 어떻게 변했나

핀테크의 핵심은 결국 편리함, 그리고 간편함이다. 기존 금융 서비스를 이용하는데 있어 다소 불편했던 점을 간소화하고 3번, 4번에 걸쳐 이용해야 했던 절차를 줄이겠다는 것이 골자다. 이를 결제, 송금, 투자 등 금융 서비스 전반에 대해 절차 간소화를 논의 중이지만, 현재 가장 빠르게 핀테크를 도입하고 있는 서비스는 바로 '결제'다. 핀테크를 논의하며 알리페이, 페이팔, 애플페이 등을 얘기하며 이베이나 아마존 등에서 사용하는 간편결제 시스템 주로 언급하는 이유다.

간편 결제에 대한 이야기에 앞서, 먼저 통계자료를 살펴보자. 작년 한해 동안 온라인 쇼핑몰 시장에서 가장 두드러졌던 키워드는 바로 '해외직구'다. 관세청에 따르면, 지난 2014년 한해 동안 해외 직구 물품 수입 건수는 1,553만 건에 이르며, 거래 금액 규모는 15억 4,000만 달러로 사상 최대 규모를 기록했다고 밝혔다. 다만 2011년 최고 57%까지 성장했던 추세는 2012년 이후 다소 완화되어 지난해 39% 증가한 수준. 국가별로는 미국(73%), 중국(11%), 독일(5%), 홍콩(4%), 일본/영국(각 2%), 프랑스/뉴질랜드(각 1%) 등 8개 국가에서 수입하는 물품이 전체에서 99%를 차지했다고 밝혀, 2010년 19개였던 거래국가 수는 2014년 38개로 늘어났다고 전했다.

해외직구와 함께 살펴봐야 할 것이 바로 결제다. 해외직구를 왜 이용하냐는 설문에 대다수의 사용자들은 '저렴한 가격'을 언급하지만, 이와 함께 '쉽게 구매할 수 있다'는 점을 간과해서는 안된다. 지난 2014년 3월, 박근혜 대통령의 '천송이 코트' 발언을 기억하는지. 중국 소비자들이 천송이 코트를 살 수 없다는 국내 전자상거래 결제 시스템의 문제 지적은 시사하는 바가 크다.

액티브X 관련 박근혜 대통령 발언

점차 완화되고 있는 규제

사실 국내 신용카드 결제 환경은 세계 최고 수준으로 온라인과 모바일 환경에서 활발히 사용 중이다. 하지만, 역으로 이 같은 국내 결제 시스템의 발전은 최근 해외에서 보편화되고 있는 간편 결제 시스템과 달라 문제점으로 지적된 것이다.

국내 금융 산업의 대표적인 진입 규제 장벽으로는 금산분리법, 여신전문금융업법, 전자금융거래법 등이 거론된다. 금산분리법은 금융자본과 산업자본을 분리해야 하는 것으로, 해외의 경우 '은행'과 '산업자본'을 규제하는 은산분리법만 시행 중이다. 또한, 사용자 본인인증 절차를 은행과 신용카드사만 수행할 수 있도록 규정한 여신전문금융업법과 IT 기업의 단독 결제/인증 사업을 불가하고 있으며, 비금융회사가 결제사업을 하기 위해서는 전자결제대행업(Payment Gateway, 이하 PG) 허가를 금융감독위원회로부터 받아야하는 전자금융거래법도 발목을 잡는다. 즉, 모바일 결제 사업을 진입하기 위해서는 기존 은행/카드/PG 등 금융권과의 제휴가 필수다. 때문에 상대적으로 사업 주도권과 수수료 분배 등에서 분리할 수밖에 없다.

핀테크 전문가 30명 설문자료 결과

이에 지난 2014년 5월, 금융감독원이 전자상거래법 시행세칙 개정을 통해 온라인 쇼핑에서 30만 원이상 결제할 경우 공인인증서 사용 의무를 폐지했다. 이로 인해 현재 온라인 쇼핑몰에서 결제 시 금액에 상관없이 공인인증서나 휴대전화 인증을 선택할 수 있도록 바뀐 것. 또한, 11월 1일에 국회는 전자금융거래법 개정안을 통과시켰다. 골자는 공인인증서 의무사용 폐지. 아마도 올해 하반기에는 공인인증서 의무사용 완전폐지가 이뤄질 것으로 예상된다.

참고로 1999년 7월 공인인증서 제도가 도입됐으며, 2005년 11월 온라인으로 30만 원 이상 결제 시 공인인증서 의무화가 시행됐다. 이후 2014년 3월, 천송이 코트 발언과 함께 5월 금융위원회가 공인인증서 의무사용 제도를 폐지했으며, 7월 금융위와 미래부가 전자상거래 결제 간편화 방안을 발표했다.

정부의 간편결제 활성화 정책은 국내 전자결제대행업체에도 영향을 끼쳤다. PG업체들도 고객의 개인 정보 활용 동의 하에 신용카드 정보를 저장하게 되면 온라인 결세 시 신용카드 회사에 고객 정보를 확인할 필요 없이 결제 업무를 수행할 수 있기 때문이다. 이와 함께 PG업체 이외에 다음카카오, 네이버, 삼성전자 등 대형 ICT 업체들도 모바일 간편결제 시장에 뛰어 들면서 경쟁은 더욱 치열해질 전망이다.

문제는 보안, 어떻게 대비해야 하는가

문제는 보안이다. 사용자들이 불편함을 호소하고 있는 공인인증서나 액티브X로 점철된 보안 모듈, 암호화 통신 모듈 등은 사실 '보안' 때문에 만들어진 결과물. 하지만, 핀테크는 해당 보안 모듈 및 공인인증서 등에 대한 규제를 완화함에 따라 이를 대체할 수 있는 보안이 필수다.

먼저 국내에서 사용되고 있는 결제 및 인증 방식을 살펴보자. 국내에서 송금이나 이체, 결제 등을 할 때는 사용자 PC 에 여러 개의 액티브X로 된 보안 모듈을 설치해야 한다. 또한, 공인인증서 모듈, 키보드 보안 모듈, 암호화 통신 모듈 및 여러 보안 모듈도 필수다. 이 보안 모듈의 역할은 사용자의 PC와 서비스를 제공하는 서버 사이에서 안전하게 데이터를 주고받기 위함이다. 중간에 데이터를 가로채 조작할 수 있기 때문. 하지만, 설치하고, 인증받는 이 과정 자체를 두고 사용자들은 불편하다고 지적한다.

해외의 경우는 조금 다르다. 결제의 경우 간편 결제가 활성화되어 있다. 해당 서비스에 가입할 때 결제 카드, 계좌 등의 필요한 정보를 한번만 입력하면 준비는 끝난다. 이후에는 결제할 때마다 매번 새로 입력할 필요도 없다(국내의 경우 카드 정보 입력 자체를 허용하지 않는다). 공인인증서와 같은 인증 부분도 생략한다. 가입했을 때 받은 본인인증을 그대로 따른다. 이렇게 질문할 수 있다. 그럼 다소 귀찮고, 복잡하더라고 단순 '보안' 측면에서는 해외보다 국내 시스템이 더 안전한 것 아니냐고.

인증 부분을 살펴보자. 해외에서 사용하는 인증은 사용자의 행동 패턴을 분석하는 형태로 발전했다. 예를 들면, A라는 사용자가 평소에 어떤 상품을 주로 구매하고, 언제 주로 접속하는지, 평소 구매하는 금액은 얼마나 되는지, 주로 이용하는 기기는 무엇인지, 접속한 지역은 어디인지 등 다양한 정보를 모두 분석한다. 이를 통해 A 사용자의 평소 행동 패턴을 분석하고, 만약 평소와 다른 행동 패턴을 보일 시 추가로 확인 절차를 거친다. 주로 주말에 10만 원 내외의 의류 상품을 집에서 PC로 접속해 구매하는 여성 구매자가 갑자기 평일 오전에 100만 원 상당의 등산 용품을 이동하고 있는 버스 안에서 스마트폰으로 구매한다면, '정말 구매자가 맞는가?'라고 되묻는 형태다.

이 사용자 행동 패턴 분석 시스템을 'FDS(Fraud Detection System, 이상금융거래탐지시스템)'라고 하며, 국내의 경우 지난 2014년 8월 금융보안연구원에서 '이상금융거래 탐지시스템 기술 가이드'를 발간한 바 있다. 이 자료는 금융회사가 참고할 수 있도록 개발한 보안기술 가이드로서 금융보안연구원이 개발한 국내외 표준을 주로 참조했으며, 최근 기술 동향을 반영했다.

이상금융거래탐지 시스템, FDS

가이드 내 주요 내용을 살펴보면, 이상금융거래를 탐지하기 위한 4가지 기능별(정보수집, 분석 및 탐지, 대응, 모니터링 및 감사) 소개 및 최소한의 보안 기능 요구사항을 제시한다. 정보수집 기능은 이상금융거래탐지의 정확성을 위해 '이용자 매체환경 정보'와 '사고유형 정보'의 수집 기능을 뜻하며, 분석 및 탐지 기능은 수집된 정보에 대해 이용자 유형별, 거래 유형별로 다양한 상관관계를 분석하고, 규칙을 검사해 이상 행위를 탐지하는 기능이다. 대응 기능은 이상금융 거래 행위를 효과적으로 관리하기 위한 대응으로, 부정거래 시 즉기 해당 거래를 차단할 수 있는 기능, 이상금융거래가 확실하거나 의심하는 경우 전담팀이나 전문 상담요원에게 통지하는 기능 등을 의미한다. 모니터링 및 감사 기능은 수집, 분석, 대응 등의 종합 절차를 통합해 관리하고, 다양한 유형에 대한 감사 기능을 뜻한다.

규제와 개방 사이, 보안도 철저히 준비해야

스마트 혁명, 모바일 혁명은 금융 산업에도 영향을 끼치기 시작했다. KG이니시스의 'K페이', 한국사이버결제의 '셀프페이', SK플래닛의 '페이핀', LG유플러스의 '페이나우', 다음카카오의 '카카오페이' 등 국내 간편결제 서비스가 본격적으로 등장하기 시작했으며, 텐센트의 '텐페이', 알리바바의 '알리페이', 이베이의 '페이팔', 아마존의 '아마존 페이먼트' 등 중국, 미국의 간편결제 시스템도 이미 국내 시장과 제휴 형태로 서비스를 시작했다.

전문가들은 현재의 국내 인증 시스템과 결제 시스템은 핀테크 활성화에 부정적인 영향을 끼칠 것이라고 한목소리로 말한다. 지난 2014년 10월 23일, 한국경제연구원(KERI)의 주최로 진행한 '모바일 혁명과 한국 금융산업의 미래' 세미나에서 한국경제 연구원 오정근 초빙연구위원은 "미국의 핀테크 기업은 374개이고 영국은 57개에 달한다. 싱가포르와 중국도 각각 15개, 10개의 핀테크 기업이 창업했으나 한국은 아직도 전무한 실정이다. 앞으로 점포 없는 은행 시대가 도래하고, 인터넷 전문 은행이 확대될 전망이지만, 한국은 아직도 지점경행을 하고 있는 실정이다"라며, "한국금윤 시장은 날로 낙후되어 세계 100위권이라는 보고서도 나온다. 모바일 혁명 시대를 맞이해 한국 금융산업이 도약하기 위해서는 핀테크 산업을 육성해야만 한다. 모바일 관련 규제 완화와 함께 증가할 것으로 예상되는 IT 관련 리스크를 통제하기 위한 IT 전자금융 감독 강화 및 금융보안 인력 양성 등을 추진해야 한다"라고 말했다.

사실 굳이 해외 시장과 국내 시장을 비교하며 어느 것이 옳은 것인가라고 판단한 필요도 없다. 사용자들이 진정 필요로 하는 것이 무엇인지 파악하고, 이를 제대로 제공하는 것에 집중하면 된다. 변화를 구려하기 보다 사용자들이 원하는 방향성을 향한 핀테크 육성이 필요한 시점이다.

* 해당 기사에 대한 의견은 IT동아 페이스북(www.facebook.com/itdonga)으로도 받고 있습니다.

글 / IT동아 권명관(tornadosn@itdonga.com)

이전 다음