클라우드

'사용자보다는 은행이 보안 구멍'… 오픈 뱅킹 '순진한 신참자' 리스크

Alex Cruickshank | IDG Connect 2021.04.09
오픈 뱅킹은 아직도 비교적 새롭다. 원론적으로 사기의 위험성이 신용카드나 직불카드 등의 온라인 결제 수단에 비해 낮은 것으로 알려져 있다. 실제로 그럴까. 기존 뱅킹 및 결제 수단에는 없는 잠재적인 취약성이 오픈 뱅킹에 있을 가능성은 어떨까.
 
ⓒ Getty Images Bank

영국과 유럽에서 오픈 뱅킹 규정이 만들어져 실행된 것은 불과 몇 년 전이다. 개정 결제 서비스 지침(PSD2) EU 규정은 2016년에 생겼지만 2019년이 되어서야 완전히 발효됐다. 그 이후로, 은행 고객 계좌 승인을 통해 금융 정보에 접근하는 핀테크 업체 등의 업체(공식 명칭은 TPP(Third Party Provider)다)가 꾸준히 늘고 있다.

핀테크 업체는 은행의 거래 데이터를 활용해 고객의 예산 수립, 대출 신청, 자금 관리 등을 돕고 타 결제 수단보다 속도와 편리성이 높은 결제 서비스를 제공하기도 한다. 이 모든 것이 가능한 것은 오픈 뱅킹 API 덕분이다. 오픈 뱅킹 API가 공인 TTP에 표준화된 거래 데이터 접근 수단과 결제 프로토콜을 제공한다.

오픈 뱅킹 TSP(Trusted Service Provider)이자 오픈 뱅킹 API 및 관련 서비스를 제공하는 중개업체 트루레이어(TrueLayer)의 정책 책임자 잭 윌슨은 오픈 뱅킹으로 위험성이 커지지는 않는다고 주장했다.

그는 “오픈 뱅킹 결제는 기존 결제 시스템의 오버레이에 지나지 않는다. 오픈 뱅킹 제공업체는 고객이 결제를 위해 온라인 뱅킹에 로그인해 직접 계좌이체하는 대신 더 손쉽게, 이를테면 앱 내부에서나 상점 웹사이트에서 결제를 시작할 수 있게 해줄 뿐이다”라고 말했다.

윌슨은 또한 오픈 뱅킹에서 시작된 모든 결제는 반드시 2가지 형태의 뱅킹 인증 정보로 강력하게 인증돼야 한다는 점을 강조했다. 만일 돈이 무단으로 빠져나간다면 은행 측은 고객에게 환불을 해 줄 의무가 있다. 돈이 지정된 수령인에게 가지 않는 경우에도 마찬가지이다.

뿐만 아니라 윌슨에 따르면, 오픈 뱅킹이 사기의 위험성을 줄여준다. 오픈 뱅킹에서는 어떠한 카드 정보도 공유되지 않으므로 카드 정보가 탈취돼 부정하게 사용될 위험이 없기 때문이다. 오픈 뱅킹 결제에는 이미 강력한 고객 인증(SCA)(일종의 이중 인증)이 요구된다. 올해 9월부터는 카드 발급 업체의 SCA 실행이 의무화된다.

셀렌트(Celent)의 뱅킹 담당 선임 애널리스트 키아렌 하인즈도 동의했다. 그는 “오픈 뱅킹 결제에서 강력한 고객 인증이란 고객이 거래 은행의 온라인 또는 모바일 서비스에 로그인할 때와 똑같은 인증 경로를 거쳐야 한다는 뜻이다. 이를 통해 높은 수준의 보안이 제공된다”라고 말했다.

반면 "고객이 본인 데이터에 접근하거나 결제를 시작하기 위한 새로운 채널이나 수단에는 어느 정도 위험이 수반되기 마련이다. 즉, 위험을 완전히 없앨 수는 없다"라고 덧붙였다. 결국 문제는 이러한 위험을 은행과 업계 전체가 어떻게 관리하고 있는지다.

이는 근본적으로 위험의 정의를 확장하는 문제다. 사기에 의한 손실은 법적으로 은행이 보상할 의무가 있으므로 고객의 위험은 작아 보인다. 그렇다면 은행에 미칠 수 있는 위험은 어떨까.

전 세계 금융 서비스계 내의 사고 리더이자 피도르(Fidor) 그룹 공동 창업자인 매티아스 엠케이 크뢰너가 관심을 두는 분야가 바로 여기다. 그는 “현재 가장 큰 위험은 디지털 시대에 대비되지 않은 은행들이다. 디지털 여정에 나서고 있지만 아직 디지털에 능숙하지 않은 은행이 있다는 점이야말로 시장에서 일어날 수 있는 가장 큰 위험이다”라고 말했다.

크뢰너는 오픈 뱅킹 거래가 일어나는 통로인 API와 관련된 잠재적인 사기 경로가 있음을 인정하지만 크게 우려하지는 않는다. 그러한 API는 암호화되고 서명된 호출 및 응답에 의해 보호되고 있으므로 다른 온라인 뱅킹 접근 수단보다 더 취약할 이유가 없다는 것이다. 그는 디지털 시대에 적합하지 않은 은행이 훨씬 더 큰 문제라고 다시 지적했다.

이런 위험은 전 세계 지역별로 상당한 차이가 있다. 크뢰너는 그 이유를 뱅킹 규제에 대해 상이한 접근 방식 때문이라고 설명했다. 그는 “예를 들어, 싱가포르를 보면, 규제 당국은 은행에 ‘우리가 시장을 형성하는 중이니 디지털화해 달라’고 한다. 심지어는 뱅킹 사용자 경험을 감독하고 디지털 ‘미인 대회’ 같은 것을 통해 경쟁하게 하고 시장을 긴장시킨다”라고 말했다.

실제로 싱가포르는 'APIX 정책'도 시행하고 있다. 젊은 핀테크 기업과 기존 금융서비스 기관이 서로 노하우와 솔루션을 공유하기는 공개적인 교류의 장이다. 크뢰너는 “이 계획에는 양면이 존재한다. 한쪽에서는 기존 기관이 어떤 문제에 대해 자체 솔루션이 있는지  확인할 수 있고, 다른 한쪽에서는 핀테크 혁신 주체가 기존 기관에서 온 요건을 재확인할 수 있다”라고 말했다.

싱가포르가 이렇게 앞서가는 것은 (이미 짐작하는 것처럼) 이렇다 할 천연자원은 없고 지적 자원만 있는 작은 국가이기 때문이다. 크뢰너에 따르면, 뱅킹 및 관련 사안에 있어서 싱가포르가 앞서가고 유럽 은행은 제대로 따라가고 있지 못하고 있다.

그렇다면 유럽의 접근 방식은 무엇이 문제일까. 크뢰너는 독일을 예로 들어 설명했다. 그는 “독일 규제 당국은 자기들이 할 일은 시장 형성이 아니라 독일 예금 보호를 위한 신중한 규제라고 생각한다. 은행의 가치 제안에 영향력을 행사하는 것은 기본적으로 의사 결정권자와 주주가 할 일이라고 본다”라고 말했다.

이러한 것이 얼핏 보면 위험의 근원처럼 보이지 않는다. 그러나 크뢰너는 '위험의 근원이 맞다'고 본다. 왜냐하면 결국 독일 은행도 오픈 뱅킹을 받아들여야 하고, 그렇지 않으면 경쟁업체에 사업을 뺏길 것이기 때문이다.

따라서 그 진입점이 바로 위험 수준을 좌우한다. 크뢰너는 “사이버 범죄와 사기 측면에서 순진한 신참자가 되는 것의 위험은 매우 엄청나다”라고 말했다.

물론 은행이 자신의 핵심 사업에 집중하고, 유동적인 새로운 시장은 기술적으로 성숙할 때까지 진입에 신중한 태도를 취하는 것도 이해할 수 있는 지점도 충분히 있다.

그러나 사업집중 분야와 고객 기반이 명확한 소규모 은행이라면 서비스형 뱅킹이 해답일 수도 있다. 내부적으로 제품 범위를 확장하는 대신 다른 여러 오픈 뱅킹 참가자가 이미 보안성 시험을 거친 기성 솔루션으로 미리 상황을 살펴볼 수 있기 때문이다.

가장 큰 장점은 ‘순진한 신참자’ 위험을 줄일 수 있다는 것이다. 반면 서비스형 뱅킹을 사용할 때는 서비스를 차별화하고 고유의 판매 제안을 갖추기가 그다지 쉽지 않을 수 있다.

정리하면 오픈 뱅킹의 위험성은 고객 입장에서는 매우 낮은 반면, 은행 입장에서는 그렇지 않다고 할 수 있다. 아무리 소극적인 은행이라도 조만간 오픈 뱅킹의 위험성을 본격적으로 고민해야 할 것이다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.