-오픈 API 통해 구현, 제3자가 금융기관이 가진 고객 금융데이터에 접근 가능해져
-공유 데이터, 민감정보와 금융정보 포함하는 경우 대다수…보호·보안 이슈 커져
-변조 애플리케이션, 악성코드, 관리 미흡 등으로 고객 정보 유출 가능성

[데일리비즈온 심은혜 기자] 올해 말부터 오픈뱅킹이 전면 시행을 앞두고 있다. 7월부터는 핀테크 기업으로부터 신청을 받으며, 오는 10월 중에는 은행권에서 시범 서비스를 시작할 예정이다. 오픈뱅킹 도입에 금융업계는 새로운 성장 동력을 제공할 것으로 기대하고 있다. 하지만 개인정보보호와 정보보안 등 새로운 기술 도입으로 여러 가지 리스크가 생길 것으로 예상되어 리스크에 대응할 수 있는 시스템을 구축과 더불어 지속적인 모니터링이 중요하다는 의견이 제시됐다.

최근 금융연구원이 내놓은 오픈뱅킹 시대의 도래와 향후 과제 보고서에서 서정호 금융연구원 선임연구위원은 “오픈뱅킹은 금융정보의 외부 공유를 확대하고 은행 간 및 은행-핀테크 간 경쟁과 협력을 본격 촉진하는 신호탄이 될 것으로 보이나, 고객 데이터에 대한 관리 소홀, 시스템에 대한 보안 위협, 금융범죄 등의 부작용이 증대될 수 있다”고 지적했다. 

오픈뱅킹은(Open Banking)은 고객의 명시적 동의가 있는 경우 은행이 보유하고 있는 고객의 금융정보에 타행 또는 제3자 서비스 제공자자(Third-Party Service Provider, TPP)가 오픈 API(Application Programming Interface) 등을 통해 접근할 수 있도록 허용하는 것이다. 

오픈뱅킹은 기술적으로 은행이 API를 공개하는 ‘오픈(Open) API’를 통해 구현된다. API란 특정 프로그램의 기능이나 데이터를 다른 프로그램이 접근할 수 있게 미리 정한 통신 규칙이다. 권한 범위에 따라 공개형 API(Open API)와 폐쇄형 API(Closed API)로 나뉜다. 

(자료=삼정KPMG 경제연구원)
(자료=삼정KPMG 경제연구원)

기상정보가 API를 통해 공개되면, 이를 개발자가 서비스에 맞도록 활용해 우리가 흔히 사용하는 날씨 정보 제공 애플리케이션이 출시된다. 이것이 대표적인 오픈 API 활용 사례이다. 

이와 유사하게 금융권에서 오픈 API는 참여 금융기관이 설계한 고객의 거래내역조회 API, 자금이체 API 등에 따라 금융회사 시스템에서 실행된다. 

예를 들어, 핀테크기업과 같은 제3자가 API에 따라 사전에 약속된 ‘송금 명령어’를 금융회사 시스템에 전송하면, 금융회사는 해당 송금 명령어에 따라 송금을 실행하는 것이다. 

은행이 API를 개방·공개(Open)하게 되면 개발자는 제공된 데이터를 자신이 만들 수 있는 서비스에 맞도록 재가공하여 활용할 수 있게 되고, 개방하는 API 종류에 따라 서비스의 종류 또한 다양하게 된다. 

결국 오픈 API는 제3자가 금융기관이 가진 고객 금융데이터에 접근할 수 있는 채널로서 종류와 범위, 권한은 다양한 형태가 된다. 

이러한 오픈뱅킹은 금융데이터의 활용도 제고, 금융 산업 내 공정한 경쟁의 장 조성 등을 위해 각 국가에서 입법화하고 있으며, 기존 금융기관은 개방형 혁신의 일환으로 오픈뱅킹을 주목하고 있다. 

또한 오픈뱅킹이 활성화 되면 금융회사와 고객 간 정보의 비대칭성이 축소되고, 고객은 자기 정보에 대한 통제력을 강화할 수 있게 된다.

그러나 API의 공개는 기존 금융기관과 고객 간 정보를 이용하던 구조에서 이용기관인 제 3자가 추가되어 데이터 사용자와 관리 대상, 범위가 확대된다. 이렇게 공유되는 데이터는 고객의 민감정보와 금융정보를 포함하는 경우가 대다수로 고객정보 보호와 보안에 대한 이슈가 더욱 커지게 된다. 

또한 이용자 입장에서는 변조 애플리케이션으로 고객 정보가 유출될 우려가 있으며, API를 통해 정상적으로 제공한 개인정보가 침해당하거나 불법 애플리케이션이 이용기관으로 가장해 접근하는 문제에 노출될 수 있다. 

이용기관은 오픈 API 관련 정보처리과정에서 악성코드에 감염되거나 관리 미흡으로 인해 고객정보가 유출될 수 있으며, 중소형 핀테크기업이 오픈 API를 제공받아 활용하는 경우 시스템 구축이 상대적으로 열악할 수 있으므로 리스크가 증가할 수 있다. 

고객정보를 제공하는 금융기관 입장에서도 오픈 플랫폼이나 자체 API를 제공하는 이용기관의 적격성을 제대로 파악하지 못할 수 있다. 악용의 의도를 지닌 제 3자에게 제공된다거나 고객 확인 의무 미준수 등에 따른 규제 위반 가능성에도 노출된다. 

더불어 단일 시스템을 통해 오픈 API가 제공될 경우 트래픽 등 기술적 사항으로 인한 리스크 역시 존재한다는 삼정 KPMG의 설명이다. 

이처럼 오픈뱅킹 시스템에 참여하는 이용기관, 제공기관 및 시스템 운용자는 보안성과 안정성을 유지하는 것이 무엇보다 중요하다. 때문에 감독당국은 오픈뱅킹 확산에 따른 시스템의 안전성, 고객정보의 적절한 관리가 이뤄지도록 모니터링 강화가 필요하다. 

삼정 KPMG는 “미연의 리스크에 대응할 수 있는 시스템을 구축하고 지속적인 모니터링을 해야 한다”며 “유출이나 금융결제망은 특성상 한 번 사고가 발생하면 빠르게 확산할 수 있는 등 피해 규모가 막대하고, 취약한 보안으로 인해 금융사고 위험에 노출될 경우 기존 금융기관이 이를 책임져야 할 수 있기 때문에 높은 보안 수준이 요구된다. 오픈뱅킹에서 보안은 단순 비용 문제가 아닌 서비스의 완성”이라고 설명했다. 

서 선임연구위원은 “국내은행이 오픈뱅킹이라는 어려운 도전이자 실험을 시작할 출발선상에 서 있다. 은행들끼리 가격 경쟁만 하는 치킨게임 양상으로 흐를지, 새로운 플레이어들에게 은행이 가진 고객과 정보만 내어주고 말 것인지, 아니면 국내은행이 새롭게 탈바꿈할 수 있는 기회로 활용할지는 얼마 후 판가름 날 것”이라며 “고객 중심적 사고가 절실한 시점”이라고 전했다. 

저작권자 © 데일리비즈온 무단전재 및 재배포 금지