금융당국 보안성심의가 폐지된지 두달이 지났지만 핀테크업체들은 진입장벽이 여전히 높다는 볼멘소리를 내고있다. 금융감독원으로부터 배포받은 자체 보안성심의 기준을 금융사들이 제대로 이행하지 않는다는 점이 주된 이유로 꼽힌다.

 

 

이에따라 금융당국은 보안성심의 폐지 후 혼선이 계속되면 보안성심의 실태를 파악할 계획도 세우고 있다.

 

6일 관련업계에 따르면 핀테크업체의 보안성심의 의뢰에 대해 타 금융사의 평가 결과에 따라 입장을 결정하는 행태가 금융권에 만연한 것으로 확인됐다.

 

핀테크 업체 한 관계자는 "A금융사에 보안성평가를 의뢰하면 B금융사도 허가해줬는지부터 먼저 확인한다"며 "관치를 벗어나는 줄 알았더니 금융사들의 '눈치보기' 때문에 더 큰 난관에 직면하게 됐다"고 토로했다.

 

핀테크업계는 금융당국이 각 금융사 등에 배포한 자체 보안성심의 가이드라인(샘플)을 금융사가 제대로 이행하지 않는다는 점에 대해서도 불만이 크다. 핀테크업계 또다른 관계자는 "금감원 보안성심의가 존재할 때는 속된 말로 '비빌 언덕'이라도 있었지만 자율 보안성심의로 바뀐 이후에는 금융사들이 느끼는 부담이 큰 것 같다"고 덧붙였다.

 

금융당국은 금융사와 핀테크 업체들이 명확한 보안성평가 기준을 만들지 못하자 보안성 심의 가이드라인(샘플)과 보고서 양식을 배포한 바 있다.

 

자체 보안성심의 기준은 ▲거래 당사자 인증 ▲거래정보의 기밀성, 무결성 및 부인방지 ▲정보처리시스템 보호대책 ▲고객 단말기 보호대책 ▲정보유출 방지대책 ▲이상금융거래 방지대책 ▲시스템 가용성 확보 및 비상대책 ▲시스템 설치장소에 대한 물리적 접근통제 등이다.

 

자체 보안성심의 결과 보고서에는 업무명과 업무적용일, 서비스 목적과 대상, 주요 내용, 보안성심의 결과, 담당자 등을 표기하도록 했다.

 

가이드라인에 충족되더라도 보안 전문가들에게 '취약점 리포트'를 받아오라고 요구받는 업체도 더러 있다.

 

이에대해 몇몇 금융사는 "당국이 제시한 것(가이드라인)은 최소한의 기준에 불과하고 사고에 대비해 꼼꼼한 점검이 필요하다"고 항변했다. 외부인력을 영입해 보안평가 전담조직을 만들거나 금융보안원에 의뢰해 보안성평가를 대체하기도 한다.

 

이에따라 금융당국은 보안성심의 실태조사를 벌일 방침이다. 혼선이 계속될 경우 그간 진행됐던 규제완화의 효과가 더디게 나타날 수 있기 때문이다.

 

금감원 관계자는 "금융회사의 개별 자율보안체계를 중심으로 부족한 부분을 보완하는 선에서 규제가 아닌 지원을 할 예정"이라며 "보안성심의 폐지 후 혼선이 있을 것으로 보여 일정 시간 뒤 보안성심의 실태를 파악할 계획"이라고 전했다.

 

 

 

 

 

김민성 기자 kms0724@etomato.com