[김영기 금융보안원장] “금융데이터거래소, 안전한 유통·결합·분석 목표”

[한국금융신문 정선은 기자] “금융회사가 보편적으로 데이터 공급자라고 하지만 사실 수요자이기도 합니다. 비(非)금융사도 모두 수요자도 공급자도 될 수 있어요. 금융보안원은 데이터가 안전하게 활용될 수 있도록 지원할 겁니다.”

김영기닫기김영기기사 모아보기 금융보안원장(사진)은 7일 한국금융신문과의 인터뷰에서 ‘금융데이터거래소(FinDX)’가 초기 데이터 유통시장 활성화 임무를 맡고 있다며 보안원은 “최고의 보안기술을 적용해 안전하게 운영하겠다”고 했다.

김영기 원장은 올해 8월 ‘데이터 3법(개정 개인정보보호법·정보통신망법·신용정보법)’ 본격 시행을 앞두고 그 어느 때보다 바쁘게 대응하고 있다. 합리적 데이터 가격산정 기준 마련과 함께, 향후 데이터전문기관과 연계한 데이터 유통·결합·분석 통합 서비스도 예고했다.
◇ “수천만원도” 유료판매…가격 표준화 초점

김영기 원장은 상품등록 건수와 거래량이 늘고 있는 금융데이터거래소 현황을 소개했다.

금융보안원이 시범운영을 맡고 있는데 올해 5월 11일 출범해 한 달이 가까워진 이달 4일(오전 8시) 기준 참여기업 수가 55곳까지 늘었다. 은행·금융투자·보험·카드·CB(신용평가사)뿐만 아니라 핀테크·통신·컨설팅 등 비금융 회사까지 참여 범위가 넓다.

데이터 상품등록 건수는 314건, 누적 데이터 상품거래는 110건이다. 특히 유료 데이터 거래 성사에 관심이 높을 수밖에 없다. 실제 초반 한 카드사의 데이터 상품이 건당 8000만원에 팔린 것으로 알려졌는데, ‘깔려 있는’ 양질의 데이터로 부가가치를 창출한 셈이다.

이같은 카드소비 데이터, 그리고 지역단위 소득, 지출, 금융자산 정보 등이 주요 유료데이터 거래 항목으로 올랐다. 또 시·군·구 별 신종 코로나바이러스 감염증(코로나19) 소비동향 데이터 등이 공익목적 분석을 위해 무료로 거래되기도 했다.
김영기 원장은 “합리적인 데이터 가격 산정기준 마련이 앞으로 할 일”이라고 우선순위로 꼽았다.

실제 금융데이터거래소에 올라온 유료 데이터는 고정가격도 매겨지지만, 상당수가 ‘협의 가격’으로 돼있다. 아직 시장이 초기 단계라서 가격 기준이 제대로 형성되지 않았기 때문이라고 할 수 있다.

가격산정 기준은 거래소 출범하면서 내놓은 데이터 유통 가이드라인에서 시장접근, 비용접근, 수익접근 등 크게 세 가지 접근법을 제시하고 있다.

김영기 원장은 “시장의 수요와 공급, 공급자의 데이터 가공비용, 수요자의 데이터 분석으로 생길 부가가치 등을 고려해 가격이 형성될 것”이라고 설명했다.

금융보안원에서는 오는 8월 데이터3법이 본격 시행되는 시점에 맞춰 가명정보 유통 등 데이터 유통 가이드를 보완하고 합리적 가격산정 기준도 마련하기로 했다. 김영기 원장은 “데이터 거래 표준화를 지속적으로 유도하고 중개·매매 가격산정 기준을 정비할 것”이라고 제시했다.

활발한 데이터 유통이 관건인 만큼 적극적인 데이터 수요-공급 매칭 필요성도 강조했다. 금융보안원은 지난달 거래소 출범과 함께 금융결제원, 한국신용정보원, 코스콤, 보험개발원 등 유관기관과 데이터 유통 업무협약(MOU)을 맺고, SK텔레콤과도 금융-통신 융합 데이터 상호협력 업무협약을 체결했다.

당국인 금융위원회, 그리고 금융회사 등이 참여하는 ‘금융데이터 생태계 구축 협의회’도 가동하고 있다. 6월 말까지 금융권역 별 데이터 담당자가 모여 의견을 모으기로 했다.

김영기 원장은 “예컨대 은행업권의 경우 금융위원회가 한 은행 빅데이터 부수업무 신고를 수리(4월 9일)하면서 타 은행도 동일한 빅데이터 부수업무를 신고 없이 할 수 있게돼 거래소 참여가 늘었다”며 “반면 타업권은 규제체계가 다른 측면도 있어서 협의회에서 지속적으로 협력을 도모할 것”이라고 제시했다.

무엇보다도 강조한 것은 데이터의 안전한 활용이다. 금융데이터거래소가 안전하게 운영될 수 있도록 “최고의” 보안기술을 적용하고 있다고 했다.

김영기 원장은 “데이터 검색·계약·결제·분석 등 유통 과정의 모든 데이터를 대상으로 암호화 기술과 암호 통신을 적용해 제3자가 조회·누출할 수 없도록 안전하게 보호 조치했다”며 “금융데이터거래소 대상 침해사고를 예방하기 위해 출범 전 보안을 고려한 사전 시스템 기획과 설계, 취약점 분석·평가 등을 거쳐 거래소 플랫폼을 구축했다”고 설명했다. 아울러 거래소 자체적으로도 24시간 365일 보안관제로 외부 공격을 방어할 수 있는 보안 시스템을 갖추고 있다.

올해 8월 가명정보 결합 근거가 마련된 개정 신용정보법이 시행되면 데이터전문기관으로 지정받아 가명처리의 적정성 검증, 안전한 데이터 결합이 이뤄질 수 있도록 지원 역할을 맡기로 했다. 금융데이터거래소는 제공받은 데이터를 거래소 내에서 분석·활용하고 결과만 반출하도록 해서 보안성을 높인다. 다만 업계에서 경직적 운영에 대한 경계감도 있는 만큼 시행령 디테일이 중요하다는 의견도 나온다. 김영기 원장은 “법에서 정한 데이터전문기관의 시설·운영 여건을 차질 없이 준비하고 운영할 예정”이라고 전했다.

◇ 데이터 전문기관 예열…“종합 서비스”

거래소가 첫걸음이었다면 데이터전문기관 추진은 데이터 유통·결합 통합 지원 준비라고 할 수 있다.

올 8월 개정 신용정보법에 맞춰 금융위원회가 지정하는 데이터전문기관을 염두해 금융보안원은 전문기관 포털, 정보집합물 송·수신, 정보집합물 결합, 가명·익명 처리, 적정성 평가 지원 등을 위한 시스템을 구축하고 적정성평가위원회를 구성하도록 했다.

판매자 요청이 있으면 데이터의 익명·가명 처리 적정성, 구매자의 정보보호대책 적정성을 거래소가 확인해서 구매자에게 전송하는 등 제공 데이터의 재식별 가능성도 최소화한다.

김영기 원장은 “내년(2021년)에는 데이터전문기관 역할과 연계해서 결합 데이터상품에 대한 원격분석 환경 확장 등 금융데이터거래소 서비스 고도화를 추진하고자 한다”며 “데이터 유통·결합·분석 등 종합 데이터 서비스를 제공할 것”이라고 말했다.

신(新) 산업으로 도입되는 마이데이터(MyData·본인신용정보관리업) 표준 안착도 힘을 싣는다. 김영기 원장은 “올해 마이데이터 이용·인증·보안 가이드를 배포하고 금융회사 및 마이데이터 사업자가 개발한 API(응용프로그래밍 인터페이스)의 데이터 표준API 규격 적합성과 보안·인증 정상 작동 여부를 사전 테스트 할 수 있는 테스트베드를 구축하기로 했다”고 말했다.

◇ 코로나19 사이버공격 ‘꼼짝마’

올들어 금융보안원이 집중했던 보안 키워드로는 코로나19가 꼽혔다. 금융 정보공유분석센터(ISAC) 위기상황대응반을 운영하며 금융권 사이버공격 위협에 대비태세를 유지했다.

실제 금융보안관제센터 탐지 분석(3~4월)에 따르면 코로나19 관련 키워드가 포함된 메일 680만여건 중 1%인 7만3000여건이 악성메일로 의심됐다. 금융보안원은 사이버 위협 동향을 인텔리전스 보고서로 금융회사와 공유했다.

김영기 원장은 “이메일 공격, 스미싱 공격 등 코로나19를 악용한 사이버 공격 시도에 대한 모니터링과 분석으로 금융분야 보안 관제체계를 한층 강화해서 운영하고 있다”고 제시했다.

금융회사 임직원 재택근무가 늘면서 올 4월에 화상회의 솔루션을 안전하게 활용할 수 있는 보안 고려사항을 전파키도 했다.

금융보안원은 금융결제원, 정보보호 전문서비스 기업과 협력해 오픈뱅킹, 금융규제 테스트베드에 참여하는 중소 핀테크 기업 대상으로 보안점검도 실시하고 있다. 핀테크 기업은 전자금융거래법 대상이 아닌 경우가 많아 상대적으로 보안에 취약할 수 있다.

김영기 원장은 “핀테크 기업의 지속적인 참여로 올해는 130건 이상의 보안점검 수요가 예상된다”고 내다봤다. 오픈뱅킹 본격화에 앞서 지난해 12월 은행권역 모바일뱅킹 앱 대상으로 테마점검도 실시했다.

또 ‘버그바운티(Bug Bounty)’도 지난해부터 금융권 최초로 가동하고 있다. 전자금융 소비자가 이용하는 금융회사 제공 소프트웨어 신규 취약점을 신고받아 포상하는 제도다. 김영기 원장은 “올해는 전년보다 취약점 신고기간을 상·하반기 2회로 확대하고 전체 포상금 규모도 최대 1000만원으로 높여 적극 운영할 것“이라고 했다.

◇ 금융보안표준 주춧돌…“보안환경 변화 대응”

김영기 원장은 올 3월 데이터혁신센터 개편과 함께 보안평가부 내 ‘DT평가실’을 신설하는 조직개편을 단행했다. 클라우드, 오픈뱅킹, 핀테크 등 금융권 디지털 트랜스포메이션(DT)에 따른 새로운 보안평가 수요 증가에 효율적으로 대응하기 위해서다.

김영기 원장은 4차 산업혁명 기반 기술들이 혁신이지만 보안이 담보되지 않으면 자칫 “양날의 검이 될 수 있다”는 점을 강조했다. 신규 금융서비스 기획 단계부터 시장출시 전까지 각 단계 별로 취약점 유무를 확인해서 보안을 내재화하는 보안성 검토를 실시한다.

또 지난해부터 국내·외 클라우드컴퓨팅 서비스 제공자(CSP)에 대한 안전성 평가를 지원하고 있다. 올 4월까지 AWS(아마존웹서비스) 등 8개 CSP 25건 평가를 완료했다.

김영기 원장은 “Q&A(질의응답) 사이트를 운영하면서 금융권 클라우드 이용 활성화를 지원하고 있다”며 “올해 클라우드에 대한 디지털포렌식 등 침해대응 전문기술 연구, 클라우드 이용 가이드 개정 등도 계획하고 있다”고 말했다.

금융보안 표준화도 강조했다. 금융보안원은 보안 표준 수요에 대응하기 위해 2018년 금융보안표준화협의회를 구성하고 현재까지 금융보안기술, 금융보안관리, 결제서비스 등 총 11건의 금융보안표준을 제정했다. 특히 최근 올해 3월 디지털신분증 관리·통제와 관련한 ‘분산ID(DID) 금융보안표준’을 제정했다.

금융 사이버 보안 체계를 강화하는 일은 올해 필수과제로 꼽았다. 김영기 원장은 “금융권 보안관제 환경 변화에 대응하고 금융회사 수요도 반영하기 위해 고도화 전략을 수립하고 있다”며 “내년부터 차세대 금융보안관제시스템 구축도 추진하기로 했다”고 제시했다.

▶▶ He is…

△ 1963년생 / 영남대 경영학과 / 성균관대 경영학 박사 / 금융감독원 검사지원국 팀장·여전감독실 팀장·저축은행서비스국 팀장·상호여전감독국장·감독총괄국장 / 금융감독원 업무총괄 담당 부원장보 / 금융감독원 은행 담당 부원장보 / 제3대 금융보안원장(2018년 4월~)

정선은 기자 bravebambi@fntimes.com