지난 9일, 데이터3법이 국회 본회의를 통과했다. 금융 혁신 서비스를 계획하고 있는 핀테크 업계, 금융사들은 자유로운 서비스 개발을 위한 큰 산을 넘어선 셈이다.
하지만 아직 남은 과제가 만만치 않다. 대표적인 것이 망분리 이슈다. 클라우드 환경을 제약하는 망분리 의무화에 대해 핀테크 업체들은 물론 일부 금융사들도 다소 완화될 필요가 있다고 지적하고 있다.
단순히 인터넷 망과 업무망이 분리되서 발생하는 불편함 뿐만 아니라 오늘날처럼 모든 것이 온라인에서 지원되는 SaaS 시대에도 이는 맞지 않는다는 지적도 나온다.
망분리 규정을 준수하기 위해선 막대한 비용이 소요되는데 핀테크 업체들이 이를 수용하기 쉽지 않은 것이 사실이다. 또 SaaS 환경에서 대부분의 서비스를 구축하고 있는 핀테크 업체들이 망분리를 준수하는 것은 효율성 면에서도 약점이 되는 부분이다.
때문에 업계에선 망분리가 지향하는 보안성 강화라는 부분은 유지하면서도 보다 유연한 방식의 보안 정책을 펼수 있기를 기대하는 분위기다.
한편 제3자 유지보수 시장에서도 금융당국의 규제가 금융권의 선택을 제한한다는 지적이 제기되고 있다.
현재 금융당국은 금융사가 데이터베이스 등 어플리케이션 운영할 때 보안을 위해 항상 최신 패치를 적용해야 한다고 금융감독규정 중 부연설명으로 정의하고 있다. 패치는 어플리케이션 개발사가 제공하는 개념으로 이를 대행해주는 3자 유지보수가 제공할 수 없다. 중대한 기술적 리스크 없이 비용을 절감할 수 있는 기회를 단순한 보안규제 때문에 포기하고 있다는 것이다.
따라서 이러한 규제중 대표적인 것이 ‘가상패치(Virtual Patching)’를 통한 보안 강화 노력의 원천 차단이다. 가상 패치란 보안 패치를 적용하지 못하는 환경에서 응용 프로그램 및 엔드 포인트를 취약점으로부터 보호하는 호스트 기반 보안 기능이다.
가상 패치의 특성으로 인해, 기업의 보안패치 프로세스에서 워크로드를 줄일 수 있고, 주요 애플리케이션 및 엔드 포인트의 지속적인 보안강화를 위해 즉시적인 보안 패치를 제공한다. 이를 통해 부수적으로 소프트웨어 패치주기와 소프트웨어 유지보수 횟수를 줄여 운영 비용을 줄일 수 있다.
가상패치 방식의 보안 제품은 맥아피, 트렌드마이크로 등 보안 관련 전문 회사들을 통해서 공급되고 있고, 이러한 제품들을 통해서, 3PS서비스를 활용하는 많은 금융기관들이 Oracle/SAP의 보안패치 없이도 사용제품에 대한 보안 관리를 성공적으로 해오고 있다.
그동안 금융 관련 IT사업을 해오던 전문 업체들은 금융감독당국의 규제 및 철학에 나름대로 길들여진 상태다. 하지만 오픈뱅킹, 마이데이터 사업이 추진되면서 새로운 플레이어들이 시장에 참여하면서 금융시장의 관행 등에 익숙지 않은 이들 플레이어들의 불만도 폭발할 것으로 보인다.
우선 오프뱅킹 및 마이데이터 사업을 준비하는 신규 집이 업체들은 금융당국의 전자금융감독규정에선 IT분야에서 꼭 해야 하는 것들을 정의하고 있는데 이런 것들이 오히려 IT 기술을 받아들이는 데 있어서 제약조건이 되고 있다는 생각이다. 특히 일단 룰이 결정되면 바뀌기가 쉽지 않다는 데서 초기 정책 수립이 유연하게 진행될 필요가 있다는 지적이다.
금융권에 관행적으로 처리되던 업무 프로세스와 자체적인 검열(?)에 대해 익숙지 않은 플레이어들의 대거 등장이 금융당국의 규제 철학에 어떤 영향을 미칠지 관심이다.
한 업계 관계자는 “금융 디지털 무한 경쟁시대에 살아 남기 위해서는 기존 시스템의 운영 및 새로운 비즈니스의 개발이 동시에 이루어져 상황에 따라 유연하게 대응해야 할 수 있어야 한다.”면서 “금융권의 각종 규제는 이미 관습적인 인식에 불과하고 시간, 인력, 비용의 절감을 통해 금융기관들이 디지털 트렌스포메이션의 방향성과 타이밍을 스스로 결정하는 합리적인 선택을 해야 할 때”라고 말했다.