9월 19, 2020

국내에서도 금융 기관이 아닌 제3자

구체적으로는 이용자를 대상으로 보안 인식 수준 향상을 위한 상세한 가이드를 제공하 되 보안 환경의 변화

에 맞춰 그 내용을 지속적으 로 개선토록 하였고, 이용자가 보안절차의 변경 이나 보안 취약점 등에 관한 정

보와 지원을 적시 에 편리하게 이용할 수 있도록 하며, 필요한 경우 에는 이용자가 보안상의 목적을 위해 서

비스의 기능을 중지하거나 지정한 기기에서 금액 한도 를 조정할 수 있도록 지원하게 하고 있다 PSD2 제66

조, 제67조는 제3자가 지급결제지 시서비스나 계좌정보서비스를 제공하기 위하 여, 계좌 관리 금융기관이

보유한 이용자 계좌 에 접근할 수 있는 권한을 보장함과 동시에 계 좌와 정보의 이용 범위와 보관 여부 등을

제한 하고 있으며, 이는 지침의 개정에 따라 계좌 관 리 금융기관의 통제 범위 외에서 다수의 서비 스 제공자

가 계좌에 접근할 수 있게 됨에 따라 중요 정보의 부정한 사용 등 서비스와 관련하 여 새롭게 발생할 수 있는

보안위험에 대응하 기 위함이라 할 수 있다. 두 서비스에 대한 제한요건의 구체적인 내용 에 일부 차이는 있

으나, 공통적으로 제3자인 서 비스 제공자가 서비스 제공을 위해 계좌에 접 근하기 위해서는 이용자의 명시

적 동의를 받도 록 요구하고, 서비스 제공에 불필요한 정보에 대한 접근 또는 민감한 지급결제정보 등에 대

한 요청․저장 등을 제한하고 있다. 또한, 이용 자인증의 기술적인 요건과 예외사항, 개인보안 자격증명의 보

호 방안, 서비스 관련자 간의 안 전한 통신을 위한 공개 공통 표준 등을 제시하 는 PSD2의 인증과 통신에 대

한 규제기술표준 (Regulatory Technical Standards, RTS)[36] 에 따라 서비스 이용자의 개인보안자격증명

을 보호하고 통신의 안전성을 확보할 의무를 부여 하고 있다. 유럽연합의 PSD2는 국내 금융시장에도 변 화

를 가져오고 있는데, 이는 국내에서도 금융 기관이 아닌 제3자에게 계좌 접근과 관련 정보 의 이용을 허용하

는 제도의 변화와 법규의 개 정을 금융당국이 적극적으로 추진하는 것으로 나타나고 있으며 이에 대해서는

앞서 1장에서 도 확인하였다. 국내 금융시장에서도 금융회사 가 아닌 제3자에 대한 계좌 접근과 정보 제공

이 의무화 된다면, 먼저 새롭게 금융시장에 진입 하려는 기관에 대해서는 이용자의 자금을 안전 하게 보호

하고 이용자의 신뢰를 확보할 수 있 도록 금융시장에 적합한 수준의 보안위험 대응 체계를 보유하도록 하여

야 한다. 또한 Wolters et al.[39]이 제3자의 이용자 인 증에 기반한 서비스 제공은 계좌 관리 금융기 관이 계

좌 접근의 적정성 등을 서비스 제공자 에게 전적으로 의존할 수밖에 없다는 것이며, 이는 PSD2에서 인증의

강화 등에도 불구하고

과 같이 공격의 대상과 기회의 증가 를 의미하고 보안 위험을 증가시킨다고 분석한 것처럼, 기존 시장 참여

자의 보안위험 대응 수 준 향상도 요구된다고 할 수 있다. 앞서 확인한 것처럼 PSD2에서는 이러한 보안 위험

에 대한 제도적 대응으로 제3자를 포함한 신규 참여자가 시장에 진입하기 위해서는 적정 수준의 보안위험

관리체계를 보유하도록 규정 하였으며, 서비스 제공 단계에서도 관리체계를 유지․개선하도록 요건을 제시

하고 있다. 국내 의 경우 지급결제서비스 등 전자금융의 보안위 험에 대한 대응은 ‘전자금융거래법[13]’으로

규 제하고 있으며 규제의 상세한 내용은 동 법의 하위 규정인 ‘전자금융감독규정[18]’에서 주로 제시하고 있

으므로, 본 연구에서는 향후 국내 금융 시장의 변화에 대비한 제도 개선의 시사점 도출을 위해 동 법규와 규

정에서 제시하고 있는 허가 또는 등록과 서비스 제공 단계의 보안위험에 대한 제도적 대응을 중심으로 비

교․분석하였다

출처 : 메이저토토사이트 ( https://ptgem.io/ )