`마이데이터` 때문에 보안 업계가 웃는 이유는?

(자료=금융위원회 제공)

[이데일리 이후섭 기자] 오는 8월 본격화되는 본인신용정보관리업(마이데이터) 사업을 앞두고 정보보안 업계가 미소짓고 있다. 마이데이터 서비스에 대한 보안취약점 점검이 의무화되면서 외부 평가전문기관으로 지정된 27개 보안 업체에 호재가 되기 때문이다.

마이데이터 사업자당 최대 수천만원에 달하는 점검 비용으로 사전 특수도 누릴 수 있는 동시에 취약점 점검을 통해 잠재 고객을 확보할 수 있는 길도 열렸다.



연 1회 보안 점검 의무화…27개 보안업체에 `호재` 기대

7일 금융보안원에 따르면 마이데이터 사업자는 서비스의 보안성 강화를 위해 연 1회 이상 응용프로그램, 데이터베이스(DB), 웹서버, 정보보호시스템, 네트워크 등 5대 분야 375개 항목으로 구성된 기준에 따라 보안취약점 점검을 수행해야 한다. 올해는 서비스 출시 전에 점검을 완료해야 하고, 내년부터는 점검결과를 매년 11월 말까지 금융보안원에 제출하면 된다. 이때 점검 과정에서 발견된 미흡한 사항에 대한 조치까지 완료한 결과를 보고해야 한다.

금융보안원 관계자는 “기능적합성 심사와 보안취약점 점검은 현재 가이드라인에 의무 사항으로 명시돼 있는데, 올해 상반기 중 전자금융감독규정에 반영될 예정”이라며 “점검 결과를 받아 금융보안원에서는 (사업자가)자체전담반을 제대로 꾸려졌는지, 적격한 외부 전문평가기관에서 점검을 받았지는 등의 결격 사유를 파악해 금융위원회에 보고한다”고 설명했다.

취약점 점검은 외부 평가전문기관으로 지정된 27개 보안업체를 통하거나 사업자가 자체전담반을 꾸려 실시하는 방법 중 선택해서 진행할 수 있다. 다만, 자체전담반은 전자금융감독규정에 따라 정보보호책임자를 포함해 5인 이내로 구성하고, 3분의 1 이상이 정보보호산업법상에서 요구하는 고급 인력의 자격을 갖춰야 하는 등의 요건을 충족해야 한다.

규모가 큰 은행, 카드사 등은 자체전담반을 꾸릴 여력이 되겠지만, 대다수 외부 기관을 이용할 것으로 보인다. 자체전담반을 위한 별도의 조직을 구성하고 인력을 투입하는 데 들어갈 비용과 시간이 만만치 않을 것이기 때문이다.

업계 관계자는 “요건에서 말하는 고급 인력이라면 맡은 업무가 중요할텐데 자체전담반을 위해 해당 업무에서 빼거나 새로운 인력을 뽑기 쉽지 않을 것”이라며 “비용과 효용 측면에서 외부 기관을 이용하는 것이 편리하고, 외부에 맡길 경우 더 객관적으로 취약점을 파악할 수 있다”고 판단했다.

수십억원 규모 시장 새로 생겨…보안솔루션 구축까지 연계

보안업계에서는 새로운 시장이 생겼다는 점에서 마이데이터 사업을 반기고 있다. 모든 금융권과 핀테크 업계에서 앞다퉈 뛰어들고 있는 마이데이터 사업에는 현재 28곳이 본허가를 획득했고, 2차 허가심사를 앞두고 80개가 넘는 기업이 신청 의사를 타진한 것으로 알려졌다.

취약점 점검 비용도 시장 가격에 따라 받을 수 있는 만큼 수익성에 도움이 될 전망이다. 모바일 앱 취약점을 점검하는 데 500만원 가량이 드는 점을 감안하면 DB, 웹서버, 방화벽 등의 전산설비까지 포함해 받는 점검 비용은 업체 규모에 따라 달라지겠지만 많으면 업체당 수천만원까지 받을 수 있을 전망이다. 단순 계산으로 마이데이터 사업자가 100개로 늘어나면 수십억원 규모의 시장이 새로 생기는 셈이다.

보안업계 관계자는 “기존에 중앙부처나 공기업이 보안취약점 점검을 받는 것처럼 마이데이터 사업자가 새로 포함돼 보안컨설팅 시장이 커질 것”이라며 “마이데이터 시장이 커지면 커질수록 점검 수요도 더욱 늘어날 것으로 기대된다”고 말했다.

이에 더해 취약점 진단 뿐만 아니라 보안솔루션 구축부터 운영까지 연계할 수 있는 성장성이 높은 사업이 될 것으로 기대하고 있다. 점검을 받는 업체 입장에서는 발견된 취약점의 개선까지 완료해야 하기에 평가기관에 솔루션을 요청할 것이고, 여기에서 더 나아가 보안컨설팅, 보안관제로 락인(Lock-in)하는 효과를 거둘 수 있을 전망이다.

관련 시장을 선점하기 위해 발빠르게 움직이는 보안업체들이 나오고 있다. ADT캡스 관계자는 “인포섹은 국내 금융 보안컨설팅 시장에서 가장 많은 레퍼런스를 보유하고 있다”며 “마이데이터 인허가를 위한 컨설팅 사업을 이미 시작했고, 보안취약점을 점검하기 위한 컨설팅 방법론 및 점검 도구를 고도화하고 있다”고 강조했다.