금융권 ‘마이데이터發’ IT 구축 “큰장 열린다”

편집 : 2024.4.19 금 16:17

금융IT

금융권 ‘마이데이터發’ IT 구축 “큰장 열린다”신한카드, 우리은행, 롯데그룹 등 적어도 200억 안팎 투자 예고…확산예고

김동기 기자 | kdk@bikorea.net

승인 2020.11.09 07:09:10

금융당국의 ‘본인신용정보관리업(이하 마이데이터)’ 예비허가 심사 대상업체 35개사의 사업계획서를 심사하기 시작한 데 이어, 금융사들 중심으로 IT투자에 본격 나설 것으로 예상되며 관련 업계가 술렁이고 있다.

이는 개정 신용정보법 제 2장 제 6조 ‘허가의 요건’에 “인력 및 물적 시설(전산설비 및 정보통신설비 등)의 세부요건을 준수”하도록 규정하고 있기 때문이다.

즉, 마이데이터 예비허가를 통과하게 되는 금융회사 또는 비금융회사 모두 이같은 규정에 근거해 IT시스템을 구축해야 하는데, 그 규모가 개별기업별 적어도 200억원 이상이 투자될 것이라는 전망이다.

9일 업계에 따르면 최근 신한카드가 한국HPE와 1차 요건정의 및 방향성 수립을 마치고 조만간 200억원 안팎의 마이데이터 IT시스템 구축 제안요청에 나설 것으로 예상된다.

1차 사업을 맡았던 한국HPE와 LG CNS 경쟁이 눈에 띈다.

예비허가 신청을 완료한 우리은행도 200억원 이상 예산을 마련, 본격적인 IT투자에 나설 채비다.

롯데카드는 그룹차원에서 지원을 받으며 수백억원대 마이데이터 IT투자에 나설 것으로 예측된다.

업계 한 관계자는 “마이데이터 사업에서 가장 질적으로 좋은 정보라 하면, ‘누가 어떤 카드로 어디가서 어떤 소비를 했느냐 하는 하는 내용이 담긴 정보”라며 “롯데카드-엘포인트(L.point)-롯데그룹 내 각종 쇼핑 채널(백화점, 마트, 온라인 등)의 삼각편대는 마이데이터 사업의 가장 훌륭한 기반이 된다”며, 최근 롯데그룹 분위기를 전했다.

비단 이들 금융회사 뿐만 아니라, 이번에 예비허가를 획득한 금융회사는 모두 IT 물적요건을 반영해 대규모 투자에 나설 것으로 예측된다.

업계 한 관계자는 “마이데이터의 IT요건 충족을 위해서는 오픈 API 개발부터 ODS(Operational Data Store)에서 여타 데이터 결합에 필요한 목적형 DW로 분화 및 재구성, 정합성 체크 그리고 대규모 보안투자를 요구하고 있다”며 “몇몇 금융회사들이 퍼블릭 클라우드에 관련 시스템 구축안을 내놓고 있지만, 200억원 안팎의 비용은 기본 개발비로만 보면 될 것”이라고 전했다.

이같은 기본 요건 외에도 데이터 처리 과정의 ‘기업 신용평가 모형’ 개발 등 추가 개발요건이 반영되면, 그 규모는 더 커질 수 있다.

특히, 이번 예비허가 심사가 1차로 끝나는 것이 아니라 향후 추가심사를 통해 2차, 3차 마이데이터 사업자를 허가할 것으로 예상돼 관심 있는 금융회사는 2021년 이후 지속 금융당국 문을 두드릴 전망이다.

덩달아 IT의 물적 설비 관련 시장 또한 크게 확대될 것이라는 예측이다.

이 관계자는 “저축은행중앙회, 신협중앙회, 새마을금고중앙회, 코스콤 등 공금융 성격의 조직들도 각 조직들이 갖고 있는 데이터의 성격에 큰 특징을 갖고 있어 마이데이터 사업에 적극적”이라고 덧붙였다.

지방자치단체 움직임도 전해진다. 경기도청이 자체 보유한 행정정보와 지역상권, 지역화폐를 축으로 하는 마이데이터 사업에 나설 것으로 전해졌다.

◆마이데이터 IT설비의 주요 내용은 = 마이데이터 구축에 필요한 IT설비는 신용정보법 2장 6조 ‘허가의 요건’, 2장 11조 ‘겸영업무’, 5장 22조의 9 ‘본인신용정보관리회사의 행위규칙’, 5장 26조의 4 ‘데이터 전문기관’ 등의 기준을 근거로 한다.<그림1 ‘마이데이터에 필요한 IT물적 요건의 주요 근거’ 참조>

근거				내용
신용정보법		시행령,감독규정,기타
2장 6조	허가의 요건	시행령	2장 6조 허가의 요건	인력 및 물적 시설(전산설비 및 정보통신설비 등)의 세부요건을 준수
2장 11조	겸영 업무	기타	정보통신망 이용촉진 및 정보보호등에 관한 법률	본인확인기관의 심사요건 _ 물리ㆍ기술ㆍ관리적 조치계획,설비규모의 적정성
		기타	기술의 이전 및 사업화 촉진에 관한 법률	기술거래기관 지정 기준
5장 22-9조	본인신용정보관리 회사의 행위규칙	감독규정	22-3조 본인신용정보관리회사 의 행위규칙	신용정보주체의 전송요구를 이유로 제공및 이용자의 전산설비 과도 접근 금지
5장 26-4조	데이터 전문기관	시행령	5장 22-4조 데이터 전문기관	신용정보 유출등을 방지하기 위한 내부통제장치 마련이 필수
<그림1 ‘마이데이터에 필요한 IT물적 요건의 주요 근거’>(출처 : 투이컨설팅 마이데이터 기획자 과정 발표 내용 일부 발췌)

구성	세부요건
시스템구성	1. 시스템 구성에 다음 항목을 포함할 것 가. D/B서버, 통신서버, 보안서버 등 통신구간 암호화 시스템 나. WEB서버(인터넷서비스를 제공할 경우에 한함) 다. 저장장치 라. 그 밖에 주변장치 2. 백업 및 복구시스템 3. 시스템 보안 및 시설 보안을 포함한 보안관리 체계
시스템 성능	1. 보유정보를 적절하게 처리할 수 있는 성능을 갖출 것 2. 온라인서비스 또는 공중통신망을 통한 정보의 수집 및 제공을 적절하게 처리할 수 있는 성능을 갖출 것 3. 백업 및 복구작업이 최소한의 시간내에 가능할 것
보안 체계	1. 방화벽(Fire-Wall)을 갖출 것 2. 침입을 탐지ㆍ경고ㆍ차단할 수 있는 보안시스템을 갖출 것 3. 내부네트워크와 신용조회네트워크를 분리하여 운용할 것 4. 정보이용자 확인 체계(사용자 인증)를 갖출 것 5. 데이터 암호화처리 체계를 갖출 것 6. 외부침입 방지, 출입자관리 통제 및 데이터 반‧출입 통제에 대한 대책을 강구할 것 7. 백업 및 소산관리 대책을 강구할 것
운용 능력	1. 시스템 운용능력을 갖출 것 2. 프로그램 개발능력을 갖출 것
(출처 : 투이컨설팅 마이데이터 기획자 과정 발표 내용 일부 발췌)

투이컨설팅이 분석한 IT시스템 개발 주요 대상을 보면, ▲D/B서버, 통신서버, 보안서버 등 통신구간 암호화 시스템 WEB서버(인터넷서비스를 제공할 경우에 한함) ▲저장장치 ▲그 밖에 주변장치 ▲백업 및 복구시스템 ▲시스템 보안 및 시설 보안을 포함한 보안관리 체계 ▲내외부 네트워킹 등 통신시스템 구성 등을 갖출 것 등이 기본 요건에 해당한다.

특히, 개인신용정보를 다루는 민감한 IT시스템이라는 점에서 특별한 보안시스템 구성도 필수요건이 되고 있다. <그림2 ‘마이데이터 IT시스템 구축에 필요한 주요 보안시스템 최소요건(예상)’ 참조>

구성

세부요건

보안

체계

1. 침입차단시스템, 침입탐지시스템, 이동식저장장치 통제 프
로그램, 바이러스 및 스파이웨어 탐지 및 백신프로그램을
갖출 것
2. 업무 위탁 및 외부 시설ㆍ서비스의 이용 시 보호대책을 마
련할 것
3. 직무분리 기준을 수립할 것
4. 안전한 비밀번호 작성 규칙을 마련할 것
5. 비상계획, 재해복구 훈련 실시 체계를 갖출 것
6. 서버, 단말 등에 대한 접근통제 방안을 마련할 것
7. 전산실, 자료보관실 등에 대한 출입통제 절차를 마련할 것
8. 주요 데이터에 대한 접속기록 유지할 것
9. 개인신용정보처리시스템에 접근가능한 개인신용정보취급
자 컴퓨터에 대한 물리적, 논리적 망분리를 할 것
10. 정보처리 시스템의 물리적, 논리적 망분리(내부네트워크
와 신용조회네트워크를 분리 운영)를 할 것
11. 안전한 물리적 보안설비(통신회선 이중화, CCTV 등)를 갖
출 것
12. 안전한 백업대책을 갖출 것
13. 안전한 데이터 암호화 처리방침 및 암호처리 시스템 구축
할 것
14. 외부에서 정보처리시스템 접속 시 안전한 접속 및 인증수
단(VPN 등)을 적용할 것

<그림2 ‘마이데이터 IT시스템 구축에 필요한 주요 보안시스템 최소요건(예상)’>(출처 : 투이컨설팅 마이데이터 기획자 과정 발표 내용 일부 발췌)

머무르지 않고 그 쓰임새에 맞게 운용되는 ‘마이데이터’가 2021년 대형 IT투자가 없는 국내 ICT 업계에 적지 않은 단비 역할을 할 전망이다.

<김동기 기자>kdk@bikorea.net