핀테크, 화이트 라벨 그리고 클라우드

1.
다양한 핀테크 스타트업이 시장에 진입하여 사업을 영위하려면 없애야 하는 규제가 많습니다. 은행법, 자본시장법 등이 정하고 있는 진입 장벽이 대표적입니다. 물론 소비자보호를 위하여 진입장벽을 두어야 하지만 그것이 현재와 같은 자본금규모로 제한하는 것이 타당한지는 항상 의문입니다. 만약 진입 장벽을 해결하고 나면 운영과 관련한 장벽이 앞을 막습니다. 각종 규정때문에 감당하기 힘든 비용이 발생합니다. 이 때 화이트라벨과 같은 방식으로 업무위탁이 가능하도록 하면 어떨까요?

업무 위탁 – 넓은 의미로 전산위탁을 포함하여 – 과 관련하여 금융위원회가 만든 규정들이 여럿 있습니다.

첫번째는 금융기관의 업무위탁 등에 관한 규정입니다.

이 규정 제 3조는 핵심업무 위탁을 금지합니다.

제3조(업무위탁 등) ① 금융기관은 인가등을 받은 업무를 영위함에 있어 제3자에게 업무를 위탁하거나 제3자의 업무를 수탁할 수 있다. 다만, 다음 각호의 1에 해당하는 사항은 그러하지 아니하다.

1. 인가 등을 받은 금융업의 본질적 요소를 포함하는 업무를 위탁하는 경우
2. 관련 법령에서 금융기관이 수행하도록 의무를 부여하고 있는 경우

그러면 위탁이 불가능한 본질적인 업무는 무엇일까요? 예를 들어 위 규정을 보면 위탁매매의 경우 ‘ 주문 접수, 전달, 집행 및 확인’은 위탁을 할 수 없습니다. White Label 이 불가능합니다.

Download (PDF, 116KB)

두번째는 금융회사의 정보처리 및 전산설비 위탁에 관한 규정입니다. 앞서 규정이 금융회사간의 업무위탁을 규정하고 있지만 이 규정은 금융회사와 IT회사간의 정보처리 위탁을 규정하고 있습니다. 금융회사는 정보처리 위탁이 가능하지만 이 또한 제한을 받습니다.

제4조(정보처리의 위탁) ① 금융회사는 인가등을 받은 업무를 영위함에 있어 정보처리가 요구되는 경우, 이를 제3자에게 위탁할 수 있다. 다만, 업무를 수탁하는 자가 해외에 소재하는 경우에는 위탁 금융회사의 본점·지점 및 계열사로 한정한다.

② 제1항의 규정에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우는 정보처리를 위탁할 수 없다. 다만, 다음 제2호의 경우 금융감독원장이 허용하는 방식에 따라 코스콤 또는 저축은행중앙회에 원장 등의 관리를 위탁하는 경우는 제외한다.

위 규정중 단서조항은 규정을 논의할 때 관계 회사들의 요청을 받아들인 결과입니다. 만약 금융회사가 클라우드서비스를 이용하여 전산설비 및 정보처리를 위탁하고자 할 경우 1항과 2항에 의해 제한을 받을 듯 합니다.

셋째는 전자금융감독규정입니다. 감독규정을 보면 전자금융보조업자를 정의하고 있습니다.

제3조(전자금융보조업자의 범위) 법 제2조제5호에서 “금융위원회가 정하는 자”라 함은 다음 각 호의 어느 하나에 해당하는 자를 말한다.

1. 정보처리시스템을 통하여 「여신전문금융업법」 상 신용카드업자의 신용카드 승인 및 결제 그 밖의 자금정산에 관한 업무를 지원하는 사업자
2. 정보처리시스템을 통하여 은행업을 영위하는 자의 자금인출업무, 환업무 및 그 밖의 업무를 지원하는 사업자
3. 전자금융업무와 관련된 정보처리시스템을 해당 금융회사 또는 전자금융업자를 위하여 운영하는 사업자
4. 제1호 부터 제3호의 사업자와 제휴, 위탁 또는 외부주문(이하 “외부주문등”이라 한다)에 관한 계약을 체결하고 정보처리시스템을 운영하는 사업자

잔자금융보조업자에 외부주문을 하는 경우에 대한 기준도 정하고 있습니다.

제60조(외부주문등에 대한 기준) ① 금융회사 또는 전자금융업자는 전자금융거래를 위한 외부주문등의 경우에는 다음 각 호의 사항을 준수하여야 한다.

1. 외부주문등에 의한 정보처리시스템의 개발업무에 사용되는 업무장소 및 전산설비는 내부 업무용과 분리하여 설치/운영
2. 금융회사와 이용자 간 암호화정보 해독 및 원장 등 중요 데이터 변경 금지

핀테크중 지급결제서비스를 지향하는 기업은 대부분 이 규정과 밀접한 관계를 가집니다.

넷째는 금융회사 정보기술부문 보호업무 이행지침입니다. 앞서 규정들이 월활히 시행을 하기 위한 지침입니다. 8.정보처리 위수탁 관리강화를 보면 다음과 같이 정하고 있습니다.

8.1 금융회사는 제3자(지주사 또는 전산자회사 등을 포함한다)와 전산설비 및 정보처리 등에 대한 위․수탁 계약* 시 전산사고 발생 예방을 위한 준수사항과 사고 발생에 따른 책임 범위를 명시하여야 한다.

* 「금융회사의 정보처리 및 전산설비 위탁에 관한 규정」 [별표1] 표준계약내용

8.2 금융회사는 전산설비 및 정보처리 위탁 시 위탁업무에 대한 정보보호, 수탁회사에 대한 관리감독 등 위탁과 관련하여 발생 가능한 위험요소를 최소화하도록 위탁리스크 관리를 위한 내부규정을 마련하여야 한다.

8.3 제3자와 전산설비 및 정보처리 등에 위․수탁 계약을 체결한 금융회사는 계약내용 준수 여부에 대한 상시모니터링 체계를 갖추고 모니터링 결과 미준수사항에 대하여는 보완조치를 실시하여야 한다.

이상이 관심을 가지고 보는 규정들입니다. 상위 법의 위임을 받은 경우도 있고 규정을 만든 금융위원회나 금융감독원이 확대해석한 내용을 담은 경우도 있습니다. 핀테크 스타트업이 다양하게 나오기 위해 반드시 재조정해야 하는 규정들로 생각합니다.

2.
업무 위탁과 정보처리 위탁이 항상 관심입니다. IOSCO가 발간한 자료들입니다.

Principles on Outsourcing of Financial Services for Market Intermediaries
Principles on Outsourcing by Markets

미국 증권산업의 현황을 설명한 자료입니다.

Outsourcing in the Securities Industry: The Legal and Regulatory Landscape

White Label 도 업무 위탁이나 정보처리 위탁의 범주이고 아웃소싱입니다. 업무에 따라 다르겠지만 화이트 라벨이 가능한 것으로 이해합니다. 또다른 사례입니다.

또 다른 관심은 클라우드 아웃소싱입니다. 클라우드는 최근에 등장한 기술적 흐름이라 전통적인 아웃소싱과 다른 면이 있습니다. 일본의 사례입니다. AWS Summit Tokyo 2014에서 발표된 자료입니다. 개인고객을 대상으로 인터넷은행이 AWS를 이용하여 계정계를 구축한 경우입니다.

ソニー銀行の考える金融機関のAWS活用方式
ソニー銀行は金融機関としてAmazonクラウドをどう評価し導入したのか? AWS Summit Tokyo 2014

Download (PDF, 5.14MB)

이미 SCSK、ISID、NRI、TIS、MKI、TrendMicro、CAC등은 AWS가 일본 감독규정을 준수한다는 조사보고서를 발표하였습니다.

金融機関向け「Amazon Web Services」対応 セキュリティリファレンス

일본보다 먼저 네덜란드 금융감독기관은 Amazon으로 시설 위탁을 하는 것이 적법하다고 공시하였습니다.

DNB achieves again an agreement with an international cloud provider

3.
한국은행 금융과 IT의 융합: 핀테크의 사례 또는 원류 – IT기업의 지급결제 및 금융 서비스 제공현황 및 전망을 보면 PayPal의 성장과정을 자세히 설명하고 있습니다. 1998년에 설립되었고 가장 성공한 핀테크입니다. 사실 최초의 문제의식을 보면 넘 볼 수 없는 서비스는 아닙니다. 다만 제도가 상상력을 막았습니다. 비슷한 주체로 쓴 머니투데이 신혜선부장의 칼럼을 읽었습니다.

그러니 14년 전의 상황을 복기하지 않을 수 없다. 정부 당국이 핀테크산업 활성화를 진짜 원한다면 해결책이 무엇인지 모를 수 없기 때문이다.

현 제도에서 최초 ‘핀테크 메기’는 결코 스스로 태어날 수 없다. 금융실명제 기반의 ‘오프라인 대면확인’과 ‘은산 분리제도’를 어떤 형태로든 개선하지 않는다면 메기는커녕 피라미 한 마리도 나올 수 없다.

만약 그때 ‘브이뱅크컨설팅’을 허가했다면 우리는 알리바바나 페이팔을 부러워하거나 두려워하지 않고 거꾸로 다른 나라의 금융시장을 뒤흔드는 열 살쯤 된 ‘메기’ 한 마리를 키우고 있을지 모른다.

물론 단정할 수 없다. 기존 금융사들이 더 나은 서비스를 제공하고 선진 IT 기술력으로 무장해 지금보다 경쟁력이 더 좋아졌을 수도 있다. ‘브이뱅크컨설팅’이 지속성장을 하지 못했을 수도 있다.

부인할 수 없는 것은 도전 기회를 놓쳤다는 거다. 이미 10여년 전 기술발전과 시장의 변화 흐름을 파악한 세력이 있었음에도 정책과 제도를 개선하지 않아 실패 경험조차 허용하지 않았다.

국내 금융서비스는 ‘액티브엑스 기반의 공인인증’을 제외하면 사실 어느 다른 국가보다 편리하다. 1000원 단위조차 24시간 카드로 결제할 수 있다. 현금서비스도 된다. 성인이 돼 공인인증서를 갖고 있다면 이런저런 조건으로 수수료 한 푼 내지 않고 365일 24시간 금융서비스를 편하게 이용할 수 있다.

새로 등장하는 핀테크업체라고 성공이 보장된 것은 아니다. 기존 서비스에 익숙한 이용자를 잡기 위해 더 나은 서비스를 제공해야 한다. 핀테크 특성상 발생할 수 있는 보안사고 등 새로운 위험요인에 대한 대처방안도 갖춰야 한다.

어찌 보면 핀테크서비스 허용 여부는 단순한 문제다. ‘도전조차 허용하지 않는 꽉 막힌 틀을 부술 것이냐, 말 것이냐’와 다르지 않기 때문이다.
[광화문]‘핀테크 메기’를 키운다고? 2002년엔 왜 못 했을까중에서

칼럼은 인터넷은행을 사례로 들었지만 꼭 인터넷은행에 국한되지 않습니다. 마지막 문제의식은 어느 경우에나 유효합니다.

‘도전조차 허용하지 않는 꽉 막힌 틀을 부술 것이냐, 말 것이냐’

Leave a Comment

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.