【뉴스퀘스트=최석영 기자】 유럽연합(EU)를 비롯 영국, 일본, 호주 등 주요 선진국에서는 오픈 뱅킹과 관련 법 제정 및 개정을 통해 은행 등 금융회사가 핀테크 기업에 고객 금융데이터를 API(오픈 응용프로그램 인터페이스)로 제공하는 정책을 시행 또는 준비 중이다.

김규림 삼정KPMG 수석연구원은 "오픈 뱅킹 도입에 따라 개별 국가별로 접근 가능한 데이터의 종류, 참여 금융기관이나 참여 조건 등은 다양하다"며 "그러나 정보 주체인 고객의 동의 하에 은행 등 금융기관의 고객 정보 제공, 핀테크 기업 등 제3자의 활용, 또 오픈 API를 의무화하는 공통점이 있다"고 설명했다.

그는 이어 "EU의 경우 지급결제 서비스 지침을 개정해 결제사업자의 성장과 확대를 꾀하고 있으며, 영국은 오픈 뱅킹 정책으로 기존 금융기관의 오픈 API 도입을 의무화하고 있다"고 덧붙였다. 

또 아시아태평양 지역에서는 싱가포르가 최초로 오픈뱅킹 가이드라인을 제시했고, 일본은 2017년 은행법 개정으로 은행의 API 구축 노력을 명시화했다고 소개했다.

호주와 홍콩 또한 오픈뱅킹 관련 정책을 확정, 시행할 예정인 것으로 알려졌다.

그러나 미국의 경우 고객 금융데이터의 자기 결정권을 강화하되 오픈뱅킹 정책을 의무화하지 않고 있으며, 시장 참가자가 자발적으로 이에 대응하고 있는 상황이다.

한국도 이러한 국제적 추세를 반영해 지난 2016년 세계 최초로 은행권 공동 오픈플랫폼을 구축했다.

□ EU와 영국, 고객정보 오픈 API의 공개 의무화와 정보보호 법제화

▲ EU는 현재 전 은행권에 대한 오픈 API 구축을 의무화했다.

김 수석연구원은 "유럽은행감독청(EBA·European Banking Authority)은 지급결제 서비스 및 서비스 업체 관련 규제인 PSD(Payment Services Directive)에 이어 이를 개정한 PSD2를 2015년 12월 공식발표하고 2018년 1월부터 시행 중"이라고 설명했다.

또한 지난 2018년 5월부터 시행중인 EU의 일반개인정보보호법(GDPR·General Data Protection Regulation)에서는 '개인정보 이동권'을 새롭게 도입했다.

이는 개인이 은행 등에 자신의 정보를 다른 회사에 제공하도록 요구하는 고객의 자기결정권을 강화한 것이다.

EU는 지난 2007년 EU의 단일 지급시장의 형성과 지급 관련 소비자 보호, 비금융회사의 지급결제 시장 진출 지원을 위해 PSD를 제정했다.

PSD는 지급서비스(payment service)와 지급기관(payment institution)을 정의하고, 지급서비스는 은행 외 비은행기관도 참여할 수 있다고 명시했다.

이어 PSD2에서는 지급시장의 통합을 통해 효율성을 제고하고 공정한 경쟁 구도를 조성하기 위해 지급서비스 범위에 지급개시서비스(payment initiation service)와 계좌정보서비스(account information services)를 추가해 제3자 서비스 제공기관(비금융회사)의 금융회사 계좌접근권을 명시했다.

김 수석연구원은 "PSD2의 핵심은 제3자 지급서비스 제공자를 크게 계좌정보 서비스제공업자(Account Information Service Provider, ASIP)와 지급지시 전달업자(Payment Initiation Service Provider, PSIP)로 정의해 책임과 의무를 부과했다는 점"이라고 설명했다.

▲ 영국은 9개 주요 시중 은행에 상품정보까지 포함한 오픈 API를 의무화하고 있다.

영국의 경쟁 및 시장 당국(CMA·Competition and Markets Authority)은 EU의 PSD2 시행에 대응하기 위해 데이터 보호를 강화한 자체 오픈뱅킹 정책을 의무화했다.

영국은 오픈뱅킹을 통해 비금융기관이 금융산업에 진입할 수 있도록 함으로써 소수 대형은행이 지배하는 자국의 금융시장에서 과점화된 리테일 은행 시장 구조 개편을 시도 중이다.

아울러 은행 간의 경쟁을 촉진하는 한편 핀테크 산업의 서비스 발전을 도모한다는 방침이다.

영국의 9개 주요 은행(AIB, Bank of Ireland, Barclays, HSBC, Lloyds, NBS, Northern Bank, Danske Bank, Royal Bank of Scotland Group, Santander)은 공동 API 프레임워크(Common API Framework)를 채택, 고객이 동의 할 경우 API를 통해 잔액정보, 거래기록 정보 등 계좌정보를 제공하고 있다.

김 수석연구원은 "현재 영국의 일부 대형 은행에 오픈뱅킹이 도입되더라도 시장 전반에 확산되기까지는 상당한 시간이 필요할 것으로 예상된다"고 전망했다.

오픈뱅킹 확산이 더딘 주요 원인은 개인 데이터 보안에 대한 신뢰성이 낮고 은행권의 노후화된 IT 시스템에 기인하기 때문이라는 것이다.

지난 3월 기준 영국의 오픈뱅킹을 통한 호출 건수는 3820만 건으로 2018년 말 기준 1750만 건 대비 약 2배 정도 증가한 것으로 집계됐다.

보고서에 따르면 2018년 3월말 기준 아메리칸 익스프레스, 유럽 시티뱅크, JP 모건 체이스 뱅크 등 기존 금융기관 외 Bud, Credit Kudos, DigitalMoney box 등의 핀테크기업 총 78개 기관이 제3자 기관으로 인가 받은 것으로 알려졌다.

또한 ABN AMRO bank, AIB Group 외 Cynergay Bank, Mizuho, Revolut, Sainsbury’s Bank, Starling Bank, The Co-operative Bank, Ulster Bank 등 40 개 기관이 계좌제공업자로 인가 받아 총 118개 기관이 참여하고 있는 것으로 알려졌다.

□ 미국, 시장 자발적 차원의 금융권 정보공유 원칙 제시

미국은 소비자 금융데이터의 이동권과 자기결정권을 규정하고 있다.

여기에 주요 금융관련 기구에서 은행과 핀테크기업 간의 협력을 강화하고 부정 행위감소를 위한 자발적인 시장 주도형 정보공유의 프레임을 제시하고 있다.

미국의 경우는 유럽의 PSD2나 CMA 규정과는 달리 의무사항이 아니라는 점에서 차이가 있다. 금융기관 자체적으로 검증된 제3자의 API 접근을 활용하고 있기 때문이다.

미국은 이민 2010년 발표한 도드 프랭크법(Dodd-Frank Act)을 통해 고객이 금융거래 등 자신의 계좌정보를 활용할 수 있는 권한을 보장하고 있다.

그러나 아직 오픈뱅킹에 대한 규정은 도입하지 않고 있지만 미국 소비자금융보호국(CFPB·Consumer Financial Protection Bureau)은 2016년 10월 ‘Project Catalyst Report: Promoting Consumer friendly innovation’을 통해 소비자의 금융정보접근권에 정보공유의 개념을 포함해 제3자의 계좌정보접근을 허용하는 방식을 지지한다고 밝힌 바 있다.

이어 CFPB는 2017년 고객 정보 수집에 있어 개략적인 원칙을 발표했으며 2018년 비영리 보안 단체인 금융서비스정보공유분석센터(NACHA)는 100여 개의 금융사와 함께 계좌 정보의 공유, 결제, 사기 방지 등을 위한 표준 API의 정의를 발표했다.

□ 호주, 조회형 API 공개 4대 은행에 우선적 의무화

호주 재무부는 2018년 2월 오픈 뱅킹 구현을 위한 권고안으로서 ‘Review into Open Banking in Australia’에 따라 오픈뱅킹을 추진하기로 발표했다.

오픈 뱅킹 권고안은 ▲고객중심주의 ▲시장경쟁유도 ▲기회창출 ▲효율성 및 공정성 확보라는 기본 원칙 하에 오픈 뱅킹 체제로의 전환을 위한 규제체계 및 운영 방안을 담고 있다.

이에 따라 실질적인 법제화는 호주 경쟁당국(ACCC·The Australian Competition and Consumer Commission)이 담당해 소비자정보권의 개념상 대상 섹터를 결정하고 경쟁 및 소비자법(Competition and Consumer Act)이 개정되는 형태로 진행됐다.

다만 개인정보보호 담당 부처인 OAIC(Office of the Australian Information Commissioner) 및 금융 당국이 지원하며 호주 중앙은행이 자문하게 된다.

연방종합연구소인 CSIR0(Commonwealth Scientific and Industrial Research Organization)는 데이터 표준을 정립하고 호주정보위원회(The Australian Intelligence Community, AIC)는 오픈뱅킹이 개인 프라이버시에 미치는 영향을 검토한다.

김 수석연구원은 “호주 정부는 소비자 정보권을 은행산업에 우선 적용하기 위해 오픈뱅킹 정책을 추진하고 있으며 추후 에너지, 통신 분야로도 확대해 나갈 계획인 것으로 알고 있다”고 말했다.

김 수석연구원은 또 “오픈 뱅킹의 적용 범위는 우선적으로 4대 은행에 한하며 공유하는 데이터의 범위까지도 점차 확대할 예정”이라고 덧붙였다.

그러나 유의할 점은 호주의 경우 금융상품의 범위를 예금상품 및 대출상품 등으로 확대하고 있지만 지급결제 등 실행형 API 공개를 의무화하지 않고 조회형 API만을 공개하도록 의무화하고 있다는 것이다.

도입 시기는 호주 4대 은행의 경우 2019년 7월(12개월의 기한까지) 신용∙직불카드 및 예금∙거래계좌부터 출발해 2020년 2월까지 주택담보 대출로 확대할 예정이다.

또한 나머지 은행은 12개월 시차를 두고 점진적으로 확대해, 2022년 7월 전 은행권의 전 금융상품에 대한 API를 공개할 계획이다.

□ 싱가포르∙홍콩∙일본, 오픈뱅킹 도입 및 노력 의무 부과

▲ 싱가포르는 지난 2016년 아시아태평양 지역 최초로 오픈뱅킹 지침을 발표하고 개방형 API를 통해 은행 데이터 제공을 위한 계획을 수립했다.

싱가포르 통화청(Monetary Authority of Singapore, MAS)은 금융기관의 연결성을 강화하고 핀테크 혁신을 촉진할 수 있는 수단으로 금융데이터의 개방을 지속적으로 유도해왔다.

이에 금융 API 안내서(API Playbook)를 발표, 공통 API 보안 표준과 거버넌스 모델에 대한 지침을 수록하였으며, 금융산업 API 등록소(Financial Industry API Register)를 통해 핀테크기업이 개방된 API를 검색하여 활용할 수 있도록 하고 있다.

현재 싱가포르 내 Citi, OCBC, DBS등 은행을 비롯 지급결제업체인 NETS와 감독당국 등이 API 등록소에 참여해 거래내역, 고객정보, 금융상품 등과 관련된 약 313종의 API를 개방하고 있으며 금융소비자에 대한 편익을 창출하고 있다

싱가포르 경우 특이하게도 은행뿐만 아니라 MAS도 감독과 관련된 API를 개방, 레그테크(Regtech) 부문의 발전을 도모하고 있다.

참여 은행 중 DBS와 OCBC가 각각 137개, 76개 항목에 대해 API를 개방하고 있다.

특히, DBS는 국가 등록소 외 자체적으로 200개 이상의 API를 개방, 세계 최대 은행 API 개발 플랫폼을 구축하고, 50개 이상의 협업 성공 모델을 만들었다.

▲ 홍콩금융관리당국은 지난 2018년 7월 은행이 API로 계좌 및 거래정보 등을 제3자에게 제공하도록 하는 ‘Open API Framework’를 마련했다.

홍콩의 오픈 API Framework는 크게 4단계로 나뉘어 도입될 계획인 것으로 알려졌다.

예금, 대출, 기타 은행서비스, 투자, 보험에 적용되며 1단계는 은행상품 및 서비스 정보, 2단계는 고객의 취득 및 신규 신청, 3단계는 계좌 정보, 4단계는 거래처리로 구분하여 단계적인 오픈 API에 대한 접근 방식을 취하고 있다는 것이다.

금융당국은 Open API Framework를 통해 은행과 핀테크기업 등 제3자가 고객 경험을 개선하는 혁신적이고 통합된 은행 서비스를 개발하도록 유도하고 홍콩 은행업의 경쟁력을 높이는 것이 주요 목표다.

▲ 일본은 은행의 API 공개에 대한 노력을 의무화하고 있다.

일본은 개정 개인정보보호법을 통해 익명가공정보라는 개념을 도입, 데이터 유통의 기본 틀을 구축한 뒤, 2017년 5월 은행법 개정을 시작으로 오픈 뱅킹을 본격적으로 추진 중이다.

2017년 6월 공포된 개정 은행법에서는 은행 등이 2018년 3월까지 API 이용업체 간 제휴 및 협력에 관한 방침을 결정하고 공시해야 한다고 규정하고 있다.

또한 법 시행 후 2년 내에 은행은 API 구축을 위해 노력해야 한다고 명시해 EU의 의무 부과 방식과 달리 API의 공개를 위한 노력을 의무화 한다는 차이가 있다.

김 수석연구원은 "일본 은행은 고객보호를 위해 은행과 API 이용업체 간 은행법이 정한 내용(배상의 책임, 개인정보 취급 등)을 약정하고 있다"며 "일본 당국은 2020년까지 110개 은행이 API 공개를 완료할 것으로 예상한다"고 말했다.

저작권자 © 뉴스퀘스트 무단전재 및 재배포 금지