자동화된 알고리즘에 따라 온라인 자산관리서비스를 제공하는 로보어드바이저는 어떤 수준으로 보안성을 유지해야할까?
금융당국이 지난 5일부터 로보어드바이저 회사들이 상용서비스를 할 수 있는 수준의 역량을 갖췄는지를 검증하기 위한 로보어드바이저 테스트베드 참여신청을 받기 시작했다.
아직까지 업계에서는 테스트베드를 통과한다고 하더라도 비대면 일임계약 규제 완화와 같은 기대했던 수준의 혜택을 받지 못한다는 점 때문에 참여 여부를 저울질하는 중이다.
이 같은 제약조건에도 참여를 결정한 업체들은 사전심사, 본심사에 더해 금융보안원으로부터 적절한 수준의 보안시스템을 갖추고 있는지를 검증받아야한다.
19일 금보원은 로보어드바이저 테스트베드 시스템 보안성 심사안내를 공지했다.
이에 따르면 보안성 심사는 테스트베드 참여업체들 중 상용서비스를 제공하려는 회사들을 대상으로 시스템 전반에 대한 서면심사, 실지심사가 이뤄진다.
구체적으로는 로보어드바이저의 핵심인 알고리즘을 운영하는 서버, DB서버, 웹서버, 주요 PC 등에 대한 심사가 이뤄진다.
참여업체들은 1차로 이뤄지는 서면심사에서 보안대책명세서를 금보원에 제출해야한다. 서비스의 구체적인 내용과 함께 회원가입, 회원가입정보 및 계좌정보 전송, 계좌 소유주 인증 요청 및 인증 등 절차가 어떻게 이뤄지는지, 이에 대한 보안대책을 체크리스트 형태로 작성하면 된다. 이와 함께 계좌정보, 로그인 비밀번호 등에 대한 보호해야할 핵심정보와 이에 대한 보호방안과 시스템 및 네트워크 구성도도 함께 제출해야한다.
증권사, 은행과 같이 이미 전자금융감독규정에 따라 취약점 분석 평가를 수행했던 회사들은 오프라인 실지심사 없이 서면심사만 받으면 된다.
보안대책명세서 제출 시기는 로보어드바이저 테스트베드 운용심사가 종료되기 최소 2개월 전에 신청해야한다. 금보원은 업체들이 충분한 보완시간을 확보할 수 있도록 테스트베드 심사 초반에 제출해 줄 것을 권고했다.
심사는 또한 온라인에서 고객들에게 직접 정보를 제공하는지 아닌지 여부에 따라 온라인형, 오프라인형으로 나뉘어 심사를 받게 된다.
로보어드바이저 회사가 제공하는 웹서비스를 통해 온라인에서 고객들이 직접 계정을 만들고 수익률 조회, 포트폴리오 조회, 운용지시 등이 이뤄지는 경우와 이러한 과정 없이 증권사나 은행이 로보어드바이저 알고리즘을 활용해 자산을 운용하는 경우에 따라 심사 내용이 달라진다는 설명이다.
실지심사는 금보원 심사인력들이 직접 해당 회사에 방문해 사전에 제출한 보안대책명세서 대로 시스템이 운영되고 있는지, 보완조치가 필요한 부분은 없는지에 대해 점검하는 방식으로 진행된다. 이 과정은 전체 로보어드바이저 테스트베드 운용심사가 끝나기 1주일 전에 이뤄진다.
금보원이 정리한 자주 묻는 질문은 다음과 같다.
Q1. 단독신청, 컨소시엄 신청 등 두 가지 방식으로 신청하려 합니다. 시스템 보안성 심사를 두 번 받아야 하나요?
⇒시스템 구성이 달라지는 경우에 한하여 개별 심사 대상이 됩니다.
Q2. 로보어드바이저 시스템을 자체전산설비가 아닌 클라우드, IDC 등 외부환경에 운영 중입니다. 실지심사(2단계)는 어떻게 하게 되나요?
⇒서비스제공자(클라우드, IDC 등)와 로보어드바이저 기업 간 계약서 및 서비스제공자의 관련 인증서 보유여부 등을 종합적으로 고려해 일부 심사항목은 서면심사로 대신할 수 있습니다.
Q3) 시스템 보안성 심사 시 서면심사(1단계)는 필수인가요?
⇒ 서면심사는 사전에 보안상 취약점을 점검해 로보어드바이저 기업이 보완할 수 있도록 실지심사를 지원하는 목적인 만큼 필수입니다.
Q4) 보안시스템 구축에 필요한 예산은 대략 얼마인가요?
⇒ 보안시스템 구축 시 예산에 관한 사항은 금융보안원의 보안성 심사와 관련이 없습니다.
Q5) 온라인, 오프라인 형 등 대고객 서비스를 구분하는 기준은 어떻게 됩니까?
관련기사
- 데이터과학자의 로보어드바이저 도전기2016.09.19
- 로보어드바이저 테스트베드 효과 있나?...업계는 '글쎄'2016.09.19
- 정부 로보어드바이저 검증 테스트베드, 어떻게 운영되나2016.09.19
- 투자자문 하는 로봇…돈 맡겨도 될까2016.09.19
⇒ 웹 서비스 상에서 고객 계정을 기반으로 고객 맞춤형 정보를 제공하는 경우가 온라인에 해당됩니다.
보다 상세한 내역은 로보어드바이저 테스트베드 홈페이지(www.RAtestbed.kr)에 게시될 예정이다. 금보원은 20일부터 사전예약을 거쳐 유선 혹은 죽전본원 방문상담을 진행하며 23일~24일 개최되는 동아핀테크쇼 행사장 내에서도 방문상담 신청을 받는다.
