PSD2 시행의 의의

지난 포스팅에서는 GDPR이 무엇인지 알아보았습니다. 이번 포스팅에서는 GDPR과 밀접한 관련이 있는 PSD2 (Revised Payment Service Directive, 개정지급결제산업지침) 가 무엇인지, 어떤 특징이 있는지에 대해 살펴보도록 하겠습니다.

유럽연합은 2018년 1월부터 PSD2를 통해 은행권 데이터 개방을 위한 제도적 기반을 마련하였고, 2018년 5월 GDPR을 전면 시행하여 글로벌 빅테크 기업들의 데이터 활용 체계 정비를 이끌었습니다. GDPR과 PSD2는 유럽에 국한되어 있지만, 전 세계가 유기적으로 연결되어 있는 핀테크 산업에서 데이터 이슈와 관련한 기본적이고 공통적인 틀이 마련되었다는 것에 의의가 있습니다.

GDPR은 개인의 데이터 결정권을 기업이 아닌 개인에게 돌려주게 하며 EU에서 법률로 강제한 것이며, PSD2는 고객이 동의한 경우 은행권은 타 산업군 (3rd party)에 오픈 API형태로 금융 데이터를 제공해야 한다는 내용으로 EU에서 권고하는 시행령으로 요약할 수 있습니다.

​

PSD2란?

PSD2는 유럽은행 감독청 (EA)이 인터넷과 모바일 결제 서비스를 고려하여 개정한 지급서비스 지침으로, 2015년 유럽 의회에서 채택된 후 2019년 9월 발효되었습니다. EU는 2007년부터 제정된 지불서비스 지침을 시행해 왔는데요, PSD2는 해당 지침의 개정 지침입니다. 더 엄격한 거래 인증 요건을 강제하여 온라인 카드 사기를 줄이고, 핀테크 산업을 관리하며, 은행이 고객 계좌 데이터를 공유하도록 하여 결제 시장의 경쟁을 활성화 하는 것이 목적입니다.

PSD2의 핵심은 최종 사용자의 생체 데이터 등을 활용한 보안 강화를 통해 금융데이터를 주고 받는 금융 기관과 핀테크 사업자의 보안성 강화에 있습니다. 이는 보안을 강화하면서도 고객의 금융정보에 자기 결정권을 부여하여 산업 혁신 차원에서 금융 데이터의 이동 편의성을 높이는 것입니다.

​

PSD2의 특징

PSD2는 인터넷과 모바일 결제서비스를 고려하여 개정되었으며 주요 내용은 아래와 같습니다.

1) 온라인 결제 시 강력한 고객 인증 (SCA, Strong Customer Authentication) 적용 의무화

강력한 고객인증이란 2가지 이상의 인증 수단을 사용하는 것을 말합니다. 모든 지급결제 서비스 제공업자는 소비자 보호를 위해 전자금융 개시 및 처리 시 거래자의 신원을 파악해야 하며, 신뢰할 수 있는 목록에 대상을 추가하거나 낮은 가격의 거래 (30유로 이하)인 경우 강력한 고객 인증 예외가 가능합니다.

​

2) 제3자 제공자 (Third Party Providers, TPPs) 도입 및 규제

EU는 사용자가 TPP 에 가입하여 은행만 갖고 있던 개인정보를 TPP에 제공함으로써 사용자가 TPP를 이용하여 모든 은행에 있는 개인정보를 한 번에 관리할 수 있도록 했습니다. 고객이 동의한 경우 은행권은 TPP에 오픈 API형태로 금융정보를 제공해야 만 하는 거죠.​

PSD2는 TPP 업자인 지급지시전달업자 (PISP)등이 ‘지급결제 시스템’ 및 ‘결제 서비스 제공에 필요한 계좌정보’에 접근할 수 있는 것을 보장하는 것을 의무화 했으며, 본인계좌정보관리업자 (AISP)등은 이용자의 명시적 동의가 있는 경우 ‘계좌 및 관련 거래내역 정보’에 접근이 가능하도록 보장하고 있습니다.

- 지급지시전달업자 (Payment Initiation Service Provider, PISP)​

지급인의 지급개시 요청 (payment order) 에 따라 지급인의 은행 등 계좌개설 기관으로부터 거래에 필요한 지급정보를 송수신하고, 수취인 앞으로 지급지시를 대행하는 서비스 제공업자입니다. 지급인의 은행으로부터 대금을 지급받아 보유하거나 잔액 정보 등 계좌정보를 열람할 수 있는 권한은 없으며, 이체에 필요한 자금여부 등을 확인하여 거래 완결의 가능성을 판단하고 지급을 지시하도록 하는 것이 특징입니다.

지급인-수취인 계좌간 (Account-to-account, A2A) 지급지시를 통한 온라인 대금결제가 가능하기에 계좌를 보유하고 있지 않은 기관에서도 지급결제 서비스 제공이 가능합니다.

PSD2에서 지급결제 서비스 제공업자는 사용자의 명시적 동의 (GDPR에 근거한 개인정보 처리요건) 를 얻어 서비스 제공에 필요한 정보에 한해 접근할 수 있도록 허용하고 있습니다. 따라서 서비스 제공업자가 보유하게 된 개인정보를 다른 용도로 사용하고자 할 때는 GDPR에서 규정하는 용도 제한의 원칙, 데이터 최소화 원칙 등을 고려해야 하며 구체적인 사례별로 사용가능여부를 검토해야 합니다.

​

- 본인계좌정보관리업자 (Account Information Service Provider, AISP)

금융소비자가 거래하는 은행의 계좌정보 (예금주, 계좌번호), 최근 거래내역, 잔액 정보 등의 금융정보를 통합하여 제공하는 서비스 업자를 지칭합니다. 기업 및 개인은 재무상태에 대한 통합된 정보를 제공받을 수 있으며, 제공업자는 해당 데이터를 활용하여 리스크 관리, 교차 판매기회, 상품추천 등 다양한 형태의 비즈니스로 확장이 가능하죠.

계좌정보서비스에 지급지시서비스를 결합하여 자금의 계좌 간 연동이 가능해져서 개인의 재무상황 및 재무 목표에 따라 계좌정보 서비스 제공업자를 통해 자산, 부채 포트폴리오 규모를 조정하는 등 보다 개인화된 자산관리 (PFM)이 가능해질 수 있습니다.

PSD2의 시행은 개인정보의 통제권이 고객으로 이동한 것을 의미하는 것인데요, 이는 GDPR의 개인정보 이동권과 매우 유사하며 밀접한 관련이 있습니다. 은행이 아닌 ICT기업, 핀테크 기업 등 비금융회사가 고객의 금융정보에 접근하도록 허용하고 기존 금융회사와 동일한 규제 아래서 내 개인정보를 통합하여 나에게 서비스를 제공하는 사업을 할 수 있게 되었다는 것이죠.

빅데이터 시대의 자기정보의 주권 확립. 이제 개인의 정보 사용과 이동의 주체는 다시 개인이 되찾아야 할 때입니다. CODEF는 이러한 개인정보 주권의 확립을 도우며 핀테크 기업들이 고객에게 필요한 서비스를 제공하는 것을 돕습니다.