PSD2 전자금융거래법 개정방향

EU 지급결제지침개정안(PSD2)를 통한 지급지시와 계좌정보 서비스 개정

제3자 지급결제서비스 제공업자

이글은 Kif(한국금융연구원)이 2020년 4월 발간한 금융브리프 중 'PSD2를 감안한 전자금융거래법 개정방향'의 논단을 중심으로 첨삭을 통해 좀더 이해하기 쉽도록 구성한 글입니다. 이보미 연구위원 께서는 논단의 요약문에 대해서 다음과 같이 기술을 하였습니다. 

[요    약]

인터넷 . 모바일 기반의 지급결제시장이 빠르게 성장하고, 새로운 서비스가 생겨나면서 이들에 대한 법적 불확실성을 해소함과 동시에 더욱 혁신적인 금융서비스가 생겨날 수 있도록 법과 규제를 개선할 필요성이 커짐.

EU는 지급결제지침개정안(PSD2)을 통해 지급지시서비스와 계좌정보서비스를 규제대상으로 포함하고, 이들이 차별없이 이용자의 계좌에 접근할 권리를 보장함으로써 오픈뱅킹의 법적 근거를 마련하였으며, 이용자 보호 수준도 높임. 

[PSD2 :  제 3자 지급결제서비스를 통해 간편한 금융서비스를 즐기는 모습]

우리나라 전자금융거래법의 개정 방향은 지급지시서비스업과 종합지급결제업을 규제대상으로 포괄하고, 오픈뱅킹의 법적 근거를 마련하는 동시에 이용자 보호를 강화하는 것을 주요 내용으로 한다는 점에서 PSD2와 큰 틀에서 유사함. 

그러나 전자금융거래법의 지급지시서비스, 종합지급결제서비스는 접근 권한이 필요한 정보 범위 측면에서 PSD2의 지급지시서비스, 계좌정보서비스와 다르기 때문에 오픈뱅킹 법제화 시 주의가 필요함. 

또한 전자금융거래법의 이용자 보호 수준을 PSD2 수준으로 높이고, 종합지급결제서비스를 통해 활성화 될 금융플랫폼에 대한 규제방안도 마련한 필요가 있음. 

---

EU의 PSD2 도입배경

EU의 지급서비스 지침(Payment Service Directive 2)은 지급결제시장을 통합하고 소비자들에게 보다 편리하고 안전한 지급결제서비스를 제공하기 위한 목적으로 기존의 지급결제서비스지침(PSD)을 개정하여 2018년 1월부터 실시하고 있다.

[기존 결제 서비스와 PSD2을 활용한 통합결제서비스의 차이]

PSD2의 개정 방향은 기존 시행하고 있던 PSD를 보다 개인의 통제하에서의 개인정보 활용에 주안점을 두고 있다. 아래의 범위확대 / 혁신촉진 / 투명성제고 / 고객인증 / 통신표준을 중심으로 구성이 되어 있다. 

o (PSD의 규제 체계 범위 확대) 거래의 지리적 및 통화 범위를 확대하고, 신규 지급결 제서비스 등 포괄적인 형태의 전자금융거래를 동 지침의 규정범위에 포함되어 있다.  

o (지급결제서비스의 경쟁 및 혁신 촉진) 지급지시서비스 제공업자(PISP), 계좌정보서 비스 제공업자(AISP) 등 제3자 지급결제서비스 제공업자를 규정하고 이들의 소비자 계좌에 대한 접근을 보장하고 있다.  

o (소비자 보호 강화 및 투명성 제고) 서비스 제공업자의 거래에 대한 정보공개 의무 및 거래에 따른 보안조치가 강화되었다.

o (강력한 고객인증) 모든 지급결제서비스 제공업자는 소비자 보호를 위하여 2요소 인 증, 동적요소 인증 등을 활용하여 전자금융 개시 및 처리 시 거래자의 신원을 파악 해야 한다. 

o (개방형 통신표준) 금융회사는 거래에 대한 명확한 동의의사를 확인하고 인증을 거 쳐야 하며, 제3자 지급결제서비스 제공업자에게 안전한 통신채널을 통해 계좌정보 에 대한 접근권을 보장해야 한다. 

PSD2는 이용자의 계좌나 자금의 보유 없이 서비스를 제공하는 지급지시서비스와 계좌정보서비스를 지급결제서비스 범위에 추가하였다. 지급지시서비스 제공자(PISP)는 서비스 이용자의 자금을 보유하지 않고 이용자의 지시로 다른 지급결제서비스 제공업자가 보유하고 있는 계좌에 지급결제 개시를 요청하는 서비스를 제공한다. 

[알기쉬운 핀테크] 금융권 Open API 중 PISP 관련 내용 발췌]

계좌정보서비스 제공업자(AISP)는 이용자의 동의를 받아 이용자가 거래하는 은행 계좌정보, 최근 거래내역, 잔액정보 등 금융정보를 이용자에게 통합하여 제공한다. 

[핀테크 API에 따른 송금명령(PISP) 서비스 개념도]

위의 서비스를 진행할 경우 중요한 부분은 다음과 같다. 
1) 서비스와 관련된 상세한 위험평가 및 민감한 개인 데이터 보호를 위한 보안조치 등을 인가기관에 인증받는다.
2) PISP, AISP 이용자가 명시한 정보에 대해서만 접근가능하고, 정보사용시 이용자에게 고지해야한다. 

3) 개방형 API 및 다중처리 시스템을 구축하고, 지식, 소유, 생체기반 인증방식 중 두 가지 이상을 인증해야 한다. 

4) 이용자가 출금일로부터 8주 내에 무조건적으로 반환을 요청할 수 있도록 해야한다. 

5) 이용자의 사기나 고의성에 대한 입증책임은 서비스 제공자에게 있다. 

위의 5가지 항목은 PISP 사업을 영위하기 위해 검토를 진행해야 하는 중요한 부분이다. 서비스의 간편성을 높이지만, 이에 대한 책임은 서비스 제공업자에게 가중시키는 것이다.

---

전자금융거래법 개정방안과 비교 

전자금융거래법의 개정방향은 새로운 지급결제서비스를 규제대상으로 포괄하고 오픈뱅킹의 법적 근거를 마련하며, 이용자의 법적 보호 장치를 강화하는 것을 주요한 내용으로 두고 있기에 PSD2와 유사하다.

전자금융업 개정안에는 지급지시서비스업(MyPayment)와 종합지급결제업이 도입 예정이다. 지급지시서비스업은 다른 금융회사 계좌의 자금을 결제하거나 다른 금융회사 계좌로 송금하는 지시를 하는 서비스로 PSD2의 지급지시서비스와 유사하다. 

종합지급결제업은 핀테크 기업 등이 은행과 제휴 없이 지급결제 전용계좌를 개설해 결제, 송금 등을 할 수 있게 하는 서비스다. 종합지급결제업은 비은행이 금융결제망을 직접 이용함으로써 은행과 동등한 지위에서 서비스를 제공할 수 있도록 하기 위한 것이다.  올 8월 시행예정인 개정 신용정보법에서는 본인신용정보관리업의 정보 범위가 논의될 전망이다. 결제계좌 정보와 신용카드 거래정보 등 지급결제에 관한 것으로만 한정되는 PSD2의 계좌정보 서비스와 달리 정기예금 및 적금, 대출계좌 정보, 금융투자 정보 등을 포괄 할 것으로 예상된다. 

향후 각종 규제법안은 다음과 같이 구분 할 수 있다. 
 1) PISP와 같이 지급결제 지시만 수행하는 지급지시서비스업자는 전자금융거래법에서 정의

 2) AISP와 유사한 광범위한 신용정보를 활용하는 본인신용정보관리업자는 신용정보법에서 정의

 3) 종합지급결제업의 경우 전자금융거래법상의 지급결제서비스 및 신용정보법상 본인신용정보관리업자와 유사한 수준의 정보 서비스 정의

이와 동시에 PSD2의 이용자 보호강화는 다음과 같이 이뤄질 전망이다. 

 1) 이용자의 사기나 고의로 인해 문제가 발생한 경우를 제외한 미승인 거래에 대해 서비스 제공업자가 이용자에게 즉시 배상하도록 하고 있다. 이를 대입해 보면 거래가 PISP의 지급지시에 의해 발생하였다면 은행 등 계좌보유 기관이 이용자의 손해를 즉시 배상한 후 PISP의 책임을 묻도록 하고 있다. 

 2) 이용자의 사기나 고의가 아닌 미승인 거래에 있어 이용자의 책임한도를 50유로로 두고 있다. 

 3) 사고 발생 시 금융회사가 주의의무를 다했음을 입증하거나 이용자가 접근매체를 대여, 노출, 방치, 추가보안조치를 거부했음을 입증을 해야 금융회사는 면책 받을 수 있다. 

원문자료  

금융브리프 (2020.04.04 ~ 04.17.) / 논단 : PSD2를 감안한 우리나라 전자금융거래법 개정방향 (한국금융연구원 / 이보미 연구위원) https://www.kif.re.kr/kif3/main/