지급결제 서비스 조직의 내부통제 인증 도입 방안

• Published in: 지급결제학회지 Vol. 16; no. 2; pp. 185 - 208
• Main Authors: 정관훈, Jeong Kwanhun, 전삼현, Chun Samhyun
• Format: Journal Article
• Language: Korean
• Published: (사)한국지급결제학회 30.12.2024; 한국지급결제학회
• Subjects: Internal control certification; ISAE 3402; Service Organization Reliability; SOC report; SOC 보고서; Third-party risk; 경제학; 내부통제 인증; 서비스 조직 신뢰성; 제3자 리스크
• ISSN: 1976-9253; 2671-8677
• DOI: 10.22898/kpsakr.2024.16.2.185

정보통신 기술의 발달은 지급결제서비스 시장의 폭발적 확대를 가져왔다. 이러한 서비스 확대에는 기존 금융기관이 중심이었던 금융기관 간의 거액 결제 및 증권 결제, 외환결제 시장에서 핀테크와 빅테크가 중심이 되는 간편결제, 간편 송급, 앱카드 등 새로운 지급 수단과 지급 방식을 등장시겼다. 금융기관이 아닌 다양한 지급 서비스 제공 사업자들은 정보통신 인프라를 기반으로 금융기관과 소비자, 기업과 소비자(B2C), 기업과 기업(B2B), 개인과 개인(P2P) 사이에서 지급결제 서비스를 제공하는 역할 변화를 가져왔다. 또한, 이러한 정보기술을 활용한 지급결제서비스는 온라인과 모바일 전자상거래 시장에서 온라인과 오프라인을 연결하는 O2O(Online to Offline) 서비스와 같은 새로운 사업유형을 출현시키며, 시장 규모를 확대 했다. 대표적인 지급결제 서비스는 간편결제 서비스를 제공하는 전자금융업자와 휴대폰 제조사, 카드 및 은행 등의 금융회사가 있고, 인프라를 제공하는 PG사와 VAN사 등이 이에 해당한다. 이러한 다양한 서비스 조직의 출현과 지급결제 수단의 증가는 중소 판매자 및 소비자에게 편리성과 효율성을 제공한 것이 사실이다. 반면, 이러한 다양한 서비스 조직과 결제 수단의 증가는 거버넌스 측면에서 많은 취약점에 노출된다. 소액결제 제도 거버넌스와 관련하여 한국은행과 금융위원회, 금융결제원사이에서 거버넌스 체계가 고착화되며, 법률 개정 작업에서 의견 충돌을 발생시키는 등거버넌스의 한계를 보였다고 조사된바 있다. 또한, 2024년 결제 대금의 정산 지연 문제로부터 시작된 티몬·위메프 사태를 볼 때 다양한 이해관계자들 사이에서 상호 서비스 신뢰성에 대한 문제점이 존재한다는 것을 확인했다. 기존 금융결제원의 지급결제 서비스인장표 방식(수표, 어음 등)의 제한된 오프라인 서비스에서는 중앙집중화된 거버넌스 체계에서 공금융의 신뢰성이 뒷받침되어 결제 대금의 정산 이슈가 없었던 것이 사실이나, 구매자와 판매자 사이의 금전적 거래가 원활하게 이루어지면서 비 장표 방식 (카드, 계좌이체, 모바일 간편결제 등 전자 방식)으로 결제 수단이 변경되면서, 효율성과 거래 안정성을 위해 출현한 결제 대행 서비스를 제공하는 PG(Payment Gateway)사 및 부가가치통신망을 제공하는 VAN(Value Added Network)사 등 전자금융업자가 지급결제 서비스의 핵심 인프라 역할을 하면서 상호 신뢰성을 제고해야 할 필요성이 증대되었다. 전자금융업자의 서비스와 관련하여 금융소비자 보호를 위한 대책 및 거래 안전성을 위한 기술적인 안전 장치(인증 및 암호화) 등 대책을 마련하는 법적 제도적 장치는 많이 연구되었다. 건전한 상거래 활동을 위해서는 소비자 보호와 더불어 사업자들에게도 상호서비스 신뢰와 안전성을 위한 대책이 마련되어야 한다. 티몬·위메프와 같은 인터넷 쇼핑과 지급결제 인프라를 제공하는 PG사와 VAN사, 금융서비스를 제공하는 카드사 등 지급결제서비스 상의 경제 주체 상호 간에 어떻게 신뢰성을 보증할 것인지와 관련한 거버넌스 체계도 지급결제 서비스 선진화를 위해 필요한 사안이다. 지급결제 서비스 시장에는 다양한 이해당사자가 존재하며, 건전하고 안전한 상호 신뢰를 제공하기 위해서 법·제도를 새롭게 개선 할 필요가 있고, 기존 유사 서비스의 선진화된 법·제도를 도입하는 것도 방안이 될 수 있다. 비즈니스에서 많은 경제주체들이 핵심업무만 인소싱하고, 비핵심 업무는 아웃소싱(서비스 조직)하는 선택과 집중을 통해 경영효율성을 달성해 왔다. 이러한 아웃소싱(서비스 조직) 영역에서 발생하는 리스크에 대해서 문제 발생 시 법·제도적 처벌을 떠나 실질적으로 서비스를 제공 받는 기업이 재무적·비재무적 관점에서 영향을 받지 않을 수 없다. 따라서, 기업은 서비스를 아웃소싱하는 영역의 서비스 조직을 식별하고, 서비스 조직으로부터 발생될 수 있는 리스크에 대해서 신뢰성을 보증 받을 수 있는 방안을 마련하는 것이 필요하다. 이렇게 다양한 이해관계자가 복잡한 비즈니스 구조에서 영위하는 서비스에 대해서 거버넌스를 제정하거나, 시장을 감독하는 감독 당국이 리스크를 식별하고 건전하고 안정적인 비즈니스 관계를 유지 할 수 있도록 상호 신뢰성을 확보할 수 있도록 방안을 마련해주는 것이 선결되어야 한다. The development of information and communication technology has led to the explosive expansion of the payment service market. The expansion of these services has led to the emergence of new payment methods and payment methods such as simple payment, easy payment, and app cards, which are centered on fintech and big tech in the foreign exchange settlement market, as well as large payments and securities settlements between financial institutions. Various payment service providers that are not financial institutions have brought about a change in the role of providing payment services between financial institutions and consumers, businesses to consumers (B2C), businesses to businesses (B2B), and individuals to individuals (P2P) based on information and communication infrastructure. In addition, payment and settlement services using such information technology have expanded the market size by emerging new business types such as O2O (Online to Offline) services that connect online and offline in the online and mobile e-commerce markets. Typical payment services include electronic finance companies that provide simple payment services, financial companies such as mobile phone manufacturers, card and banks, and PG companies and VAN companies that provide infrastructure. It is true that the emergence of these various service organizations and the increase in payment methods have provided convenience and efficiency to small and medium-sized merchants and consumers. On the other hand, the increase in these various service organizations and payment methods exposes them to many vulnerabilities in terms of governance. Regarding the governance of the micropayment system, it has been investigated that the governance system has become fixed between the Bank of Korea, the Financial Services Commission, and the Financial Settlement Service, and that there have been limitations in governance, such as causing disagreements in the work of revising the law. In addition, when we look at the Tmon-Wemef crisis, which began with the problem of delayed settlement of payment payments in 2024, it was confirmed that there is a problem of mutual service reliability among various stakeholders. It is true that there was no settlement issue of settlement due to the reliability of public finance in the centralized governance system in the limited offline services of the existing KFTC's payment service (checks, drafts, etc.), but as the payment method was changed to a non-ledger method (electronic method such as card, bank transfer, mobile simple payment, etc.) as the monetary transaction between the buyer and seller was smoothly carried out, electronic finance providers such as PG (Payment Gateway) that provides payment gateway services and VAN (Value Added Network) that provides value-added communication networks have emerged for efficiency and transaction stability. The need to enhance mutual trust has increased. In relation to the services of electronic financial companies, many legal and institutional mechanisms have been studied to prepare countermeasures such as measures for the protection of financial consumers and technical safeguards (authentication and encryption) for transaction safety. In order to ensure healthy commercial activities, in addition to consumer protection, business operators should also take measures to ensure mutual service trust and safety. The governance system related to how to guarantee the reliability of economic entities in payment services, such as PG and VAN companies that provide internet shopping and payment infrastructure, such as T-mon and Wemef, and card companies that provide financial services, is also necessary for the advancement of payment services. There are various stakeholders in the payment service market, and it is necessary to improve laws and systems in order to provide sound and safe mutual trust, and it may be a solution to introduce advanced laws and systems for existing similar services.In business, many economic entities have achieved management efficiency through the choice and concentration of insourcing only core tasks and outsourcing non-core tasks (service organizations). In the event of a problem with the risks that arise in the area of outsourcing (service organization), the company that actually provides the service regardless of legal and institutional penalties cannot help but be affected from a financial and non-financial perspective. Therefore, it is necessary for a company to identify the service organization in the area where the service is outsourced and to prepare a plan to guarantee the reliability of the risk that may arise from the service organization. It is important to establish governance for services operated by such diverse stakeholders in complex business structures, or to ensure mutual trust between supervisory authorities that oversee the market to identify risks and maintain sound and stable business relationships.