마이데이터 산업 활성화로 데이터의 새로운 가치 창출
마이데이터란?
개인이 자신의 정보를 적극적으로 관리·통제하는 것은 물론, 이런 정보를 신용이나 자산관리 등에 능동적으로 활용하는 일련의 과정을 말한다.
이를 통해 각종 기관과 기업 등에 분산돼 있는 자신의 정보를 한꺼번에 확인할 수 있으며, 업체에 자신의 정보를 제공해 맞춤 상품이나 서비스를 추천받을 수 있다.
마이데이터 산업은 이런 과정을 지원하는 산업, 구체적으로 금융기관·통신사 등에 수집돼 있는 자신의 개인정보를 다른 기업, 기관 등으로 이동시키는 지원 역할을 하는 것을 의미한다.
■ 정부 데이터산업에 1조 원 투자, 관련 법 개정에도 속도
국내에서 빅데이터 산업 활성화를 위한 움직임이 활발해지면서 마이데이터 산업에 대한 관심 역시 높아지고 있다.
특히 마이데이터산업과 관련해 금융위원회의 움직임이 눈에 띈다. 금융위원회는 ‘금융 분야 데이터활용 및 정보보호 종합방안’, ‘금융 분야 마이데이터 산업 도입방안’을 마련해 마이데이터 산업 도입방안을 제시했다.
국회도 나서고 있다. 데이터 경제 활성화 방안의 일환으로 김병욱 의원이 본인신용정보관리업을 규정한 신용정보법 개정안을 발의했다.
마이데이터 산업이 본격적으로 활성화되기 위해서는 법 개정이 필수적이다.
신용정보법 개정안은 물론, 개인정보보호법, 정보통신망법 개정안도 통과가 돼야 한다. 업계에서는 한 목소리로 관련 법 개정을 요구하고 있다. 올해 본격적으로 시장이 열릴 것으로 보이는 마이데이터에 대해 알아봤다.
정부, 데이터 사업에 1조 원 투입데이터가 가치를 창출하는 데이터 경제가 대두되면서 전세계는 물론 우리나라에서도 데이터 산업에 대한 관심이 높아지고 있다.
국내에서는 문재인 대통령이 지난해 8월 31일 판교 스타트업 캠퍼스에서 개최된 데이터 경제 활성화 규제 혁신 현장방문 행사에서 “정부는 우리 경제의 새로운 활력을 위해 데이터 산업을 전폭적으로 지원하겠다”고 말했다.
정부는 빅데이터 및 인공지능(AI) 등 데이터 산업에 1조 원을 투입할 계획이다.
정부는 ‘데이터를 가장 안전하게 잘 쓰는 나라’로 거듭나기 위해 ▲AI 학습용 데이터 구축 ▲중소기업 및 스타트업 데이터 구매·가공 바우처 제공 ▲정보주체 중심 데이터 활용(마이데이터) ▲전문인력 양성 등을 지원하고, 공공부문에서 민간 클라우드를 우선적으로 도입하도록 하는 등 클라우드 산업도 활성화시켜 데이터 산업을 이끌어 나가겠다고 발표했다.
정부의 발표 중 단연 관심도가 높았던 사항은 정보주체 중심 데이터 활용 ‘마이데이터’ 부문이다.
개인정보보호법, 신용정보법, 정보통신망법 등 법제도가 국내 데이터 산업 활성화를 가로막는 요인으로 지목되는 상황에서 정부가 나서 ‘마이데이터 산업’ 활성화를 발표했기 때문이다
마이데이터란 (한경 경제용어사전)
은행과 카드회사 등 금융회사에 흩어져 있는 개인 신용정보를 모으거나 이동시킬 수 있게 하는 서비스다.
개인정보 분석 결과를 토대로 금융 컨설팅을 하거나 소비성향을 분석할 수 있다.
금융위원회는 2018년 8월 말 데이터경제 활성화 방안의 일환으로 마이데이터 산업에 2019년 100억원을 투입할 것이라고 발표했다. 신용정보(CB) 회사가 금융 데이터를 영리 목적으로 분석하거나 컨설팅할 수 있게 허용할 예정이다.
정부는 마이데이터 산업의 기반을 다지기 위해 정보주체가 기업 및 기관으로부터 자기 정보를 내려 받거나, 타 기관 등으로 이동을 요청해 해당 정보를 활용할 수 있도록 데이터 이동권을 확립하는 시범 사업을 추진하고 있다.
더불어 금융권에서의 활용을 위해 ‘신용정보법’ 개정을 추진하고, 공공성이 높은 분야는 제도로 정착시키겠다는 방침이다.
개인정보보호 방안을 위해 올해 40억 원을 투자해 데이터 분석과 AI학습만 가능한 보안환경을 갖춘 데이터 안심구역을 구축할 계획이다.
또한 블록체인 기술개발 및 실증 사업에도 약 300억 원을 투자한다.
특히 개인정보보호를 위해 개인정보 개념을 명확히 하고, 가명정보 이용 및 제공 범위를 규정하는 등 제도 개선에도 나선다.
기존에는 행정안전부의 ‘개인정보 비식별조치 가이드라인’이 있었으나, 법적근거가 미흡했으며 가명정보 등 개념을 명확히 규정하지 않아 업계의 불만이 많았다.
정부는 이를 개선해 개인을 알아볼 수 없도록 조치된 가명정보 도입 등 개인정보의 개념을 명확히 하고, 이를 이용 및 제공할 수 있는 범위를 법으로 구체적으로 규정한다.
더불어 사물의 위치정보 처리 시 사전 동의 대상에서 제외하는 등 비즈니스 활성화를 위한 제도적 기반을 마련할 예정이다.
개인정보보호 규정 위반 시 처벌 규정도 강화할 방침이다.
사실 기존에는 비식별 정보의 재식별에 대한 제재가 미흡하고 관리감독체계가 비효율적인 면이 있었다.
이를 가명정보의 이용과정에서 특정 개인을 알아볼 수 있게 되는 경우 처리 중지 및 삭제조치 의무화, 고의적 재식별시 형사처벌 및 과징금 부과 등 책임성 확보 방안을 도입하고 개인정보보호위원회 위상을 강화해 개인정보보호를 강화할 수 있도록 할 계획이다.
■ 마이데이터 산업은 세계적인 트렌드
마이데이터 산업은 전 세계적인 트렌드가 되고 있다.
미국, 유럽, 일본 등 여러 국가에서 이미 마이데이터 산업과 관련된 시장이 형성되고 있다.
먼저 미국은 사후거부(Opt-Out) 제도가 있어 개인정보 수집 및 이용이 용이해 금융 정보 통합 조회, 데이터 분석서비스, 데이터 중개업체 등 관련 산업이 활성화 돼 있다.
미국의 대표적인 마이데이터 산업 사례로는 요들리(Yodlee)와 민트닷컴(Mint.com)을 꼽을 수 있다.
요들리는 미국의 데이터 중개기업으로, 미국 상위 16개 은행 등 1,100개 기업과 제휴하고 1억 명 이상의 사용자를 보유하고 있다.
요들리는 고객의 금융데이터를 한 번에 모아서 보여주는 서비스를 제공하고 있으며, 이용자는 금융사에 일일이 들어가서 자신의 금융정보를 확인하는 번거로움 대신 한 번에 자신의 모든 금융 거래를 모두 조회할 수 있다.
미국에서 성공한 핀테크 기업으로 손 꼽히는 민트닷컴은 개인자산 관리 업체로 2006년 설립 당시 사용자가 30만 명이었으나 현재는 5,000만 명 이상으로 늘어났다.
민트닷컴은 미국 내 대부분 은행 계좌의 입출금 관리와 신용카드 사용 내역, 대출 계좌, 증권 계좌 정보, 보험 등 개인의 모든 자산과 부동산 등 비금융 자산까지 통합 관리해주는 원스톱 자산관리 플랫폼 서비스를 제공하고 있다.
일본은 은행법을 개정해 마이데이터 산업과 유사한 ‘전자결제 등 대행업’을 도입하고 금융사로 하여금 대행업자에게 오픈API를 제공하도록 규정하고 있다.
또한 정보은행, 데이터거래소 등 마이데이터 관련 산업을 준비하고 있다.
일본의 대표적인 마이데이터 산업 추진 사례로는 미쓰비시UFJ신탁은행의 정보은행과 에브리센스(EverySense)의 데이터거래소를 꼽을 수 있다.
미쓰비시UFJ신탁은행의 정보은행은 개인의 동의하에 온오프라인 구매이력이나 이주기록, 건강 상태와 같은 개인정보를 확보해 상품 개발이나 고객 수요분석에 사용하고 개인에게는 정보 제공의 대가를 환원하는 방식이다.
미쓰비시UFJ신탁은행은 올해부터 개인정보은행 서비스를 시작할 예정으로, 자신의 정보를 제공하는 소비자에게 해당 정보를 이용하는 기업으로부터 월 500~1,000엔(약 5,000~10,000원)의 현금이나 서비스 이용권을 지급하게 된다.
기업은 개인정보은행에 보관된 개인정보를 신제품이나 서비스 개발에 활용하고, 미쓰비시UFJ신탁은행과 소비자는 데이터 제공의 대가로 수수료를 받 활용해 개인정보 제공에 동의한 소비자의 위치정보, 보행기록, 건강정보, 구매내역 등의 개인정보를 확보한다.
더불어 데이터 활용에 있어 소비자 불안을 최소화하기 위해 자신의 정보 제공 여부를 스스로 통제할 수 있도록 규정하고 있으며, 제공된 정보는 상품개발이나 고객 수요 분석에만 사용하도록 제한한다.
에브리센스 재팬은 지난해 10월부터 민간 데이터거래소를 운영하고 있다.
에브리센스는 데이터거래소의 중립적인 운영자로서, 거래 규칙을 정하고 결제서비스 등을 제공하고 있다.
데이터를 판매하는 업체로부터 10%의 거래 수수료를 받고 있으며, 데이터 판매에는 일본 여행사인 JTB 등 5개사가 참여하고 있다.
JTB는 이 데이터거래소를 통해 의료기관과 외국 크레딧 카드를 사용할 수 있는 ATM의 위치정보 등을 판매한다.
나머지 4개사는 인터넷 관련기업으로, 주유소에서 기름을 넣을 때마다 보내오는 자동차 연비데이터, 100만 명 이상의 회원에게서 수집한 직업속성에 따른 가구데이터 등 정보주체의 동의를 받아 개인을 특정할 수 없도록 가공해 판매하고 있다.
유럽은 개정 지급서비스지침(PSD2: Payment Sevices Directive II)을 통해 계좌정보서비스(Account Information Services)를 신설하고, 계좌정보서비스 기업이 금융기관으로부터 고객정보를 전송받기 위한 오픈API 표준을 준비하고 있다.
유럽 PSD2의 주요내용은 ▲카드 요금 지불의 과징금 개선 ▲제3자 제공자(Third Party Providers)’ 도입 및 규제 ▲온라인 결제시 강력한 고객 인증(Strong Customer Authentication) 등으로 구성돼 있다.
특히 제3자 제공자에게 ▲고객이 동의한 경우 오픈API로 금융정보 제공 ▲고객의 은행에서 타인의 계좌로 직접 자금을 이체해 주는 서비스 ▲고객 계좌 정보에 대한 접근을 허용해 고객의 은행 별 계좌 정보를 제공하는 서비스 등을 허용하고 있다.
유럽의 대표적인 사례로는 영국의 오픈뱅킹포털을 들 수 있다. 영국 정부가 주도적으로 운영하고 있는 오픈뱅킹포털은 계좌정보서비스를 제공하기 위한 API 표준 및 가이드 등을 제공하고 있다.
■ 국내 마이데이터 산업 기반 다진다
데이터 활용이 점차 강조되면서 국내에서도 금융권을 중심으로 마이데이터 산업을 추진하기 위한 움직임이 활발하다.
특히 금융위원회는 지난해 3월 ‘금융 분야 데이터 활용 및 정보보호 종합방안’을, 7월에는 ‘금융 분야 마이데이터 산업 도입방안’을 발표하는 등 다양한 활동을 하고 있다.
먼저 금융위는 ‘금융 분야 데이터 활용 및 정보보호 종합방안’을 통해 국내 금융 분야 데이터 활용 현황을 진단하고 정책 추진 방향 및 추진과제를 제시했다.
금융위는 데이터 활용의 기본원칙을 ▲금융 분야를 빅데이터 테스트베드로 우선 추진 ▲법제도, 산업, 인프라 측면에서 종합적 대응방안 마련 ▲정보주체의 권리 보호 등으로 수립하고, 3대 추진 전략 및 10대 추진과제를 설정했다.
이를 통해 금융위는 데이터 기반 금융혁신을 촉진하고 관련 전후방 연관 산업의 발전을 통해 융합 신산업 등 실물 부문 혁신성장에도 이바지한다는 계획이다.
더불어 개인정보 자기 결정권을 도입하고, 정보보호 및 보안이 실질적으로 강화됨에 따라 금융 분야에 대한 국민 신뢰도 제고될 것으로 기대했다.
금융위가 지난 7월 발표한 ‘금융 분야 마이데이터 도입방안’에서는 ▲금융 분야 마이데이터 산업에 관한 법률상 규율 체계를 도입해 개인의 정보 및 소비자주권 실현을 지원하는 독자적인 산업으로 육성 ▲자본금 요건, 금융권 출자의무 등 진입장벽 최소화 ▲정보주체의 주도하에 정보보호 및 보안 등의 측면에서 안정적인 서비스가 제공될 수 있도록 제도적·기술적 여건 마련 등 마이데이터 산업의 3가지 기본 방향을 설정했다.
○ 마이데이터 산업 도입 방안 4가지
1. 업 신설 및 업무범위 명확화 : ‘신용정보법’ 상에 신용조회업과 구분되는 신용정보산업으로 마이데이터 산업(본인 신용정보 관리업)을 별도로 신설하고, 본인 신용정보 통합조회서비스를 고유업무로 하되, 신용관리·자산관리·정보관리를 위한 다양한 겸영·부수업무 허용
2. 진입규제 설계: 자본금 요건 등을 최소화해 다양한 업체의 진입을 유도하되, 정보보호 및 보안, 산업생테계 측면을 감안해 진임규제를 설계
3. 고객정보 제공 의무화: 정보주체의 개인신용정보 이동권을 보장하고, 그 권리행사에 기반해 금융사에 고객정보의 제공을 의무화
4. 정보보호 및 보안 책임 강화: 정보주체의 명확한 의사에 기반해, 정보보호·보안상 신뢰할 수 있는 방식으로 서비스가 제공되도록 규제 및 감독 강화
금융위는 위와 같은 도입방안을 통해 금융 분야 마이데이터 산업이 도입·정착돼 국민의 삶에 데이터 기반 금융혁신이 조속히 체감될 수 있도록 관련 법·제도 및 기술적 여건 마련을 속도감 있게 추진한다는 계획이다.
또한 ‘금융 분야 데이터 활용 및 정보보호 종합방안’ 관련 법 개정 사항을 담은 ‘신용정보법 개정안’의 입법을 추진, 김병욱 국회의원의 대표발의로 현재 국회 계류 중이다.
금융위는 법 개정 이후 마이데이터 산업이 정착될 수 있도록 유관기관, 금융·핀테크·데이터 산업 종사자 등과의 협의를 통해 API 등 세부추진방안 마련도 병행한다는 계획이다.
특히 금융감독원, 신용정보원, 금융보안원, 금융업권별 협회, 핀테크산업협회 등으로 ‘본인 신용정보 관리업 도입 TF’를 구성해 운영하고 있다.
한편, 금융위는 마이데이터 산업 추진에 있어 현재 많은 핀테크 기업이 활용하고 있는 스크린 스크래핑 방식을 활용한 정보수집을 일정기간 금지할 계획이며, API 연동을 통해 금융사의 정보를 제공받도록 할 예정이다.
■ 국내 마이데이터 시범 사업 추진
지난 16일 경제부총리 주재 제1차 혁신성장전략회의에서 ‘데이터 경제·AI 활성화 계획’이 수립됐다.
이번 계획안은 올해부터 2023년까지 혁신성장 전략투자 분야인 데이터와 AI 육성전략 및 융합을 촉진하기 위해 마련됐다.
먼저 5개년 계획을 통해 23년까지 공공·민간 별로 다양한 데이터가 수집돼 제공될 수 있는 빅데이터센터 100개와 양질의 데이터가 결합 유통되고 새로운 서비스를 창출할 수 있는 빅데이터 플랫폼 10개를 구축할 계획이다.
또한 중소 및 벤처기업이 데이터를 활용해 새로운 서비스를 개발할 수 있도록 데이터 구매·가공비용을 지원하는 바 우처 사업을 추진한다.
더불어 국민들이 데이터 활용에 따른 혜택을 체감할 수 있도록 본인 동의하에 개인데이터를 활용하는 사업을 확대·실시한다.
이외에도 국가정보화산업에 데이터와 AI를 적극적으로 활용할 방침이며, 데이터와 AI의 활용을 촉진하는 제도를 마련하는 한편 안전한 활용을 보장하기 위한 제도도 강화한다.
특히 정부는 마이데이터 시범사업을 확대하기 위해 올해 약 97억 원의 예산을 투입한다.
이를 통해 마이데이터 실증서비스 및 구축을 완료한다는 계획이다.
우선 3월까지 개인데이터 보유기관 및 기업과 서비스기업 간 컨소시엄을 구성하고, 금융·통신·에너지·유통·의료 등 5개 분야를 대상으로 8개 공모사업을 추진한다.
이후 6월부터 10월까지는 개인데이터 활용 인식 및 서비스 실태조사, 개인데이터 표준, 보안 관련 가이드라인을 마련하고, 11월 분야별 마이데이터 실증서비스 개발 및 구축을 완료할 방침이다.
더불어 2020년 8개, 2021년 10개, 2022년 13개 등 분야를 지속적으로 확대해 나갈 계획이다.
지난해 6월 마이데이터 시범사업자로 선정된 기업은 금융 상품 추천 서비스 ‘뱅크샐러드’의 레이니스트와 통신요금 정보포털 스마트초이스 두 곳이다.
레이니스트는 마이데이터 시범사업 금융분야 주관사로 은행·카드사가 보유한 고객 데이터를 고객 자신이 손쉽게 내려 받거나 본인 동의하에 제3자에게 제공하는 정보주체 중심 데이터(API) 활용을 선보이고 있다.
스마트초이스는 마이데이터로 빅데이터 기반 이동통신 요금제 추천 서비스를 제공한다.
지난해 레이니스트와 스마트초이스가 제공한 서비스를 통해 약 5,000명의 개인정보가 활용된 것으로 조사됐다.
특히 레이니스트는 지난해 11월 한국데이터산업협의회(회장 조광원)가 주최하고 한국데이터진흥원(원장 민기영, 現 한국데이터산업진흥원)이 주관한 ‘2018 데이터 人의 밤’ 행사에서 ‘데이터 서비스 이노베이터’로 선정됐다.
■ 신용정보법 개정안’, 정보보호와 활용 절충안 찾아야
현재 국내에서 개인정보를 활용한 빅데이터 분석에는 많은 어려움이 따른다.
각종 법적 제약이 뒤따르기 때문이다. 업계에서는 개인정보보호법, 정보통신망법, 신용정보법 등에 의해 빅데이터 분석은 불가능에 가깝다고 얘기한다.
정부 역시 이러한 사실을 알고 있다.
정부와 금융위에서 발표한 추진 방향에 법제도 개선이 포함돼 있는 것도 이런 문제점을 해결하기 위해서다.
지난해 11월 금융위와 여당의 주도하에 ‘신용정보법 개정안’이 발의된 상태지만, 여러 이유로 현재 국회 계류 중이다. 이번 ‘신용정보법 개정안’은 개인신용정보를 가명정보 처리해 금융분야 빅데이터로 활용할 수 있도록 하는 것을 골자로 한다.
개인신용정보를 관리, 활용하는 데이터 전문기관, 전문신용정보사를 설립해 신용정보 산업을 진흥시킨다는 내용도 포함됐다.
이는 IT 기업들이 그동안 꾸준히 요구한 사항이기도 하다.
김태훈 레이니스트 대표도 지난 16일 진행된 금융위원회 핀테크 간담회에서 핀테크 대표기업으로 참석해 “데이터를 가장 안전하고 유용하게 활용하려면 신용정보법 개정안에 대한 국회의 빠른 결정이 필요하다”고 강조했다.
하지만 신용정보법 개정안에 있어 개인정보보호가 쟁점이 되고 있다.
일부 시민단체들은 가명정보 등 비식별처리를 하더라도 추가 정보만 있으면 개인을 식별할 수 있어 위험하다고 지적하고 있다.
AI가 발달되면 비식별정보로 개인을 식별할 수 있다는 것이다.
특히 신용정보 평가 수단이 통신비, 세금내역 등 일상생활 정보까지 확대되면, 개인정보의 침해는 더욱 확대될 것이라는 지적도 나오고 있다.
정부부처에서도 의견이 갈리고 있다.
국세청 및 행정안전부는 국세, 지방세 정보를 신용정보사로 넘기는 방안에 대해 반대하고 있다.
사생활 성격이 강한 민감 정보를 민간기업에 넘길 수 없다는 것이다.
이렇듯 의견이 갈리는 상황에서 ‘신용정보법 개정안’의 국회 통과는 쉽지 않을 전망이다.
금융위는 내달 열리는 국회 본회의 상정에 집중한다는 계획이지만, 통과가 확실한 상황은 아니다.
지난 2016년 방송통신위원회에서 개인정보 빅데이터 활용을 위한 ‘개인정보 비식별 조치 가이드라인’을 발표해 빅데이터 산업이 활성화될 것으로 기대됐지만, 2017년 11월 시만단체의 고발로 인해 관련 산업이 모두 위축된 상황이다.
법제도가 개선되지 않는 이상, 새로운 정책이 추진돼도 비슷한 상황이 계속될 수 있다는 우려가 나오고 있는 이유다.
데이터 경제는 이미 세계적인 트렌드로 자리잡고 있다.
개인정보보호만을 외치면서 데이터 산업의 발전을 저해한다면, 세계적인 트렌드에 뒤처지게 된다.
반대로 데이터 산업 활성화를 위해 개인정보보호 문제를 등한시 한다면 인권적인 차원에서 문제가 생긴다.
양측 모두 인정할 수 있는 합의점을 도출해야 한다.
이 합의점을 발견하기 위해 논의가 활발히 이뤄져야 할 시점이다.
출처 : DBguide
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
