2020년 6월, ‘마이데이터(MyData)’ 사업이 실증사업 선정을 시작으로 금융권 내에서 본격 시행됐습니다. 2020년 1월에 데이터 3법(개인정보보호법·신용정보법·정보통신망법) 개정안이 국회 본회의를 통과하면서 마이데이터사업 허가를 받은 기업이 개인신용정보를 통합·관리할 수 있게 된 것입니다.
2020년 하반기와 2021년 상반기에 마이데이터 사업자 허가를 신청한 많은 기업의 수를 보면 이 사업에 대한 높은 관심을 가늠할 수 있습니다. 2020년 10월에 금융위원회가 1차 마이데이터 사업자 예비허가 신청을 받은 결과 총 35곳의 기업이 참여했습니다. 국민·신한·우리·하나·농협 등 국내 5대 은행이 모두 참여했으며, 네이버, 카카오 등 빅테크 기업도 금융 자회사를 통해 신청서를 제출했습니다. 2021년 1월에 이들 예비허가 신청사 중 28개 기업이 1차 본허가 승인을 받았습니다.
또한 지난 4월 23일, 마이데이터 2차 신청 첫날에는 LG CNS기업은행교보생명 등 31곳이 도전했습니다. 25개 기업이 예비허가 신청서를 제출했고, 6개 기업이 바로 본허가 신청서를 제출했습니다.
그럼, 마이데이터 사업이 무엇이길래 이렇게 뜨거운 관심을 모으는 것일까요? 지금부터 마이데이터의 개념과 등장배경, 영역별 기대효과 등 마이데이터 산업 전반을 살펴보고, 이 사업이 안정적으로 운영되기 위해 필수 요건인 마이데이터 인증 및 보안에 대하여 알아보겠습니다.
마이데이터(MyData)의 개념과 등장배경
마이데이터는 전송요구권(Right to Data Portability)에 근거해 정보 주체인 개인이 본인 데이터의 개방을 요청하면, 기업이 보유한 데이터를 개인(요청자) 또는 개인이 지정한 제3자에게 개방하는 것입니다. 즉, 본인 데이터에 대한 개인의 통제력과 권한을 강화하는 것인데요.
금융권에서 먼저 쓰인 마이데이터 개념은 정보주체가 자신의 정보를 적극 관리, 통제하고 이를 신용관리, 자산관리, 보험관리, 소비관리 등 생활에 주도적으로 활용하는 일련의 과정입니다. 예를 들어 은행, 통신사, 카드사, 보험사 등 다양한 분야에 보유 중인 자신의 개인 정보를 스스로 한곳에 모아 두고 신용이나 자산관리 컨설팅과 같은 상세 데이터 분석이 필요한 서비스를 받을 때 자발적으로 제공해 사용할 수 있습니다.
그럼, 마이데이터 사업이 등장하게 된 배경은 무엇일까요? 우선, 4차 산업혁명의 핵심자원으로 데이터의 중요성이 부각됨에 따라 정보주체인 개인이 소외되는 문제가 대두됐습니다. 은행, 통신사, 카드사, 보험사 등 다양한 분야에서 방대하게 생산되는 개인신용정보에 대해 개인이 자기정보를 관리하고 통제하기 어려워진 것입니다. 뿐만 아니라 데이터 활용에 대한 논의마저 기업 중심으로 이뤄지면서 데이터 기반 혁신의 혜택을 정보주체가 받지 못할 수 있다는 우려가 제기됐습니다.
두 번째로 금융분야의 경우 구조가 복잡하고 표준화가 어려운 업계 특성으로 소비자 보호 문제가 꾸준히 제기됐습니다. 금융분야 소비자에겐 금융상품을 판매하면서 정보 우위에 있는 금융회사로부터 적합한 정보를 제공받지 못하는 상황이 빈번하게 발생했습니다. 합리적 선택을 위해 필요한 정보가 적절히 제공되지 않고 있었던 것입니다.
세 번째로 정보주체의 데이터 관리와 활용을 지원하고, 금융소비자의 구조적인 정보 열위를 완화해 주는 산업적 기반이 미흡했습니다. 이미 미국, 유럽 등에서는 다양한 핀테크 기업이 출현해 개인을 대상으로 개인정보관리 지원 서비스를 활발히 제공하고 있습니다. 국내 역시 이와 관련한 핀테크 기업이 등장하고 있으나, 서비스의 범위가 제한적이고, 정보보호 측면에서 우려가 존재했습니다.
이에 따라 정부는 개인정보 자기결정권의 실질적인 보장과 금융소비자의 보호, 정보주체의 데이터 관리활용 지원의 안전한 산업적 기반 마련 등을 위해 금융분야 마이데이터 산업 도입을 본격 추진하게 됐습니다.
마이데이터(MyData)의 기대효과
마이데이터 사업의 기대효과를 소비자, 산업, 보안 등 세 가지 측면에서 살펴보겠습니다.
첫째, 소비자 측면에서는 흩어져 있는 금융상품 가입내역, 자산 내역 등 자신의 신용정보를 한눈에 파악해 관리가 수월합니다. 또한 카드거래 내역, 보험정보, 투자정보 등을 분석관리하고, 유리한 금융상품을 추천받는 등 소비자의 금융주권을 보호받을 수 있습니다. 이외에도 금리인하 요구, 대출금리 자동 산정과 같은 자동화된 프로파일링 대응권 등의 행사를 통해 데이터 주권이 강화되고 소비자의 권익을 향상시킬 수 있습니다.
둘째, 산업 측면에서는 금융산업 경쟁력 강화와 데이터 산업 발전을 위한 인프라 구축으로 예측할 수 있습니다. 앞으로 금융상품 선택의 주요 기준은 금융기관의 인지도가 아닌 소비자가 선호하는 혜택으로 변할 예정입니다. 또한 데이터 전송 및 활용내역이 투명하게 관리되고, 정보보호 측면이 향상돼 안전한 데이터 이용환경이 조성될 것입니다. 더불어 데이터 산업 분야의 신기술 활용을 통한 신사업 추진이 수월해지는 등 데이터 산업은 인프라를 안정적으로 구축하고 마련하게 될 것입니다.
마지막으로, 보안 측면에서는 개인신용정보를 안전하게 관리하고, 정보주체가 안심하고 이용할 수 있도록 100만 명이 넘는 마이데이터 사업자에게 금융 보안관제 필수 가입을 강제했습니다. 금융보안원의 금융보안관제는 해킹시도 모니터링‧분석, 취약점 분석 및 사고 상황전파‧대응조치 수행체계를 구축한 것입니다.
마이데이터(MyData) 인증
마이데이터 사업에서 보안이 중요한데요. 이를 강화하기 위해 금융위원회(금용보안원, 신용정보원 등 포함)가 제시한 인증 및 보안 측면의 주요 요건들을 살펴보겠습니다. 마이데이터 인증은 마이데이터 사업자, 정보제공자 등 기관 간의 ‘상호인증’과 개인신용정보의 전송을 요구하는 정보주체인 고객에 대한 ‘본인인증’의 두 가지가 있습니다.
■ 기관 간 상호인증과 고객 본인인증
기관 간 상호인증은 전송계층보안(TLS, Transport Layer Security)인증서를 이용합니다. 안전한 개인신용정보 전송을 위해 마이데이터 사업자와 정보제공자 간 상호인증을 수행합니다. 참여자 관리 등을 위해 마이데이터 종합 포털과 금융회사, 마이데이터 사업자 간의 상호인증도 수행합니다.
■ 고객 본인인증 방식, 개별인증 vs 통합인증
고객의 본인 인증 방식에는 개별인증과 통합인증 방식이 있습니다. 정보제공자(마이데이터 사업자 포함)는 고객의 편리한 전송요구권 행사 및 인증방식 선택권을 고려해 고객에게 두 가지 인증 방식을 모두 제공해야 합니다. 고객의 본인 인증 방식을 비교하면 다음과 같습니다.
정보제공자는 고객이 개인신용정보 전송요구 시점과 상관없이 통합인증과 개별인증 중 하나를 선택해 인증할 수 있도록 인증방식 선택 메뉴 및 내부 절차 등을 마련해야 합니다. 예를 들면, 개별인증을 통해 A 은행에 최초 전송을 요구했다고 가정합시다. 이후 통합인증을 통해 전송요구 변경 및 추가 전송요구를 할 수 있어야 합니다. 또한 A은행, B신용카드사, C증권사는 통합인증을 수행하고, D은행과 E보험사는 개별인증 수행하는 등 고객에게 선택권을 제공해야 합니다.
■ 고객 본인인증 수단
정보제공자는 다중인증, 다중요소 공개키인증서, 비대면 실명확인 방식 등과 같이 신뢰성 및 안전성이 확보된 인증수단으로 고객 본인인증을 수행해야 합니다.
다중인증은 지식, 소유, 특징 기반 인증수단 중 소유 기반 인증수단을 포함해 두 가지 이상의 인증수단을 동시에 적용해야 합니다. 다만 각 인증정보는 서로 분리된 환경에서 생성 및 전송되는 방식이어야 합니다. 이를테면, 지식기반 인증(ID/PW)과 소유기반 인증(SMS), 두 개의 분리된 환경의 인증정보를 결합해 적용해야 합니다.
다중요소 공개키 인증서는 안전하게 생성・보호된 개인키 및 공개키 인증서를 말합니다. 인증요구를 위해 전자서명 생성 시, 개인키 인증정보(비밀번호, 생체정보 등)를 요구하는 방식입니다. 이때 안전한 생성보호를 위해 사용하는 기술로는 H/W 및 S/W 기반 안전한 보호기술(SE, TZ, White Box 등) 적용을 권고합니다. 그리고 정보제공자 자체 발급 인증서, 신뢰할 수 있는 제3의 기관이 발급 인증서 등 안전성이 확보된 인증서를 이용해야 합니다.
비대면 실명확인 방식 활용은 아래 비대면 실명확인 7가지 방식 중 2가지 이상을 중첩해 확인하는 방식을 말합니다. 실명확인 방식은 다음과 같습니다. 실명확인증표 사본 제출, 영상통화, 접근매체 전달과정에서 확인, 기존계좌 활용, 기타 이에 준하는 방법(생체인증 등), 타 기관 확인결과 활용, 다수의 고객정보 검증입니다.
인증절차, 개별인증 vs 통합인증
개별인증은 각 정보제공자는 각자의 인증수단을 통해 고객을 개별적으로 인증합니다. 고객은 마이데이터서비스 이용 시 각 정보제공자별로 제공하는 본인인증을 수행합니다.
통합인증은 고객은 마이데이터서비스 이용 시 1회 인증으로 동시에 다수의 정보제공자에게 인증을 수행합니다. 각 정보제공자는 통합인증수단을 통해 고객을 개별적으로 인증합니다.
마이데이터(MyData) 보안
금융분야 마이데이터 사업에 참여하는 정보의 제공자 및 수신자는 개인신용정보 전송과 마이데이터서비스 제공을 위해 신용정보법령 및 신용정보업 감독규정의 정보보호 조항을 준수해야 합니다. 또한 마이데이터 사업자 허가 시 망분리 기준 및 클라우드컴퓨팅서비스 이용 등은 반드시 전자금융감독규정을 따라야 합니다. 개인신용정보의 보호는 특별법인 신용정보법을 우선 적용하고 신용정보법에 규정되지 않은 경우, 개인신용정보를 제외한 개인정보는 일반법인 개인정보보호법을 적용하도록 규정돼 있습니다.
■ 관리적 보안
정보제공자 및 마이데이터 사업자는 관리적 보안을 위해 ▲신용정보관리보호인의 지정 ▲개인신용정보보호 교육, 개인신용정보의 관리 ▲개인신용정보처리시스템 접근 관리 ▲직무분리 ▲ API시스템 관리 ▲이용자 보호 및 재해재난 대응 대비 등에 관한 내용을 준수해야 합니다.
■ 물리적 보안
정보제공자 및 마이데이터 사업자는 물리적 보안을 위해 다음과 같이 물리적 접근통제, 물리적 보안설비 구축 및 문서 보안 등을 제공해야 합니다.
■ 기술적 보안
정보제공자 및 마이데이터 사업자는 비밀번호 관리, 암호 통제, 시스템 보안, 개발 보안, 출력복사 시 보호조치 등 적절한 기술적 보호조치를 구축해야 합니다.
마이데이터(MyData)가 제공하는 보호장치
마이데이터 사업은 신뢰할 수 있는 정보보호체계가 마련되지 않으면 이뤄질 수 없는 서비스 플랫폼입니다. 신뢰할 수 있는 플랫폼이 되는 데 필요한 보호장치 세 가지는 다음과 같습니다.
첫째, 강력한 본인인증 절차를 제공하는 것입니다. 개인신용정보 전송 요구, 개인신용정보 전송요구 내역 변경, 개인신용정보 전송요구 철회, 전송요구 기간 연장 등의 각 과정마다 정보제공자는 고객 본인이 의도한 것인지 매번 확인을 거친 후 데이터 전송과 관련된 작업을 수행합니다. 마이데이터가 가진 비대면 업무특성을 고려해 다양한 비대면 실명확인 방식을 허용합니다. 정보활용의 범위와 영향 등이 광범위한 만큼, 정보주체의 실수나 의도치 않은 전송요구권의 행사가 이뤄지지 않도록 강력한 본인인증을 구현하도록 돼 있습니다.
둘째, 현재 업계에서 활용되고 있는 스크린 스크레이핑 방식의 취약성을 보완할 수 있도록 하는 것입니다. 정보수집 과정을 전반적으로 정비해 정보보안기술이 적용된 표준 API방식으로 정보수집 과정의 안전성․보안성을 강화한 것입니다. 고객의 인증정보를 직접 저장ㆍ활용하지 않고 암호화한 대체정보(토큰정보)를 활용합니다. 이로써 인증정보의 노출을 원천 차단하고, 생성한 토큰정보는 주기적으로 변경 및 삭제하는 방식으로 사용합니다. 또한 해킹 발생시 개인정보 자동 폐기 및 접근통제, 개인정보 사용기간 한정 등의 보호 메커니즘이 적용된 표준보안 API를 적용합니다.
셋째, 금융당국은 소비자에 대한 피해구제와 사고방지대책을 마련하는 등 여러 노력을 기울이고 있습니다. 구체적인 보험가입 규모는 국내외 사례, 마이데이터 산업의 생태계 조성 가능성 등을 종합적으로 감안해 결정할지라도, 정보유출 사태에 대비한 배상책임 보험가입을 의무화하는 식입니다. 또한 마이데이터 사업자의 자체적인 내부관리체계를 마련하고 시행하도록 하며, 금융보안원, 신용정보원 등의 3자 점검, 금감원의 검사 등 상시평가체계를 중첩해 구축하고 있습니다.
국내 금융권에 마이데이터 도입이 현실화됨에 따라 고객의 동의를 받은 경우 은행을 넘어서 카드사, 증권사, 보험사 등 금융회사가 보유한 다양한 개인 데이터가 표준API로 허용된 범위 내에서 개방될 예정입니다. 은행 입출금 내역뿐만 아니라 카드 결제 내역, 증권사 투자예탁금, 주식/펀드 보유내역, 보험계약 등 개인의 수많은 금융정보가 모두 공유될 수 있습니다. 또한 정부는 금융뿐만 아니라 장기적으로는 의료ㆍ에너지ㆍ유통 등 국민 생활과 밀접한 분야에도 마이데이터 도입을 확대할 예정입니다. 정책 추진이 본격화되면 개인의 세금납부 내역과 같은 행정정보, 건강보험공단의 공공 의료정보 등 개방될 데이터 범위와 종류도 매우 광범위하게 확대될 것입니다.
마이데이터 시대에는 개인이 생성한 수많은 데이터에 대한 개방이 이뤄집니다. 따라서 데이터 관리가 매우 중요합니다. 국내의 경우, 과거 대형 개인정보 유출사고가 연이어 발생함에 따라 개인정보에 대해 매우 민감합니다. 그러나 보안지식 부족 등 데이터 관리에 대한 개인의 능력은 개인마다 편차가 심하고 한계가 있습니다. 따라서 전문가가 개인을 대리해 사용자와 미리 협의된 약정에 따라 데이터 관리, 판매 등을 대신해주고 수익 일부를 개인에게 제공하는 형태의 마이데이터 사업에 대한 수요가 점차 더 커질 것으로 예상됩니다.
마이데이터 사업자로의 진출을 모색하는 기업은 사용자에게 어필할 수 있는 충분하고 실용적인 서비스나 대중적인 보상 체계를 마련해야 합니다. 이로써 사용자가 플랫폼과 데이터 활용의 이점을 실감할 수 있도록 노력해야 합니다. 그와 더불어 데이터 관리 기술에 대한 심도 있는 파악뿐만 아니라 깊은 이해도 필요합니다.
개인신용정보 유통의 전 과정 역사 투명하고 추적 가능하게 만들어야 하는데요. 특히 본인 인증, 데이터 암호화, 백업, 플랫폼간 안전한 연계, 데이터 검색을 위한 데이터 카탈로그, 정보의 교환ㆍ검색에 필요한 표준API 구축 등 관련 기술의 최신 트렌드를 검토하고 도입하는 것은 장기적으로 사업의 안전성을 확보하기 위해 필수입니다. 동시에 보안사고 발생을 대비해 실제 사고사례 분석에 근거한 실용적인 대응방안을 수립하고, 피해에 대한 명확한 보상방안을 수립함으로써 소비자의 신뢰를 높이는 데 힘써야 할 것입니다.
[참고]
소비자 중심의 금융혁신을 위한 금융분야 마이데이터 산업 도입방안, 금융위원회 2018.07
금융분야 마이데이터 기술가이드라인 금융위원회 2021.2
마이데이터 백서 핀란드어 원본 (핀란드 교통 통신부)
http://www.lvm.fi/julkaisu/4420389/my-data-johdatus-ihmiskeskeiseen-henkilotiedon-hyodyntamiseen
데이터 경제의 시작, 마이데이터: 금융 산업을 중심으로 삼정KPMG 경제연구원 vol68.2020
글 ㅣ LG CNS 전경화 책임
LG CNS 사이버시큐리티팀 소속으로 ICT 분야 21년 경력의 정보보호전문가이며 정보관리기술사이다. 국내 최초 정부통합전산센터 보안 체계 구축, 국내 최대 데스크합 클라우드 전환, 아시아 첫 바이오 정보 탑재가능한 전자여권 인증체계 프로젝트를 이끌었다.