본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

IT Trend

금융 DX 시대! 알아두면 쓸모 많은 디지털금융 법률 상식

2023.01.03

소비자들이 디지털전환(DX)의 빠른 변화를 체감하는 분야로 금융 서비스를 빼놓을 수 없습니다. 마이데이터를 비롯해 AI, 클라우드, 간편결제 등 다양한 디지털 기술이 이미 금융 서비스 깊숙이 적용되고 있는데요.

이처럼 새로운 전자 금융 서비스들이 속속 등장하고 있지만, 디지털금융 관련 법률은 여전히 복잡하게 얽혀 있습니다. 때문에 기업 입장에서 디지털금융 관련 법을 어떻게 적용하고 활용해야 하는지 막막한 경우가 많은데요. 디지털금융이 글로벌 트렌드가 된 시대, 반드시 알아야 할 디지털금융 관련 법률에 대해 자세히 알아보았습니다.

대표적인 디지털금융 서비스인 ‘간편결제’와 ‘송금 서비스’ 분야는 ‘전자금융거래법’에서 관할합니다. 최근에 부상한 ‘마이데이터 산업’은 대규모 데이터를 가공하고 처리하는 서비스를 담은 법, 소위 ‘데이터 3법’이라 불리는 개인정보보호법, 정보통신망법, 신용정보법에서 다룹니다. 클라우드, 블록체인 기반의 분산원장 기술(Distributed Ledger Technology) 등 금융사 정보처리시스템을 관할하는 법은 전자금융거래법 하위 고시인 ‘전자금융감독규정’과 신용정보법 하위 고시인 ‘신용정보업감독규정’을 적용하고 있는데요. 그 외에도 전자문서나 전자서명 활용 부문은 전자문서법과 전자서명법에 포함됩니다.

최근 코인, NFT 등으로 인해 이슈로 떠오른 가상자산 관련 법에는 ‘특정 금융거래정보의 보호 및 이용 등에 관한 법률’, 줄여서 ‘특금법’이 있습니다. 혁신 금융 서비스에 대해 일정기간 규제 적용 예외를 해주는 ‘금융혁신지원 특별법’도 주요 디지털금융 법률이라고 할 수 있습니다.

이처럼, 디지털금융 분야는 매우 다양하지만 이를 관장하는 법률은 ‘데이터 3법’과 ‘전자금융거래법’이 핵심이라고 할 수 있습니다.

금융사가 디지털금융 서비스를 도입할 때는 유관 법률을 필수적으로 검토해야 하는데요. 금융 관련 법률은 업권별로 구별하는 구조를 취하고 있습니다. 예를 들어, 은행업은 은행법, 보험업은 보험업법, 신용카드업은 여신전문금융업법, 금융투자업은 자본시장법에 속하는 식입니다.

따라서 디지털금융 서비스를 도입하기 위해 법률 검토를 할 시에는 유관 법률과 함께 전자금융거래법과 데이터 3법을 확인해 허가, 등록, 신고 등의 절차가 필요한지 확인해야 합니다. 또, 법률 검토를 마친 후에는 반드시 기업이 속해 있는 업권 전체를 규율하는 법이 있는지를 체크하고, 기업이 속한 업권과 관련된 법이 있다면 해당 법에서 정한 것은 무엇인지를 정확하게 인지해야 합니다.

데이터 3법 주요 내용(출처: 국회, 금융위원회)

데이터법이란?

2020년 데이터 3법이 개정되면서, 기존에 정보통신망법에 있던 개인정보와 관련한 규제들이 개인정보보호법에 포함됐습니다. 따라서 데이터와 관련된 법을 검토할 땐 개인정보보호법과 신용정보법을 중심으로 참고하면 됩니다. 개인정보와 관련된 규정은 아니지만, 디지털금융 서비스 제공 시 반드시 연결되는 영리목적의 광고성 정보 규정은 여전히 정보통신망법에 남아있습니다. 따라서 개인정보 처리와 관련된 법을 검토할 때는 정보통신망법 일부 규정도 여전히 살펴보아야 합니다.
금융권 개인정보 처리와 관련한 법률에는 신용정보법, 개인정보보호법법률을 살펴볼 때는 업무상 다루고 있는 데이터가 개인정보인지, 신용정보인지를 가장 먼저 확인해야 하는데요. 다루고 있는 데이터의 종류에 따라 유관 적용법이 달라지기 때문입니다. 개인정보보호법이 개인정보에 관한 일반법이기 때문에 해당 데이터가 ‘개인정보’인지 여부를 반드시 확인해야 합니다. 판단 결과 개인신용정보에 해당할 경우 신용정보법과 개인정보보호법을 모두 검토해야 하며, 개인정보는 맞지만 개인신용정보가 아닐 경우, 신용정보법은 검토 대상이 아닙니다.

때문에 개인정보와 개인신용정보의 차이를 명확히 해야 할 필요가 있는데요. 법률에서 정의하는 개인정보는 무엇일까요? 개인정보 보호법에서 정의하는 개인정보는 ‘살아 있는 개인에 관한 정보’로 아래에 해당하는 정보를 말합니다. ① 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 ② 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 ③ ①또는 ②를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보)

개인정보에는 ‘성명, 주민등록번호, 영상 등을 통해 개인을 알아볼 수 있는 정보’가 해당될 텐데요. 개인정보에서 가명정보를 제외할 경우 개인정보보호법 적용 대상 자체에 해당되지 않게 됩니다. 즉, 개인정보 보호법으로 규제할 수 있는 방법이 없게 되는 셈인데요. 따라서 개인정보보호법에서는 가명정보를 개인정보의 하나로 포함시킨 뒤, 가명정보에 대해서는 주요 규정 적용을 제외하는 방식을 취하고 있습니다.

개인정보 보호법 개정안 세부 내용(출처: 행정안전부, 금융위원회)

개인정보에 대한 흥미로운 법원 판결이 있습니다. 경찰공무원인 C가 피해자 휴대전화 뒷번호 4자리를 제삼자에게 알려준 것이 ‘업무상 알게 된 개인정보를 권한 없이 다른 사람이 이용하도록 제공한 행위’에 해당하는지를 문제 삼은 사안이었는데요.

법원은 해당 정보 또한 개인정보라고 판단했습니다. 휴대전화 뒷번호 4자리만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 설령 전화번호 일부만으로는 식별할 수 없더라도 관련성이 있는 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합해 그 전화번호 사용자가 누구인지를 알아볼 수도 있다고 판단한 것입니다.

또다른 사례가 있습니다. 혈액검체 정보 또한 개인정보에 해당하는지를 다툰 사건인데요. 체혈된 혈액의 경우 검체용기에 라벨스티커를 부착하고 상단에 ‘환자이름, 등록번호, 성별, 나이, 병동’을 적습니다. 한 병원직원이 스티커 상단에 적힌 해당 정보를 제외하고, 나머지 정보(검체번호, 채혈시간, 검사항목, 검사결과 수치, 바코드)가 남은 검체용기를 타인에게 전달한 사례인데요. 이에 대해 개인정보를 누설한 것인지에 대해 법원에서 판결을 내린 적이 있습니다.

결과적으로 법원은 해당 안에 대해 검체용기에 적힌 노출된 정보는 개인정보가 아니라고 판단했는데요. 해당 정보가 담고 있는 내용, 정보를 주고받는 사람들의 관계, 정보를 받는 사람의 이용 목적 및 방법, 그 정보와 다른 정보를 결합하기 위해 필요한 노력과 비용의 정도, 정보의 결합을 통해 상대방이 얻는 이익의 내용 등을 합리적으로 고려해야 한다는 전제를 달았습니다. 그 결과 환자의 구체적인 인적사항 확인은 특정한 프로그램에 접속해야만 확인이 가능했고, 진단키트 개발 업체는 환자를 특정할 필요성이 없다는 점 등을 고려했는데요. 반출된 정보가 ‘다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 없는 정보’에 해당한다고 판결한 것입니다.

그렇다면 개인신용정보는 무엇일까요? 신용정보법상 개인신용정보란 ‘기업 및 법인에 관한 정보를 제외한 살아있는 개인에 관한 신용정보’를 의미합니다. 여기서 말하는 신용정보란 식별정보, 거래정보, 신용도판단정보, 능력정보, 기타 신용판단 시 필요한 정보를 뜻하는데요. 쉽게 말해 개인의 성명, 주소, 주민등록번호 등 개인의 식별정보는 물론 대출현황, 채무보증현황, 신용카드 발급 및 해지사실, 신용카드 현금서비스 현황, 대출금 등의 연체, 신용카드대금 미결제 정보 등이 개인신용정보에 해당됩니다.

이중에서 식별정보의 경우 다른 정보와 같이 있어 특정 개인을 알아볼 수 있는 정보가 될 경우에 ‘개인신용정보’가 되며, 다른 정보 없이 식별정보만 있는 경우에는 ‘개인정보’에만 해당됩니다. 디지털금융 서비스 도입을 준비하는 기업은 고객 정보를 활용하는 서비스를 상용화할 때, 가장 먼저 서비스에 이용하는 정보가 개인정보인지, 아니면 개인신용정보인지에 대한 분석이 최우선적으로 필요합니다.

전자금융거래법이란?

스마트폰, PC, ATM 등 전자적 장치를 통해 이루어지는 금융거래를 규율하는 전자금융거래법은 매우 어렵고 난해한데요. 방대한 내용을 담고 있을 뿐 아니라 상당히 복잡한 구조로 만들어져 있습니다. 전자금융거래법을 파악하기 위해서는 먼저 법의 구조를 살펴볼 필요가 있는데요. 전자금융거래법은 법률 및 시행령, 고시인 전자금융감독규정, 감독규정 시행세칙으로 구성됩니다.

전자금융거래법은 다른 법령과 달리 감독규정 내용이 특히 많고 감독규정에서 갑자기 새롭게 등장하는 요소 또한 상당합니다. 예를 들어 전자금융업 등록요건에는 최소 자본금 요건, 인적·물적 요건, 재무 건전성 기준, 사업계획의 타당성 등이 있는데요. 여기서 최소 자본금 요건은 30억 원입니다. 핀테크 사업을 이제 막 시작하려는 기업에게는 상당히 부담스러운 금액인데요. 한국에서 핀테크 스타트업 출현이 활발하지 않은 이유 중 하나가 전자금융업 등록을 위한 최소 자본금 요건이 너무 높기 때문이라는 지적이 있습니다.

주요 전자금융업에서 다루는 분야는 무엇이 있는지 살펴보겠습니다. 첫 번째로 선불전자지급수단업이 있습니다. 최근 앱이나 웹을 통해 서비스를 제공하는 기업은 대부분 자체 포인트를 발행해 고객이 이를 이용할 수 있도록 하고 있는데요. 이 같은 포인트가 아래 세 가지 요건에 해당하면 전자금융거래법상 선불전자지급수단이 됩니다. ①이전 가능한 금전적 가치가 전자적 방법으로 저장되어 발행된 증표 또는 그 증표에 관한 정보에 해당할 것 ②발행인 외의 제3자로부터 재화 또는 용역을 구입하고 그 대가를 지급하는데 사용될 것 ③구입할 수 있는 재화 또는 용역의 범위가 2개 업종 이상일 것. 다만 종이 쿠폰은 선불전자지급수단에서 제외됩니다.

두 번째로 전자지급결제대행업이있습니다. 흔히 PG(Payment Gateway)사라고 부르는데요. 쇼핑몰에서 물건을 구입하고 결제를 진행할 시 쇼핑몰을 대신해 결제 절차를 수행하는 곳을 의미합니다. 우리가 흔히 이용하는 토스페이먼트, KG이니시스, NHN한국사이버결제 등이 대표적인 PG사로, 간편결제도 여기에 포함됩니다. 이렇듯 디지털금융과 관련된 법률은 상당히 방대하며 다양한 분야를 다룬다는 것을 알 수 있습니다.

전자금융법 개정안 주요 내용(출처: 금융위원회)

특히 개인정보를 어떻게 활용·가공하고, 보안을 강화하는지도 디지털금융 서비스의 주요 과제입니다. 디지털금융 서비스를 제공하려는 기업들은 개인정보 동의서를 준비하고 개인정보 처리방침과 작성을 게시해야 합니다. 영리목적의 광고성 정보전송을 하기 위해서는 정기적인 수신동의 여부를 체크가 필요한데요. 아울러 서비스 회원과 회사 간 권리와 의무 관계를 명확하게 하기 위해 웹사이트 이용약관도 준비해야 합니다. 그 외에도 △위탁문서의 작성 △수탁업체에 대한 관리·감독규정 마련 △장기 미이용자의 개인정보 처리 방법 △유효기간 만료 통지 △이용내역 통지 △보험 가입 또는 준비금 적립 등 개인정보를 활용하는 한편 안전하게 보관하기 위한 방안을 마련해야 합니다.

데이터 관련 업계는 데이터 3법 시행뿐만 아니라 데이터 사업이 전반적으로 늘어나면서 호황기를 맞았는데요. 한국데이터산업진흥원에 따르면 우리나라 데이터산업 시장은 2년 내로 36조 원까지 성장할 것으로 전망합니다. 성장기를 맞은 금융 서비스 및 데이터 산업 육성을 위해서는 복잡하게 얽힌 디지털금융법을 명확히 하고, 동시에 인력양성과 기술개발 등 다양한 지원책이 제공될 필요가 있습니다.

● 데이터 기반 맞춤형 서비스를 제공하는 LG CNS 마이데이터 서비스가 궁금하다면?


글 | 길재식 | 전자신문 기자

챗봇과 대화를 할 수 있어요