2018년 이후 세계는 데이터라는 경제적 자원을 안전하게 보호해야 한다는 패러다임을 받아들이고 있다. 데이터 주체에 제어 권한을 되돌려 주면서도, 안전하게 활용하여 경제를 활성화시키는 게 여러 산업 분야의 고민거리가 되는 가운데 금융 분야가 치고 나가고 있다.

[보안뉴스 문가용 기자] 2011년 가트너가 ‘데이터 경제’라는 말을 처음 쓰면서 데이터를 활용한 사업 행위, 더 나아가 데이터를 활용한 산업과 산업 간 시너지 증진의 방법들이 적극적으로 모색되기 시작했다. 그 가운데 금융 업계의 움직임이 꽤나 빨랐고 지금도 선두 그룹에 있다고 봐도 무방하다. 6월 2~3일 열리는 개인정보보호 페어 둘 째날 기조연설자로 무대에 오른 금융보안원 박진석 디지털전략본부장은 이처럼 선두에 서 있는 금융 분야가 어떤 식으로 데이터를 활용하고 보호하는지를 수많은 개인정보보호 담당자들과 공유했다.


그는 먼저 ‘데이터 경제’가 가진 특성에 대해 짚는 것으로 강연을 시작했다. 이는 크게 네 가지로, 다음과 같다.
1) 수요와 공급이 불분명하다. 데이터 생산의 주체이면서 소비자가 되기도 한다.
2) 데이터 그 자체가 가진 가치보다 데이터와 데이터가 통합되거나 분석될 때의 가치가 높다.
3) 다수가 사용하더라도 가치와 수량에 변화가 없고, 오히려 많이 사용할수록 가치가 증가한다.
4) 데이터라는 자원은 수백만 명이 동시에 사용하는 게 가능하다.
이 특성을 활용해 금융 분야가 가진 데이터로 부가가치를 추가하는 것이 업계의 목표가 되고 있다고 박진석 상무는 설명했다.

“일반 경제에서는 원유가 대단히 중요한 역할을 담당하죠. 하지만 원유가 그 자체로 소비자들에게 판매되지 않습니다. 정제하고 유통하는 과정을 거쳐 각종 상품화가 된 후에 소비자들에게 사용되는 것이죠. 데이터 경제에서 데이터가 바로 원유와 같습니다. 대단히 중요한 역할을 담당하지만 정제하고 가공하고 유통해서 상품화가 되어야 비로소 가치가 생긴다는 점에서 말이죠.”

신규 서비스들
데이터를 사업에 활용한다는 목적 아래 금융 업계가 시장에 내놓은 신규 서비스를 꼽자면 대표적으로 떠오르는 것 중 하나가 마이데이터 서비스다. 개인의 금융정보를 한 곳에 모아서 편리하게 열람하고 보호할 수 있게 해 주는 서비스가 바로 마이데이터다. 자기의 데이터에 대한 통제권을 개인에게 돌려주는 사업이라고도 볼 수 있다. “GDPR이 제정된 이후 개인정보 관리와 활용에 대한 패러다임이 바뀌었습니다. GDPR 이전에는 기업이 중심이었다면, GDPR 이후 정보 주체가 중심이 된 것이죠. 마이데이터도 이러한 추세에 발맞추기 위한 사업이었습니다.”

그러므로 마이데이터라는 사업의 핵심은 위에 열거한 디지털 경제의 특성 중 ‘데이터 통합을 통해 가치를 창출한다’라고 할 수 있다. 정보보호 흐름을 사업적으로 응용한 것이다. “이용자나 공공기관이 보유한 개인정보 등을 수집하고, 수집된 정보의 전부나 일부를 신용정보 주체(즉, 개인)가 조회/열람할 수 있도록 통합하여 제공하는 서비스로 영업 아이템을 하나 늘린 것이죠. 2018년 7월 마이데이터 산업 도입 방안이 발표되고서 수많은 제도 및 기술 정비를 통해 2022년 1월 전분야 최초로 금융 분야 마이데이터 서비스가 실시됐습니다.”

금융 분야의 데이터 전문기관을 지정하는 사업도 진행됐다. 신용정보 회사와 같은 기업들이 데이터를 제3자와 결합하고자 할 때 ‘안전한 결합’을 지원하기 위해 시작된 사업이다. 사업을 목적으로 기업이 자유롭게 고객의 개인정보를 다른 정보와 마구 조합하지 않도록, 자격이 되는 기관을 선정하는 사업이었던 건데, 현재까지 금융보안원, 한국신용정보원, 금융결제원, 국세청이 데이터 전문 기관으로 지정됐다. 이 기관들은 결합을 신청하는 기업으로부터 데이터를 받아 가명 및 익명 처리를 하고, 적정성 평가를 거친 뒤 결과를 신청 기업에 제공한다. 사업도 활성화 하고, 개인정보도 보호하는 것이다.

“이 사업 이후 데이터 결합 행위가 활성화 되었습니다. 즉, 데이터의 가치를 살리는 일에 적잖은 기여를 했다는 뜻입니다. 2021년 한 해 동안 접수된 가명 정보 결합 신청은 145건이고, 결합을 완료시킨 건 111건입니다. 전년도는 30건 정도였는데 말이죠. 금융과 금융 데이터를 결합한 것이 67건이지만, 그 외 금융과 일반 데이터를 결합한 것도 49건이라 데이터 활용과 가치 창출의 분야를 확대시켰다는 평가를 받고도 있습니다. 특히 ICT, 보건 의료, 교통 분야와의 결합이 눈에 띕니다.”

금융 데이터 거래소 사업도 빼놓을 수 없다. 데이터 수요자와 공급자가 안전하게 데이터를 거래할 수 있도록 데이터 유통 시장을 조성하는 사업이었다. 현재 107개 기업이 참여하고 있는데, 금융 회사가 53개, 비금융 회사가 54개일 정도로 여러 분야에서 관심을 주고 있는 상황이다. “또한 현재까지 거래소에 등록되어 있는 데이터 상품이 1211개, 누적 거래량은 8853건입니다. 아직까지는 카드사 데이터 상품이 인기가 높습니다. 이를 통해 소비자 동향을 파악하려는 사업자들이 주를 이루고 있습니다.”

데이터의 보호
데이터 활용을 활성화 함으로써 데이터 경제의 발판을 마련하려는 시도가 이처럼 활발하게 있으려면 물밑에서 데이터 보호에 대한 노력도 있어야 한다. 금융보안원은 크게 다섯 가지 보호 장치를 가지고 있다고 박진석 본부장은 설명했다. “사업자 허가 시 평가를 강화하고, 금융 분야의 정보보호 상태를 상시적으로 평가하며, 기능 적합성 검사를 실시하고, 금융 보안 관제를 의무화하고 있으며, 보안 취약점 점검도 꾸준히 진행하고 있습니다.”

마이데이터 사업자 평가는 금융위원회가 외부 전문가들의 협조 하에 진행하고 있다. “단순히 제출 서류만 평가하지 않고, 한 번 허가가 났다고 해서 해당 사업체에 대한 점검을 안 하는 것도 아닙니다. 정보 오남용 우려가 있으면 절대적으로 불허하고, 시정을 하더라도 조건부로 허가를 해줍니다. 허가 후에도 정보보호를 충실히 이행하고 있는지도 주기적으로 점검하죠. 엄격한 평가를 통해 시장 및 사회 전체적인 신뢰를 얻고자 합니다.” 평가 항목은 9개 대항목에 143개 세부 항목으로 현재 분류되어 있다. 정보 처리 생애주기에 관한 것과 정보처리 보호조치에 관한 것으로 나눌 수 있다.

또한, 이용자 수가 100만 명을 넘어갈 경우 마이데이터 사업자는 보안관제를 의무적으로 실시해야 한다. 그리고 사용자 규모가 어떻든 모든 마이데이터 사업자는 연 1회 이상 정보보호 평가를 받아야 한다. 연 1회 이상 보안 취약점 점검 역시 수행해야 한다. 정보의 통제권을 철저하게 개인에게 넘기겠다는 의지가 이런 제도로 발현되는 것이다.


그리고 그런 흐름에 따라 앞으로 추진할 과제들이 더 남아있기도 하다. “마이데이터 통합 인증의 효율성, 경제성, 편의성을 제고시킬 수 있도록 통합 인증 중계 시스템을 구축하고자 합니다. 그리고 데이터 결합에 대한 제도가 개선될 필요도 있어, 이 부분 역시 저희의 장기과제로 삼고 있습니다. 예를 들어 데이터 전문기관을 추가로 지정할 제도적 근거가 더 마련되어야 하겠고, 자가 결합 허용 조건도 확대될 필요가 있습니다. 금융 데이터 거래소 참여기업을 중심으로 보다 많은 기업과 기관의 네트워크를 형성하기 위해 ‘금융 데이터 혁신 얼라이언스’라는 것을 형성하는 것도 저희의 목표입니다.”

3줄 요약
1. 데이터 경제 = 데이터 활용 + 데이터 보호
2. 금융 분야에서는 데이터 활용을 통해 가치를 살리는 사업들이 계속 진행되고 있음.
3. 데이터의 창의적이고 혁신적인 활용을 위해서는 든든한 보호 기반이 마련되어야 함.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>