IT Solutions

데이터 시장 신 패러다임 '마이데이터' 산업의 판을 뒤집다!

2022. 1. 3. 09:30

 

2021년, 데이터 업계 내 화두는 마이데이터(Mydata)였습니다. 특히 금융 기업이 먼저 나서서 마이데이터 서비스를 공개하면서 시장 주도권을 잡기 위한 경쟁이 본격적으로 시작됐죠. 실제 소비자에게 어떤 평가를 받을지 판단하기엔 아직 이르지만, 마이 데이터 정책 시행 이후 데이터 산업은 활기를 띠고 있는 건 분명합니다. 마이데이터 정책은 언뜻 개인 정보를 보호하는 조치로 보이지만 그렇다고 개인 정보 활용을 막는 조치도 아닙니다. 오히려 기술과 법적 조치를 강화해서 기업이 합법적으로 개인 정보를 활용할 수 있도록 도와줍니다. 이번 글에서는 마이데이터란 무엇인지, 마이데이터가 데이터 산업을 어떻게 변화시킬지 알아보겠습니다.

‘정보주체가 개인 데이터에 대한 열람, 제공 범위, 접근 승인 등을 직접 결정함으로써 개인의 정보 활용 권한을 보장, 데이터 주권을 확립하는 패러다임’. 정부 홈페이지에서 볼 수 있는 마이데이터 소개 문구입니다. 이것을 조금 더 쉽게 풀이하면 ‘내 개인 정보는 기업이 아닌 내가 통제하며 외부에 적극적으로 활용하겠다’는 의미입니다. 

 

마이데이터 데이터 공유 구조 (출처 마이데이터 공식 홈페이지)

 

당연한 말처럼 들리지만, 예전에는 명문화된 규정이 없어서 데이터를 아예 활용하지 못하거나, 반대로 과도하게 활용되는 경우가 발생했습니다. 하지만 마이데이터 개념의 등장으로 기업은 사용자 동의를 얻는다는 전제하에 한결 수월하게 데이터 수집 및 활용을 할 수 있게 됐죠. 물론 필요한 법적 요소와 기술적 요소를 갖춰야 합니다.

정작 사용자 입장에서는 마이데이터 서비스가 그리 새롭지 않을 수도 있습니다. 마이데이터 서비스를 들여다보면 대부분 맞춤 혜택 서비스이거나 자산을 통합 분석해 주는 성격을 띠고 있기 때문이죠. 이전보다 선택의 폭이 넓어졌다는 것 외에는 개인이 느끼는 변화는 미미할 수도 있습니다. 대신 데이터 활용 과정을 쉽게 파악할 수 있다는 이점이 있습니다. 

기존에는 기업이 '개인 정보 제공 및 수집에 동의하시겠습니까?'라고 물으면 사용자는 ‘동의 또는 거부’ 답변만을 전달했습니다. 그 뒤에는 데이터가 어떻게 활용되는지 알기 어려웠죠. 마이데이터 정책 시행으로 개인은 정보 제공 동의 여부를 분명히 표현할 수 있고, 기업이 왜 데이터를 가져가는지 정보를 명확히 전달받을 수 있습니다. 여기에 기업이 어떻게 데이터를 활용하는지 그 과정을 추적할 수 있으며, 개인은 데이터 제공 중단 여부를 쉽게 정할 수 있습니다.

 

 

마이데이터라는 개념은 데이터를 다루는 모든 산업에서 적용할 수 있습니다. 일단 한국에서는 금융, 의료, 공공 분야에서 먼저 논의가 이뤄지고 있는데요. 실제로 해당 분야에서는 민감한 개인정보이자 이전에는 접근하기 어려웠던 데이터를 다룹니다. 각 담당 정부 기관이 적극적으로 법률을 준비하고 있어 기술을 테스트하기 좋은 상황이 만들어지고 있죠. 그 중에서도 금융 시장이 가장 먼저 관련 법률을 준비했습니다.

정부는 2018년 마이데이터 서비스 가이드라인을 발표했으며, 신용정보법을 개정해 '본인신용정보관리업'란 항목을 추가해 마이데이터 산업에 필요한 법적 정의와 요구사항을 정의하고 있습니다. ‘본인신용정보관리업’과 관련된 정책을 마이데이터라고 부르기도 하죠. 즉, 우리가 사용하는 ‘마이데이터’라는 용어는 마이데이터 ‘산업’과 마이데이터 ‘법률’ 두 가지를 모두 내포합니다. 

해당 법률로 인해 금융분야 마이데이터 산업을 하고자 하는 모든 회사는 금융위원회로부터 마이데이터 허가를 받아야 합니다. 금융 분야에서 주목하고 있는 데이터는 '개인신용정보'인데요. 개인신용정보는 개인의 이름, 주소, 주민등록번호 등 개인의 식별정보와 대출 현황, 채무보증현황, 신용카드 발급 및 해지사실, 당좌·가계당좌예금 개설 및 해지 사실, 신용카드 현금서비스 현황, 대출금 등의 연체 정보 등이 포함됩니다. 1 

앞으로 이런 개인신용정보를 수집하는 기업이나 개인신용정보를 활용해 서비스를 개발하는 기업은 반드시 허가를 받아야 하며 허가를 받은 기업은 '마이데이터 사업자'로 따로 분류됩니다. 

위에서 언급되지 않은 일반 개인 정보나 기업 정보를 활용할 경우, 넓게 보면 마이데이터 관련 사업을 한다고 볼 수 있습니다. 하지만, 법적으로 허가를 받을 필요는 없습니다. 따로 신용점수를 평가하는 등 외부 서비스가 아닌 내부적으로 개인정보를 활용하는 경우에도 허가받지 않고 데이터를 활용할 수 있습니다.

정부는 자본금, 보안 기술력, 설비 등을 파악해 마이데이터 사업 허가를 내주고 있습니다. 현재까지 국내 58개 기업이 허가를 받았는데요. 대부분 은행, 카드사, 증권사나 핀테크 기업, 보험사가 포함됐습니다. LG CNS는 IT 기업으로는 유일하게 마이데이터 사업자로 선정됐습니다. 3 

해외에서 마이데이터 개념을 가장 적극적으로 도입한 곳은 유럽입니다. 유럽연합은 2018년 PSD2(Payment Services Directive, 지급결제 서비스지침)란 정책을 시작했습니다. 금융기관과 핀테크 기관끼리 데이터를 교환할 수 있도록 법적으로 강제한 것이죠. 이 정책은 훗날 유럽에 오픈뱅킹 서비스를 확산시키는 중요한 기반이 됐습니다. 

같은 해 EU는 GDPR(General Data Protection Regulation, 일반정보보호 규정)을 시행하고 유럽 시민의 개인정보 보호와 권리를 강화했습니다.  GDPR 시행 이후 유럽 시장에서 활동하는 모든 기업은 고객정보 활용 동의 절차를 더 보강해야 했죠. 또한 GDPR에선 ‘개인정보 이동권’이란 개념을 처음으로 제시했습니다. 이것은 정보 주체가 데이터를 직접 받을 수 있고 다른 곳에 전송할 수 있다는 권리인데요. 한국의 마이데이터 법률에서 언급한 신용정보 전송요구권과 비슷한 개념입니다. 두 정책은 유럽은 물론 전 세계 국가에서 마이데이터 산업이 커지는데 핵심 역할을 했습니다.

영국은 공공과 민간 모두 마이데이터 서비스에 많은 관심을 보입니다. 2013년, 정부 주도로 시행한 ‘Midata Innovation Lab(MIL)’ 프로젝트4에서 의료 및 금융 분야의 개인 정보를 외부에 공유하는 기술을 선보였죠. 다만, MIL은 뚜렷한 성과를 만들지는 못했습니다. 하지만 2017년에 시행된 오픈뱅킹 정책은 성공적으로 정착됐는데요. 오픈뱅킹 API로 금융 데이터가 활발히 공유됐고, 수십 개의 인터넷 은행과 간편 송금 서비스 기업들이 탄생했습니다. 

그로 인해 영국은 핀테크 강국이란 평가를 받고 있습니다. 현재 마이데이터와 관련된 구체적인 정책은 없지만, 영국에는 디지미(Digi.me)같은 개인 데이터 스토어(Personal Data Store, PDS) 관련 많은 기술과 기업들이 있습니다.

핀란드도 유럽에서 마이데이터 기술에 여러 가지 투자를 진행한 국가 중 하나입니다. 2014년, 핀란드 정부는 ‘마이데이터 이니셔티브’로 개인이 가진 데이터에 대한 접근권을 강화할 수 있도록 지원했는데요. 아직 눈에 띄는 결과물을 만들지는 못한 상황입니다. 올해 초, 헬싱키시 당국은 정부 데이터를 관리할 때 마이데이터 원칙을 적용하고 시민이 개인정보 데이터를 더욱 잘 활용할 수 있게 준비하겠다고 언론에 밝혔습니다. 5 

미국은 2011년부터 스마트 공시(Smart Disclosure)라는 제도 하에 공공 기관이 보유한 데이터를 개인이 접근할 수 있게 열어 두었습니다. ‘블루 버튼’으로 개인 의료 데이터를 열람할 수 있고, ‘그린 버튼’으로 사용자의 실시간 전력 사용량을 확인할 수 있죠. ‘마이스튜던트 버튼’은 학적 기록이나 학자금 대출 정보 같은 교육 데이터를 제공합니다. 캘리포니아주에선 개인정보 보호법(CCPA) 법안을 2020년 개정하면서 개인정보에 대한 접근 권리나 삭제 권리, 이동권을 명시했습니다.

마이데이터 기술로 고객은 정보제공에 동의하는 것뿐만 아니라 정보를 보내 달라고 요청할 수 있게 됐습니다. 기업 입장에서는 그렇게 받은 개인정보 및 데이터를 수집해 서비스를 만들죠. 이때, 데이터를 안전하게 주고받는 방식으로 API가 주목받고 있습니다. 

API(Application Programming Interface)는 서로 다른 서버에 담겨 있는 프로그램이나 데이터를 전송 및 수신하기 위한 통로입니다. 과거 금융 기업들은 일명 '스크래핑'이란 기술로 사용자의 금융 내역을 가져와서 활용하곤 했는데요. 앞으로 마이데이터 이름으로 진행되는 사업에서는 반드시 API로 데이터를 주고 받아야합니다. API가 기존 방식보다 쉽고 안전하게 데이터를 전송해 쓰임새가 더 높기 때문이죠.

 

금융권에서는 이미 비슷하게 '오픈뱅킹 API'이란 이름으로 데이터를 공유하고 있습니다. 오픈뱅킹은 ‘계좌’ 정보를 중심으로 이체나 출금 데이터를 다른 곳에서 읽을 수 있게 지원하죠. 마이데이터는 계좌 정보 외 다양한 개인 정보를 공유합니다. 그러므로 금융뿐만 아니라 보험이나 의료정보 등 개인정보가 포함된 모든 산업에서 이를 활용할 수 있습니다.

비슷한 개념으로 데이터를 주고받을 수 있는 플랫폼인 '데이터거래소'가 있습니다. 데이터 거래소는 데이터를 사용하려는 수요자와 제공하려는 공급자를 연결해주는 플랫폼입니다. 개인정보와 관련된 데이터뿐만 아니라 AI 학습용 데이터, 카드 소비 현황, 뉴스데이터, 중고차 시장 데이터 등 다양한 데이터가 거래되는데요. 그중 일부가 마이데이터 파생 데이터입니다. 현재 쿠콘이란 API 기업이 마이데이터 사업자 허가를 받고 관련 데이터를 데이터거래소에 등록했습니다.

 

[출처]

1.  개인신용정보란 무엇이며 어떻게 사용되는지요?, 2005년 12월, https://www.fcsc.kr/C/fu_c_03_02.jsp?faq_seq=8786&lineNo=468
https://www.mydatacenter.or.kr:3441/myd/mydsvc/sub1.do
3 본인신용정보관리업(마이데이터) 신규허가 현황(’21.10.13. 기준), 2021년10월, https://eiec.kdi.re.kr/policy/materialView.do?num=219029&topic=
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/262271/bis-13-1314-the_midata-innovation-opportunity-v2.pdf
5 City of Helsinki adopts MyData principles to improve digital services, 2021년2월, https://www.computerweekly.com/news/252496546/City-of-Helsinki-adopts-MyData-principles-to-improve-digital-services

 


글 ㅣ LG CNS 기술전략팀 

 

*해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
*해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

 

Posted by LG CNS

댓글을 달아 주세요

위로