마이데이터, ‘남의 데이터’ 안 되게 하려면

글. 김동환 〈코인데스크코리아〉 기자, 참여사회 편집위원  

가끔 스마트폰으로 인터넷 검색을 하거나 어떤 상품에 대해 누군가와 대화를 나눴더니 다음날 관련 광고가 페이스북 타임라인에 뜨는 경험을 하는 분들이 있을 것이다. 당황할 일은 아니다. 당신이 하는 행동과 말들이 주변 디지털 기기에 데이터의 형태로 쌓이고 있기 때문이다. 애플의 음성인식 인공지능인 ‘시리^Siri’나 삼성전자 음성인식 인공지능 ‘빅스비^Bixby’가 켜진 상태라면 스마트폰이 24시간 여러분의 음성을 듣고 있다. 이렇게 개인의 욕구를 알고 만들어진 SNS 맞춤 광고는 구매로 이어질 확률이 상당히 높은 편이다.

이처럼 기술의 발전으로 개인정보가 쉽게 데이터화되고 돈이 되는 시대가 열리면서, 세계 각국에서 이 ‘신종 자산’을 기존 경제에 어떻게 녹일 것인지에 대한 논의가 진행되고 있다. 한국에서도 지난해 관련 입법을 마치고 ‘마이데이터 서비스’라는 명칭으로 금융 관련 데이터 서비스 산업 활성화를 시작했다. 최근 핀테크, 은행, 증권 등 분야에 걸쳐 총 28개 회사가 금융위원회의 마이데이터 사업 허가를 획득했으며, 이들은 오는 8월까지 표준 응용프로그램 개발환경을 구축하고 하반기부터는 본격적인 사업에 나서게 될 예정이다.

‘마이데이터’란 개인이 정보 관리의 주체가 되어 능동적으로 본인의 정보를 관리하고, 본인의 의지에 따라 신용 및 자산 관리 등에 정보를 활용하는 일련의 과정을 말한다

개인화 서비스 가능한 만큼, 개인정보 유출 위험도 증가 

금융위원회에 따르면 ‘마이데이터’란, 개인이 정보 관리의 주체가 되어 능동적으로 본인의 정보를 관리하고, 본인의 의지에 따라 신용 및 자산 관리 등에 정보를 활용하는 일련의 과정을 말한다. 구체적인 사례로는 최근 일부 금융사와 핀테크 기업들이 제공하고 있는 개인종합 자산관리 서비스를 생각하면 이해가 쉽다. 원래 은행 계좌 현황이나, 대출, 보험 등의 개인 정보는 금융사 바깥으로 공유되지 않는데, 앞으로는 고객 본인의 동의만 얻으면 다른 회사들이 가져다 쓸 수 있게 된다. 적은 비용으로 과거에는 불가능했던 종합적인 개인정보 연계 서비스를 할 수 있기 때문에 카드 상품 추천이나 재무 컨설팅, 세제 혜택 알림 등의 개인화 서비스가 가능해진다.

일견 소비자 효용이 커진 것처럼 보이지만 아직 해결해야 할 우려점이 많다. 가장 우려되는 지점은 마이데이터 사업자에게 개인의 신용정보가 과도하게 집중된다는 것이다. 예금, 카드, 대출, 보험, 금융투자상품, 간편결제, 주문 정보 등 다양한 개인 정보들이 마이데이터 사업자 한곳에 모이게 되며, 해킹 등 정보 유출 사고가 일어나면 과거와는 비교할 수 없을 정도로 많은 민감한 개인정보들이 유출되게 된다.

지금과 비교할 수 없을 정도로 높은 수준의 보안과 철저한 데이터 관리가 필요하지만 당장 기업들이 그렇게 해야 할 이유는 뚜렷하지 않다. 현행법상 마이데이터 사업에서 소비자 피해가 발생할 경우, 기업은 최대 매출액의 3%와 200억 원 중 적은 금액의 과징금을 부담하게 되어있기 때문이다. 피해 예상 금액 대비 기업이 져야 할 책임이 상당히 미미한 수준이다.

산업 육성은 잘 보이는데 자기결정권 보장은 안 보여

좀 더 본질적인 측면도 생각해볼 필요가 있다. 손병두 금융위원회 부위원장은 지난해 열린 금융 분야 마이데이터 포럼에서 “마이데이터는 정보 주체의 데이터 이동권을 기반으로 새로운 금융서비스를 제공하는 산업”이라면서 “금융회사가 보유한 데이터라도 정보의 원천은 소비자에게 있음을 명심해야 한다”고 말했다. 마이데이터 사업의 본질의 상당 부분이 금융소비자의 개인정보 자기결정권 보장에 있다는 얘기다.

그러나 지금 사업 진행 과정을 살펴보면 개인정보 자기결정권 보장 부분은 상당히 미약한 수준이다. 내 정보가 누구에게 가서 어떻게 경제적 가치를 창출하고 있는지 소비자가 이해할 수 있어야 결정도 할 수 있을 것이다. 그러나 현행 마이데이터 서비스는 개인이 한번 자신의 정보를 사용하는 데 동의한 후에는 그 정보가 누구에게 가서 어떻게 쓰이는지 알 수 없게 돼있다.

이와 관련해 국회 입법조사처는 지난해 10월 발간한 <개인정보 이동권과 마이데이터 쟁점 및 향후과제> 보고서에서 “아직까지 개인의 정보이동권 행사를 위한 구체적인 동의 방법에 대한 논의가 이루어지지 않고 있으며, 개인정보자기관리를 위한 개인정보 자기관리 툴Tool에 대한 개발도 미진한 상황”이라고 지적했다. 보고서는 또한 “유럽 연합의 경우 개인정보자기관리시스템^{Personal Information Management System} 또는 개인정보저장소^{Personal Data Store} 도입 활용이 진행 중”이라고 덧붙였다.

상황이 이렇다 보니 마이데이터 사업이 사실은 국민들의 개인정보를 상업적으로 활용할 수 있게끔 정부가 나서서 열어준 것이 아니냐는 지적이 나온다. 정부가 마이데이터를 도입하면서 강조했던 대로 진정한 개인정보 자기결정권이 구현되려면 단순히 개인정보 이동만 쉽게 해줄 게 아니라 한번 이전된 정보에 대한 폐기도 쉽게 할 수 있도록 시스템을 마련해야 한다. 향후 시민사회가 법제화에 집중해야 할 부분이다.

이대로라면 기업만 좋은 일…시민들 관심 가져야

현재 마이데이터 사업은 금융정보 분야에 집중되어 있다. 사업의 핵심 근거가 되는 개인정보 이동권을 아무 데이터에나 행사할 수 없기 때문이다. 지난해 개정된 「신용정보의 이용 및 보호에 관한 법률」(이하 ‘신용정보법’)에 따르면 현재 소비자 본인의 동의를 얻어 옮길 수 있는 개인정보는 오직 신용정보로 한정된다.

그럼 어디까지가 신용정보일까? 법 개정과 함께 금융위가 지난 8월 공포한 신용정보법 시행령을 보면 소비자가 물건을 주문한 내역과 관련된 정보도 개인정보 이동권 적용이 가능하다. 개정시행령안 입법 예고를 할 때는 없었던 내용이고, 사실 모법인 신용정보법을 봐도 주문 내역 정보는 신용정보라고 보기 어렵다. 마이데이터 기업이 주문 내역 정보까지 끌어다가 분석하게 될 경우, 가명 처리를 한다고 해도 소비자 개인의 사생활 상당 부분이 여과 없이 노출되는 문제도 발생한다.

금융위가 이처럼 무리수를 펴는 이유는 주문 내역 정보가 대표적인 ‘돈 되는 정보’이기 때문이다. 마이데이터 시행으로 네이버 등 전자상거래 플랫폼을 가지고 있는 빅테크 기업들에게 가지고 있던 소비자 금융정보를 모두 내주게 생긴 금융권을 달래기 위해 정보 주체도 아닌 금융위가 엉뚱하게도 소비자 주문 내역 정보 접근권을 허락해주는 모양새다. 마이데이터 관련 논의에서 데이터 생산자인 소비자의 목소리가 충분히 나오지 않기 때문에 벌어지는 현상이다.

한국 정부는 마이데이터 사업을 4차산업 중 하나인 빅데이터 산업 육성 차원에서 접근하고 있다. 지금은 금융 분야에 집중되어 있지만 앞으로는 생활 영역 전반으로 시민 개개인의 데이터 활용 범위를 넓혀가는 정책을 지속적으로 내놓을 것이다. 내 데이터에 대한 권리를 지킬 것인가, 아니면 수동적인 소비자로 남을 것인가. 시민들의 관심이 필요한 시점이다. 

특집 마이 데이터 유어 비지니스

1. 빅데이터 시대의 ‘개인정보 자기결정권’ 김보라미

2. 마이데이터, ‘남의 데이터’ 안 되게 하려면 김동환

3. ‘이루다’는 왜 카톡 대화를 수집했나 장여경

4. 데이터의 사회적 가치 제고 방안 박지환

>> 2021년 3월호 목차보기