[경제신문스크랩/IT] 마이데이터, 첫발도 못 뗐는데…서비스 가입 1人 최대 5개로 막나

헤드라인

마이데이터

마이데이터, 첫발도 못 뗐는데…서비스 가입 1人 최대 5개로 막나

본문

기사 링크

금융위, 과다 가입 제한 추진

당국 "개인정보 과도 유출 우려
과당경쟁에 정보악용 가능성"
업계 "소비자 선택 맡기면 될 일
반쪽짜리 마이데이터 될 것"

당국, 은행창구서 마이데이터 이용
금융상품 추천하는 행위도 금지
업계 "비대면보다 전문가 추천이
금융상품 불완전판매 여지 적어"

정부가 오는 8월 본격 시행하는 마이데이터(본인신용정보관리업) 서비스를 두고 소비자 한 명이 3~5개만 가입할 수 있게 하는 방안을 추진하고 있다. 개인이 민감한 신용정보를 너무 여러 곳에 저장할 수 있게 하면 정보가 유출되거나 악용될 위험이 커진다는 게 금융당국의 판단이다. 이미 마이데이터 서비스 허가를 얻은 사업자는 28곳, 추가로 허가 심사를 받고 있는 사업자도 34곳에 이른다. 이 계획대로라면 소비자는 이 중에서 많아야 다섯 곳의 서비스만 이용할 수 있게 된다.

금융당국이 은행 영업점에서 마이데이터를 활용한 금융상품 추천 서비스를 할 수 없도록 한 점도 논란거리다. 대출을 받으러 은행 창구를 찾은 소비자에게 은행원이 마이데이터 알고리즘을 활용해 최적화된 대출상품을 추천하는 것이 금지된다는 뜻이다. 불완전판매를 예방하겠다는 취지지만, 업계는 “소비자의 선택권을 제한하고 더 좋은 서비스를 위한 경쟁을 억누를 것”이라고 비판하고 있다.

“경제적 편익 측면에서만 접근 안 돼”

10일 금융권에 따르면 금융위원회는 마이데이터사업자, 관계기관 등과 운영하는 마이데이터태스크포스(TF)에서 개인이 가입할 수 있는 마이데이터 서비스 개수를 한 명에 3~5개로 제한하는 방안을 검토 중이다. 마이데이터는 개인이 흩어진 신용정보를 본인이 원하는 곳에 한데 모아 관리할 수 있게 도와주는 서비스를 말한다. 금융위 관계자는 “민감한 개인정보를 일괄 수집한 사업자가 많아지면 정보 유출과 악용 같은 사고 위험도 커질 수밖에 없다”며 “개인의 신용정보가 걸린 서비스인 만큼 이윤 측면에서만 접근하면 안 된다”고 말했다.

앞서 금융위는 소비자가 마이데이터 서비스에 가입할 때마다 다른 서비스 가입 현황을 안내해주고, 필요하면 쉽게 해지할 수 있게 도와주는 시스템을 검토했다. 소비자가 과도하게 많은 서비스에 가입해 여러 곳에 개인정보를 집중시키는 실수를 범하지 않도록 유도하기 위해서다. 가입 개수 제한은 여기서 훨씬 더 나아간 조치다.

“소비자 선택권 좁아질 것”

시중은행 한 고위 관계자는 “시장에서 소비자의 선택을 못 받는 서비스는 자연히 도태될 것”이라며 “마이데이터는 개인의 정보 자기결정권을 보장하는 제도인데 소비자가 가입할 수 있는 서비스의 수까지 제한하는 것은 취지에도 맞지 않는다”고 지적했다. 이 관계자는 “알고 하는 동의, 자유로운 정보 제공 철회와 폐기 확인 등 개인이 자기 정보를 실질적으로 관리할 수단을 보장해주는 게 진정한 소비자 보호 방안”이라고 말했다.

소비자의 선택권이 제한될 수 있다는 우려도 나온다. 신우석 베인앤드컴퍼니 금융총괄파트너는 “소비자가 초반에 다양한 서비스를 이용해보고 스스로 필요한 서비스를 추려나가는 과정이 필요한데 처음부터 개수를 정해두면 소비자 선택권이 제약될 수 있다”며 “서비스가 정착되면 정보 보호를 위한 가입 제한을 고려하더라도 초반에는 소비자가 자유롭게 여러 서비스를 체험해보는 ‘시범 기간’을 두는 것이 절충안이 될 수 있다”고 제안했다.

영업점 마이데이터로 맞춤형 추천 불가

금융당국은 또 은행 영업점에서는 마이데이터 기반 추천 서비스를 할 수 없게 했다. 금융위와 금융보안원이 올 2월 펴낸 금융 분야 마이데이터 기술 가이드라인에 따르면 당국은 ‘불완전판매 가능성이 있으므로 대면 방식의 마이데이터 서비스 제공은 할 수 없다’는 유권해석을 내렸다. 은행원이 대출을 받으러 왔다가 더 나은 조건의 상품을 추천받기 위해 마이데이터 서비스 이용에 동의한 소비자에게 신용카드, 보험 등 실적 쌓기용 상품을 ‘끼워팔기’할 위험이 있다고 본 것이다.

은행권에서는 금융 현장을 모르는 조치라고 토로한다. 비대면 환경에서 소비자가 직접 확인할 수 없는 알고리즘에 따라 금융상품을 추천받는 것보다 전문성을 갖춘 은행원의 안내에 따라 마이데이터 서비스로 추천받은 여러 상품 중에 적합한 것을 고르는 게 오히려 불완전판매 여지가 적다는 게 업계 주장이다. 은행 관계자는 “설명 의무, 부당 권유 금지 등 6대 판매원칙의 적용을 받는 은행 영업점에서 불완전판매의 가능성이 더 높아진다는 것은 앞뒤가 맞지 않는다”고 지적했다.

마이데이터 서비스가 반쪽짜리로 전락할 수 있다는 우려도 나온다. 다른 은행 관계자는 “정보주체가 능동적으로 자신의 권리를 행사할 수 있는 곳이 비대면으로 한정된다면 마이데이터 도입 취지 자체를 축소하는 것”이라며 “디지털 소외계층이 대면 방식의 마이데이터 서비스를 이용할 기회도 사라질 수 있다”고 말했다.

빈난새/박진우 기자

본문의 근거

1. 정부가 오는 8월 본격 시행하는 마이데이터(본인신용정보관리업) 서비스를 두고 소비자 한 명이 3~5개만 가입할 수 있게 하는 방안을 추진하고 있다.
2. 이미 마이데이터 서비스 허가를 얻은 사업자는 28곳, 추가로 허가 심사를 받고 있는 사업자도 34곳에 이른다.
3. 이 계획대로라면 소비자는 이 중에서 많아야 다섯 곳의 서비스만 이용할 수 있게 된다.

추가 조사 할 내용/결과

마이데이터 활용 사례

마이데이터 산업 본허가를 계기로 추진 중인 주요 서비스

금융뿐만 아니라 의료 분야에도 도입 계획

• 맞춤형 자산관리
• 생활금융 관리
• 생애주기별 관리
• 온라인 대환대출 등
• 의료 분야 마이데이터
  • 여러기관에 흩어진 자신의 건강정보를 모으기 위해 의료기관 등을 직접 방문하는 불편이 컸고, 이를 통합 조회하고 활용할 수 있는 수단이 없어서 건강관리 및 의료에 대한 능동적 참여도 곤란하다는 문제점을 해결하기 위해 추진

마이데이터 산업 = 본인신용정보관리업

개인인 신용정보 주체의 신용관리를 지원하지 위하여 제약 사항을 대통령령으로 정하는 방식으로 통합하여 그 신용정보주체에 제공하는 행위를 영업으로 하는 것

• 본인의 신용정보를 일정한 방식으로 통합하여 본인에게 제공하는 영업 함
  • 마이데이터 사업의 핵심을 가장 잘 담고 있는 업종
• 마이데이터 = 나의 데이터에 대한 주권 및 정보이동권을 정보 주체인 내가 소유한다는 개념
  • 개인이 자신의 정보를 적극적으로 관리·통제하는 것은 물론 이러한 정보를 신용이나 자산관리 등에 능동적으로 활용하는 일련의 과정
• 마이데이터 산업 = 데이터를 한 곳에 모아서 보거나 내가 혜택을 받을 수 있는 서비스
  • "개인 정보의 자기 결정권을 보장하기 위해” 정부 주도로 국내에 도입
  • 데이터를 이동할 수 있는 것들이 주요 사례로 많이 거론됨
  • 그런 것을 가능케하는 법적인 발판이 바로 본인신용정보관리업이기 때문에 마이데이터 관련 이슈가 본인신용정보관리업에 초점이 맞춰져 있는 것으로 보임
• 마이데이터 사업자 = “개인신용정보를 일괄 수집”하고 이를 분석하여 “금융소비자 개인별 맞춤 서비스를 제공”할

마이데이터 사업 고려사항

고도화된 데이터 분석 인프라

• 고객별 insight를 도출할 수 있는 분석 역량 마련 필요

• Real-time 기반으로 데이터 수집/ 분석되어야 고객에게 보다 실질적 가치 제공 가능

• AI, Machine learning 등 최신 기술 최대 활용 필요

차별화된 고객 경험 제공

• 비대면 중심으로 서비스 제공될 가능성이 높으므로, 디지털 경험 제고 필요
• 디지털 환경 하에서는 속도 및 편의성이 매우 중요
• 고객에 빈번하게 방문할 수 있게 하는 마케팅 hook도 필요

오픈 플랫폼

• 수익 창출을 위해 기존 사업과 연계가 필수적임
• 타금융기관, 핀테크 등 새로운 플레이어와의 제휴 중요 (Coopetition)
• 타 사업자와의 신속한 연계를 위한 제반 여건 마련 필요

데이터 보안 방안

• 고객은 보안, 데이터 프라이버시, 자기 정보 통제권에 대한 높은 민감도
• 한번이라도 보안 사고로 인해 고객 신뢰를 상실하는 경우, 회복은 사실상 불가능
• 보안 사고 방지를 위한 인프라 고도화 및 정책 강화

마이데이터 가이드라인

제공 데이터 범위

소비자 권리 보호

데이터 전송 절차

마이데이터 지원센터 운영

마이데이터 소비자 보호 방안

마이데이터 관련 이슈 = 금융 분야에 초점

• 마이데이터 사업자에게 개인신용정보가 과도하게 집중된다는 점
  • 금융사가 신용도, 소비패턴 등 개인에 대한 정보를 금융 소비자보다 더 많이 알 수 있는 상황
  • 금융 상품 및 서비스 : 구조가 복잡 + 표준화 어려운 특성
  • 이에 따라 상대적으로 정보 열위에 있는 금융 소비자가 합리적인 선택을 위해 필요한 정보를 적절히 제공받지 못하게 됨
• 오픈뱅킹으로 지급결제가 과거보다 더 용이해졌다는 점에서 금융사고 발생시 피해규모는 보다 더 클 것으로 예상

데이터 공유 범위 확대에 따른 부작용

• 데이터 공유가 과도하게 진행될 경우 사생활 침해, 정보 유출 등의 피해가 우려
• 마이데이터 사업자의 고객정보의 관리 소홀, 해킹 등으로 인한 고객정보유출 및 지급결제 관련 금융사고가 늘어날 가능성을 배제할 수 없는 상황

마이데이터 서비스 종합 보안 대책

신용정보관리/보호인 지정제

• 정보보호최고책임자(CISO)처럼 모든 정보 제공과 활용, 보호 및 관리 총괄
• 총 자상 2조원 이상, 종업원 수 300명 이사인 기업은 임원 임명을 의무로 해야 함
• 수행 업무
  • 개인정보 보호 계획 수립 및 실행
  • 개인정보 관련 불만 처리 및 피해 규제
  • 정보 누설, 오용 남용 방지를 위한 애부 시스템 구축
  • 개인 신용 정보 보호 교육 계획 수립
  • 신용정보 보오 관련 법렬, 규정 준수 여부 점검

개인신용정보 활용체제 공시

• 신용정보 주체가 열람할 수 있도록 신용정보 활용 체제를 점초, 사무소에 갖추거나 인터넷 홈페이지에 게시하는 방안
• 유출 등을 말리 위해 전자 파일은 복원이 불가능하도록 영구 삭제하고 인쇄물이나 그 밖의 기록 매체는 파쇄와 소각 의무화

개인정보 데이터 유출 대응책

• 1만명 이상의 개인정보가 유출되었을 경어, 해당 사업자는 15일 동안 인터넷 홈페이지에 그 사실을 게시
• 7일 동안 주된 사무소가 있는 지역을 보금 지역으로 하는 일단/주간신문에 이 사실을 의무 게재

물리적 보안 대첵

• 개인신용정보 처리시스템을 운영하는 전산 설비 분리
• 운영 장소 뿐만 아니라 보호구역을 지정해 운영 + 엄격한 출입통제시스템을 갖춰야 함
• 외부 공동정산시설(IDC)을 이용하는 경우 일정 수준 이상의 물리적/기술적 보호 조치를 갖춘 시설을 이용하는 별도의 가이드라이인 권고
• 정보보호관리체계(ISMS, ISO27001 등) 인증을 취득한 안전한 시설로 제한

암호화

• 모든 개인정보 암호화
  • 암호화 적용 대 : 비밀번호와 바이오 정보, 개인 신용 정보, 주민등록번호, 개인식별 정보 등
  • 본인인증정보는 신용정보법에 따라 암호화 처리하고, 조회 자체가 되지 않도록 조치
• 업무용 단말기, 모바일 기기에 개인정보를 저장할 경우 상용 암호화 SW 또는 안전한 알고리즘 채택
• 정보통신망을 통해 개인신용정보, 인증정보를 송·수신할 때는 별도의 보안 서버 구축 + 암호화
• 웹서버에 전송계층보안(TLS) 인증서를 설치, 모든 구간의 암호화 송수신 체계 확립
• 별도의 침입 탐지·차단 시스템 설치 운영
• 이상거래(IP 기록, 인증 실패 횟수, 과도한 API 요청 등)가 발생할 경우 모든 기록을 지원 기관에 의무적으로 공유토록 했다.

요약 및 의견

정부 : "소비자 한 명이 3!5개의 마이데이터 서비스에 가입할 수 있도록" -> 개인이 민감한 신용정보를 너무 여러 곳에 저장하면 정보 유출되거나 악용될 위험 커짐

• 이미 마이데이터 서비스 허가 얻은 사업자 28곳 + 추가 허가 심사 받고 있는 사업자 34곳

  • => 여기서 5곳의 서비스만 이용할 수 있음

• 금융위원회 입장 입장

  • 은행 영업점에서 마이데이터를 활용한 금융상품 추천 서비스를 할 수 없도록 규제 : 불완전판매를 예방하겠다는 취지
    • 은행원이 대출을 받으러 왔다가 더 나은 조건의 상품을 추천받기 위해 마이데이터 서비스 이용에 동의한 소비자에게 신용카드, 보험 등 실적 쌓기용 상품을 ‘끼워팔기’할 위험이 있다고 본 것
  • 민감한 개인정보를 일괄 수집한 사업자가 많아지면 정보 유출과 악용 같은 사고 위험도 커질 수밖에 없다
  • 개인의 신용정보가 걸린 서비스인 만큼 이윤 측면에서만 접근하면 안 된다

• 업계 입장

  • 소비자의 선택권을 제한하고 더 좋은 서비스를 위한 경쟁을 억누를 것
  • 알고 하는 동의, 자유로운 정보 제공 철회와 폐기 확인 등 개인이 자기 정보를 실질적으로 관리할 수단을 보장해주는 게 진정한 소비자 보호 방안
  • 서비스가 정착되면 정보 보호를 위한 가입 제한을 고려하더라도 초반에는 소비자가 자유롭게 여러 서비스를 체험해보는 ‘시범 기간’을 두는 것이 절충안이 될 수 있다
  • 맞춤형 추천이 불가능하다면 마이데이터 도입 취지 자체를 축소하는 것
  • 디지털 소외계층이 대면 방식의 마이데이터 서비스를 이용할 기회도 사라질 수 있음

마이 데이터는 소비자가 자신의 데이터를 제공할건지 스스로 결정하여 제공하는 가명 정보인데, 스스로 결정하게 해놓고 이걸 기반으로 상품 추천이나, 적절한 서비스를 못받게 하는건 도대체 누구 좋으라고 하는 것인지..

차라리 마이데이터산업 허가 기준을 더 까다롭게 + 유출 시 징벌 쎄게 하면 될 것 같은데

횟수 제한은 마이데이터를 시행하는 취지와 맞지 않아보임

금융위는 소비자가 마이데이터 서비스에 가입할 때마다 다른 서비스 가입 현황을 안내해주고, 필요하면 쉽게 해지할 수 있게 도와주는 시스템을 구축하는 것이 더 알맞은 대응같음

적용할 점

• 마이데이터산업에 진출할 생각이 있는지
• 어떤 데이터를 활용할 건지
• 현재 기업의 보안 체계 _ 보안강도 + 프로세스는?

연관 기사 링크

[초점] 마이데이터로 본격적인 데이터 시대 열린다

마이데이터 사업의 경쟁력 제고를 위한 플랫폼 접근 방안

마이데이터, 종안 보안대첵 나온다...신용정보관이보호인 지정제 도입