[박정호의 미리 가 본 미래]〈22〉마이데이터 산업 핵심은 보안 기술

2022년 가장 큰 화두가 될 이슈를 손꼽자면, 마이데이터다.

기존에는 기업이 '개인 정보 제공 및 수집에 동의하시겠습니까?' 라고 물으면 사용자는 '동의 또는 거부' 답변만을 전달했다. 이후 데이터가 어떻게 활용되는지 알기 어려웠던 게 사실이다.

마이데이터 정책 시행으로 개인은 정보 제공 동의 여부를 분명히 표현할 수 있다. 또, 기업이 왜 데이터를 가져가는지 정보를 명확히 전달받을 수 있다. 여기에 기업이 어떻게 데이터를 활용하는지 과정을 추적할 수 있으며 개인은 데이터 제공 중단 여부를 쉽게 결정할 수 있게 된다.

이상에서 열거한 설명은 마이데이터 산업의 효율성을 설명하기 위해 자주 활용되는 표현이다. 하지만, 개인 정보를 한 건씩 동의를 묻지 않고 제공한다고 해 마이데이터로 전환이 보안을 가볍게 여기는 것은 결코 아니다.

정보제공자와 마이데이터 사업자는 비밀번호 관리, 암호 통제, 시스템 보안, 개발 보안, 출력 복사 시 보호조치 등 적절한 기술 보호조치를 구축해야 한다.

마이데이터 사업은 신뢰할 수 있는 정보보호체계가 마련되지 않으면 이뤄질 수 없는 서비스 플랫폼이다. 신뢰할 수 있는 플랫폼이 되는 데 필요한 보호장치 요소는 다음과 같다.

먼저 강력한 본인인증 절차를 제공해야 한다. 개인신용정보 전송 요구, 개인신용정보 전송 요구 내역 변경, 개인신용 정보 전송요구 철회, 전송요구 기간 연장 등 각 과정마다 정보 제공자는 고객이 의도한 것인지 매번 확인을 거친 이후 데이터 전송과 관련된 작업을 수행한다.

마이데이터가 가진 비대면 업무 특성을 고려해 다양한 비대면 실명확인 방식을 허용한다. 정보 활용 범위와 영향 등이 광범위한 만큼 정보 주체 실수나 의도치 않은 전송요구권 행사가 이뤄지지 않도록 강력한 본인인증을 구현하도록 돼 있다.

둘째, 현재 활용되고 있는 스크린 스크레이핑 방식의 취약성을 보완할 수 있도록 하는 것이다. 정보수집 과정을 전반적으로 정비해 정보보안기술이 적용된 표준 API 방식으로 정보수집 과정의 안전성, 보안성을 강화한 것이다. 고객의 인증정보를 직접 저장, 활용하지 않고 암호화한 대체 정보(토큰 정보)를 활용한다.

이로써 인증정보 노출을 원천 차단하고 생성 토큰 정보는 주기적으로 변경·삭제하는 방식으로 사용한다. 또, 해킹 발생 시 개인정보 자동 폐기와 접근 통제, 개인정보 사용기간 한정 등 보호 메커니즘이 적용된 표준보안 API를 적용한다.

셋째, 금융당국은 소비자 피해구제와 사고방지대책을 마련하는 등 여러 노력을 기울이고 있다. 구체적으로 보험가입 규모는 국내외 사례, 마이데이터 산업의 생태계 조성 가능성 등을 종합적으로 감안해 결정할지라도 정보유출 사태에 대비한 배상책임 보험가입을 의무화하는 식이다. 또, 마이데이터 사업자의 자체 내부 관리 체계를 마련하고 시행하도록 하며 금융보안원, 신용정보원 등의 3자 점검과 금감원의 검사 등 상시평가체계를 중첩해 구축하고 있다.

고객 동의를 받은 경우 은행, 카드사, 증권사, 보험사 등 금융회사가 보유한 다양한 개인 데이터가 표준 API로 허용된 범위 내 개방될 예정이다. 은행 입출금 내역뿐만 아니라 카드 결제 내역, 증권사 투자 예탁금, 주식/펀드 보유 내역, 보험 계약 등 개인의 수많은 금융정보가 공유될 수 있다. 또, 정부는 금융뿐만 아니라 장기적으로 의료, 에너지, 유통 등 국민생활과 밀접한 분야에도 마이데이터 도입을 확대할 예정이다.

마이데이터 시대에는 개인이 생성한 수많은 데이터 개방이 이뤄졌다. 따라서 데이터 관리가 매우 중요하다. 더불어 데이터 관리 기술에 대한 심도 있는 파악뿐만 아니라 깊은 이해도 필요하다.

박정호 명지대 특임교수 aijen@mju.ac.kr