마이 데이터 서비스 시행으로 금융권이 뜨겁다. 나의 데이터는 내가 관리한다는 개념인 마이데이터가 법으로 도입된 것은 유럽 개인정보보호법(GDPR)인데, 우리나라에서는 금융권에 이 개념이 처음 도입된 것이다. 2022년 1월 5일 전면 시행된 마이데이터 서비스. 전 세계적으로 정보주체의 권리를 강화하는 움직임인 이 개념이 우리나라에서는 어떻게 첫 발걸음을 떼었을까.
마이데이터란
마이데이터(MyData)는 원래 정보주체의 권리에 관한 개념이다. 우리는 네트워크를 통해 일어나는 모든 행위와 관련된 데이터가 실시간으로 생성, 연결되는 세계를 살고 있다. 그리고 그 거대한 데이터들은 디지털 경제에서 부가가치를 창출하는 핵심적인 자원이다. 소비자의 데이터를 수집, 결합, 재가공, 공유, 실시간 경매하며 창출되는 데이터 거래 업계의 총수익은 연간 2,2270억 달러, 원화로 250조에 다다른다. 그런데 데이터를 생산해내는 주체이자 최초의 소유자인 소비자 개인은 이 거대한 생태계에서 어디쯤 위치하고 있을까?
소비자의 역할은 그 모든 데이터 처리 과정을 정보처리자가 해도 된다는 최초의 동의를 제공하고, 그 대가로 서비스를 무료로 이용하는 것이다. 동의 이후에 소비자의 역할은 서비스를 사용함으로써 지속적으로 데이터를 생산해주는 것이 전부다. 네이버, 구글, 다음 등 포탈이나 유튜브 등 소비자는 데이터를 제공하는 대가로 인터넷 서비스를 무료로 사용하고, 때때로 다른 서비스를 추천받는 마케팅 ‘혜택’을 누린다. 자신에 관한 데이터로 연간 수백조의 비즈니스 시장이 움직이고 있는데 정작 정보주체인 개인의 역할이란 이용자로서 무료 혜택을 누리는 수동적인 역할에 한정되어 있는 것이다. 자신에 관한 ‘어떤’ 데이터가 ‘어디에’ 쓰이는지, ‘어떤 목적’으로 ‘얼마 동안’ ‘누가’ 쓰는지는 너무나 복잡해서 도무지 알 수가 없다. 어쩌다 자신의 개인정보가 고스란히 담긴 데이터가 보안을 문제로 유출되기라도 하면 그 피해가 고스란히 개인에게 돌아오는 것은 당연지사다.
마이데이터는 이런 상황에 대한 문제의식을 바탕으로 나온 개념이다. 데이터에 대한 권리를 정보의 주체인 개인에게 돌려주자는 것이다. 그래서 개인이 자신에 관한 데이터에 대한 통제, 관리권을 가지고 원하는 형태로 수집 및 요구, 가공, 전송 등의 행위를 할 수 있게 해 주자는 취지에서 시작된 움직임이다.
유럽의 개인정보보호법인 GDPR에서는 이 권리를 ‘이동권(portability right)’으로 법제화했다. 이동권은 자신의 데이터에 대한 ‘통제권’을 정보주체에게 주기 위한 최소한의 보장이다. 즉, 정보주체의 ‘통제 하에’ 개인 데이터의 ‘자유로운 이전’ 혹은 ‘재사용을’ 촉진시켜 소비자의 서비스 선택권을 강화하고, 이로서 데이터 경제에서 정보주체자의 역할을 강화해 정보처리자와의 힘의 불균형을 해소하고자 하는 것이다.
마이데이터, 우리나라는?
GDPR의 실행 이후로 세계 각국에서도 마이데이터의 취지를 따르는 움직임이 이어졌다. 영국은 Midata라는 이름으로, 미국과 일본에서도 정보은행의 개념으로 정보주체의 권리에 대한 문제의식을 공유하고, 자신과 관련된 데이터에 대한 통제권을 개인에게 돌려주려는 노력이 시도됐다.

우리나라는 신용정보법에 먼저 마이데이터 개념을 도입하게 된다. 개인정보에 관한 일반법이 아니라 왜 금융 분야의 신용정보정보법에 먼저 도입되었는가 하는 것은 다양한 이유가 있겠지만, 금융기관이 이미 핀테크 등으로 인해 정보의 디지털화가 빠르게 이루어져 있었다는 점이 크게 작용했다.
한 달간 시범기간을 거친 마이데이터 서비스는 2022년 1월 5일, 전면 시행에 돌입했다. 시범사업에 참여했던 은행 10곳 포함 54개 업체 중 33개가 우선 앞다투어 서비스를 내놓기 시작했다. 마이데이터 플랫폼으로서 소비자를 선점하기 위한 금융업계의 경쟁 양상은 그야말로 전쟁이었다. 심지어 자사의 마이데이터 플랫폼에 다른 모든 금융기관의 정보를 가지고 와서 관리 및 금융서비스를 이용하는 것에 동의하도록 소비자를 유인하기 위해 고가 자동차가 추첨 경품으로 등장해 금융당국이 제재에 나설 정도였다.
그러나 서비스가 본격 시행되기도 전에 발생한 잡음도 만만치 않았다. 그간 금융서비스의 혁신을 이끌고 있다는 평가를 받아왔던 토스뱅크가 마이데이터 서비스에 관한 동의를 받으면서 가입자들의 선택권을 침해했다는 논란에 휩싸였다. 직접 연결하고 싶은 금융기관을 선택하는 방식이 아니라 일괄 연결하도록 화면을 구성했을 뿐 아니라, 주 1회 정기적으로 정보를 전송하는 것에 대한 동의를 필수항목으로 포함시켜 소비자의 선택권을 침해한 것이다. 뿐만 아니라 본인 인증 수단으로 다양한 민간 인증서를 사용할 수 있음에도 토스 인증서를 가입하고, 사용하도록 유도하기도 했다.
가장 우려하던 보안사고 또한 어김없이 발생했다. 작년 12월 10일, 하나금융계열사의 서비스를 한데 모은 마이데이터 서비스 ‘하나 합’에서 타인의 개인정보가 조회되는 사고가 발생했다. 유출된 정보는 카드 사용 내역, 투자 정보, 입출금 내역, 전화번호뿐만 아니라 금융투자상품의 수익률, 대출정보까지 모두 포함됐다. 마이데이터 서비스 시행으로 인해 수집된 정보 일체였다.
네이버파이낸셜에서도 유사한 사고가 이어졌다. 작년 12월 28일, 네이버파이낸셜 마이데이터 서비스에서 100명의 고객 정보가 유출되는 사고가 발생했다. 해당 사고 역시 서비스에서 자신의 정보가 아닌 타인의 개인정보가 조회된 것인데, 은행, 증권, 카드 등 계좌번호뿐 아니라 송금, 이체내역, 주식거래정보까지 역시 마이데이터 서비스 시행으로 인해 수집된 데이터들 인 것으로 알려졌다.
마이데이터 도입, 우려를 딛고 나아가기 위해서는
다시 마이데이터의 취지로 돌아가 보자. 마이데이터는 정보주체에게 자신에 대한 정보, 데이터에 대한 권리를 보장해야 한다는 의미로 등장한 개념이다. 그런데 현재 우리나라의 마이데이터 서비스는 금융권에 먼저 도입되면서 서비스 제공자 간의 경쟁 과열 양상으로 원래의 의미로부터 멀어지고 있는 것은 아닌지 우려가 되는 상황이다. 더 늦기 전에 정보주체에게 자신의 데이터에 대한 관리, 통제의 권리를 주고자 했던 원래 취지를 살리면서 마이데이터가 나아갈 방향을 고민해야 하지 않을까.
현재 금융권에서 제공하고 있는 마이데이터 서비스는 사실상 ‘맞춤형 자산관리 서비스’다. 특정 금융사에 자신의 모든 금융정보를 가져다주면 이를 분석해 자산관리를 위한 자사의 다양한 서비스를 추천해 주는 것이다. 카드, 적금, 주식, 부동산, 보험 등 각종 투자처를 추천해 주는 서비스들이 대표적이다. 이와 같은 방식은 데이터의 통제권을 사용자에게 준다기보다는 특정 금융사로 데이터를 몰아주는 것에 가깝다.
물론 사용자가 얻는 이점도 있다. 어쨌든 여러 군데 흩어져 있었던 정보를 선택권을 가지고 한 곳에서 확인할 수 있게 되었다는 점이다. 특히 양적 측면에서 봐도 주요 은행이 보유한 정보에 한해 마이데이터를 도입한 유럽과는 달리 은행, 보험, 카드, 금융투자 등 전 금융권을 대상으로 데이터가 연결되어 방대한 양의 데이터를 확인할 수 있다.
그러나 사용자의 데이터는 또다시 특정 사업자가 제공하는 서비스에 종속된다. 모을 수 있고, 모으기 위한 금융사를 선택할 수는 있으나 한 번의 동의로 모아주고 나서 사용자가 가질 수 있는 해당 데이터에 대한 통제권은 매우 한정적이다. 연결을 아예 끊을 수는 있지만 특정 기간의 데이터, 어떤 항목에 대한 데이터 등을 자신이 직접 확인, 관리하거나 공유하고자하는 데이터를 선택하는 것 등은 불가능하다. 예를 들어 출금내용은 한 곳에 모으지만 입금 내용은 따로 관리하고 싶다거나, 한 금융사에서도 특정 대출기록만 빼고 다른 기록만 가져오는 것과 같은 선택지는 주어지지 않는다.
금융사들은 하나의 채널에서 ‘종합 금융서비스’를 제공한다는 점에만 집중하고 있다. 특히 종합 금융서비스의 목적이 기존의 상품 수익률, 금융 수익률에 따른 추천방식에 그치는 것은 아닌지 우려스러운 점이다. 정말로 고객 중심의 분석에 따른 추천인지 접근 방법의 변화가 있는지도 눈여겨봐야 할 점이다. 이러한 변화 없이 우선 모든 데이터를 확보하고 그다음에 무엇을 할 수 있는지를 지속적으로 알아보겠다는 상황이라면 마이데이터의 도입에 따른 서비스 혁신은 요원해질 수 있다.
보안사고의 우려 또한 해결해야 하는 주요 이슈다. 데이터가 더 많이 모일수록 데이터 유출에 따른 위험은 더 커질 수밖에 없다. 아직까지는 단순한 정보만 수집해 보여주는 수준인데 비해 동의를 통해 수집되고 있는 데이터는 수많은 금융권이 가진 모든 정보로 그 범위와 양이 매우 방대하다. 마이데이터에서 취급하는 개인정보는 대상을 알 수 없도록 하는 ‘비식별정보’이지만 비식별정보 몇 가지를 조합하면 손쉽게 대상을 특정할 수 있다는 점도 지적된다. 실제로 소비자가 받을 수 있는 보호에 대한 충분한 준비가 되어있는지, 그리고 충분히 안내되고 있는지 등도 보완되어야 할 이슈다.
이제 막 첫걸음을 뗀 국내 마이데이터 서비스다. 아직 보완되어야 할 점들이 많이 있지만 우선은 첫걸음을 떼었다는 것 자체가 고무적인 것도 사실이다. 다만 향후 전분야로 확산되기 위한 시작점에 있는 만큼 조금 더 마이데이터의 원래 취지에 가까운 방향으로, 소비자와 서비스 제공자가 모두 윈-윈할 수 있는 방향으로 나아가기 위한 논의 또한 활발히 진행될 때가 아닌가 싶다.
One comment