정보제공 범위와 비용, 사업자 요건, 보안역량,
데이터 표준화, 인증과 식별 등 과제 해결해야

시중은행의 마이데이터 적용 화면으로 본문과 직접 관련은 없음.
시중은행의 마이데이터 적용 화면. 본문과 직접 관련은 없음.

[중소기업투데이 조민혁 기자] 금융 분야를 시작으로 마이데이터가 본격 시행된지 1년이 지나면서 금융 마이데이터 서비스 가입자 수는 5480만 명, 데이터 전송 건수는 하루 3억8400만 건에 달한다. 그런 가운데 ‘개인정보 보호법’ 개정을 앞두고, 정보제공 범위와 비용, 마이데이터 사업자 조건, 데이터 표준화 방안, 식별과 인증 등의 문제가 현안으로 떠오르고 있다.

마이데이터는 금융은 물론, 산업 전 분야로 확산되고 있어 이런 제반 문제는 새로운 이슈로 떠오르고 있다. 특히 이는 앞으로 중소기업의 비즈니스를 위해서도 필수 요소가 될 전망이다. 다만 정보제공 비용이나 마이데이터 사업자 조건, 기술적 난제 등은 중소기업의 마이데이터 시스템 도입을 위해 반드시 해결되어야 할 과제라는 지적이다.

이에 대해 정보통신기획평가원은 ‘정보 제공 범위’ 등 다양한 문제들을 짚고 있어 눈길을 끈다. 이에 따르면 이미 마이데이터가 제공되고 있는 금융ㆍ공공 분야를 비롯해, 제도화가 진행 중인 의료 분야 등에서도 정보제공 범위를 둔 활발한 논의가 이루어지고 있다. 정보 제공 범위에 관해서는 현재 국회에서도 다양한 쟁점을 두고 입법 절차가 진행되고 있다. 현재로선 ▲개인정보주체에 대한 프라이버시를 어떻게 보호하느냐 하는 것과, ▲정보제공자 관점에서의 재산권 보호 측면 등을 둔 논의가 이어지고 있다.

마이데이터 사업자의 조건도 중요하다. 즉, 마이데이터 사업자가 되기 위한 자격, 인적·물적 요건이나 심사제도 등에 따라 어떤 사업자들이 시장에 진입할 수 있는지에 대한 차이가 발생한다. 전문가들은 특히 “진입규제를 높게 설계하면 중소기업의 참여는 어려워지고 대기업 위주의 시장이 형성될 수 있다”면서 “그렇다고 진입규제를 너무 낮게 설정하면 보안이 취약한 영세 기업들이 무분별하게 참여해 민감한 데이터가 소홀하게 관리될 수도 있다”고 우려하고 있다.

그래서 “이런 특징들을 고려하여 너무 과도하진 않되, 필수적인 보안 역량은 갖춘 기업들이 참여할 수 있도록 진입규제를 적절하게 설계할 필요가 있다”는 의견이 지배적이다. 중소기업 중에서도 적정한 보안 역량을 갖춘 경우 허용될 수 있다는 논리다.

특히 정확한 정보 제공과 철저한 보안도 급선무라는 주장이 뒤따르고 있다. 하나금융경영연구소의 류창원 연구위원도 “부정확한 정보가 나타나거나 업권 간 정보 공유 미비로 필요한 정보를 받지 못하게 되면 ‘나의 정보’를 한눈에 확인함으로써 얻게 되는 소비자의 기본 효용이 크게 저하될 수 밖에 없다”면서 대안을 제시한 바 있다.

한편 관련 통계에 따르면 2022년 10월 현재 국내에서 허가받은 마이데이터 사업자는 59개 사에 달했다. 이는 마이테이터 사업이 지난 1월 공식화된 후 2배 이상 늘어난 수치다. 그 후 허가심의 중인 사업자의 수도 29개사에 달한다.

정보 제공 비용도 마이데이터 확산을 위한 중요한 변수로 꼽힌다. 마이데이터 제도는 정보제공자에게 정보 제공을 위한 설비를 갖추고 운영하도록 의무를 지움으로써 큰 금전적 부담을 가하게 된다. 전송요구권이 정보주체의 권리 보장을 위한 것이지만, 큰 비용이 들어간다. 그렇다고 “무상으로 정보 제공이 이루어지도록 제도화할 경우, 정보제공자의 책임과 의무가 너무 과도해져 정보제공자의 적극적인 협조를 얻기 어렵다”는 지적이다.

이에 “정보제공자가 행정·공공기관인 공공 분야 마이데이터를 제외하고 나머지 분야에서는 어떠한 형태로든 정보 제공 비용에 대한 과금이 이루어지게 될 것으로 보인다”는게 전문가들의 전망이다.

데이터 제공 방식이나 데이터 표준화도 과제로 떠오르고 있다. 앞서 정보통신기획평가원은 “데이터를 제공하는 방식은 크게 다운로드 방식과 API를 통한 직접 전송방식으로 나눌 수 있다”면서 “또한, 표준화된 데이터를 제공하는 방식과 정보제공자 자체적으로 정제해 제공하는 방식으로도 한 번 더 나눌 수 있다”고 했다.

앞서 류 연구위원도 “입력되는 출력으로부터 데이터를 추출하는 스크래핑 방식 대신 표준화된 API방식으로 전환할 것을 권한다”면서 “그런 경우, 정보 제공자와 가공자 사이에 발생할 수 있는 보안 사고에 대한 이용자의 불안감을 해소할 수 있다”고 제의했다.

실제로 ‘개인정보 보호법’을 기반으로 추진되는 일반 분야의 마이데이터 또한 표준화된 데이터, 규격화된 API 제공 방식을 전제로 추진되고 있다. 다만 어느 범위에서 어느 정도 수준으로 표준화ㆍ규격화를 할 것인가가 논의의 핵심이어서 두고 볼 일이다.

개인을 식별하고 인증하는 방법도 중요하다. 현재 금융 분야는 CI(Connecting Information)를, 공공 분야는 주민등록번호를 식별자로 이용하고 있다. CI는 주민등록번호를 기반으로 생성한 88바이트 문자열로 주민등록번호 등 정보주체와 1대1로 매핑된 고유한 값이다. “그러나 모든 마이데이터를 CI를 통해서 구현하는 것이 바람직한가에 대해서는 이견이 있다”는 지적이어서 역시 많은 논의를 통한 합의점 도출이 필요하다는 지적이다.

한편 정보통신기획평가원은 “금융·공공 분야 마이데이터 외에는 아직 제도적 기반이 마련되지 않은 상황이고, 이미 인프라를 구축하고 있는 의료분야 마이데이터 정도를 제외하고는 '개인정보 보호법' 개정이 완료된 후에 구체적인 내용들이 논의될 것으로 보인다”면서 “다양한 논의가 이루어지고 있지만, 앞으로 어떤 식으로 흘러갈지 예측하기도 쉽지 않다”고 전망했다.

저작권자 © 중소기업투데이 무단전재 및 재배포 금지