마이데이터 서비스가 출범한 지 세 달이 흘렀지만 개인정보 유출을 우려하는 목소리는 계속해서 나오고 있다. 개인이 정보의 주인이라고 하지만, 정작 정보를 활용해 서비스를 제공하는 쪽은 마이데이터 사업자이다. 만약 사업자가 데이 터 관리를 소홀히 하거나, 서비스 결함으로 개인정보가 유출되면 이는 큰 보안 사고로 이어질 수 있다. 마이데이터 시 장은 빠르게 커지는 반면, 개인정보 보호는 점점 소홀해지는 건 아닐까 하는 걱정이 충분히 들 수 있는 상황이다.
마이데이터, 출항하자마자 개인정보 풍덩
실제로 올해 1월 마이데이터 서비스의 출범과 함께 연이어 두 차례의 개인정보 유출 사고가 발생했다. 한 번은 하나금융의 마이데이터 서비스 하나합에서 본인 정보가 아닌 타인 정보가 조회된 것이었고, 또 한 번은 네이버 파이낸셜에서 내 자산 서비스를 마이데이터 서비스로 전환하는 과정에서 개인의 자산 정보가 다른 이용자에게 노출된 사고였다. 두 사건에서 유출된 정보 내역에는 고객 카드 사용 내역, 투자 정보, 대출 내역, 증권 계좌번호, 입출금 내역, 전화번호 등 민감한 정보가 다량 포함돼 있었다.
하나은행은 사고의 원인을 시스템 과부하 때문이라고 해명했다. 적금 이벤트 사전 예약 고객들에게 안내 URL을 보내면서 한 번에 많은 접속이 이뤄져 시스템 과부하가 걸렸고, 이 과정에서 게이트웨이 시스템에 저장된 특정 고객의 정보가 다른 고객에게 잘못 발송됐다는 것이다. 네이버 파이낸셜은 연계정보(CI)를 처리하면서 시스템에 오류가 발생한 것이라고 설명했다. CI(Connecting Information)는 주민등록번호 수집과 이용을 최소화하기 위한 대안으로, 주민등록번호와 1:1 매칭돼 만들어진 암호화된 고유번호다.
사고 후 양사는 모두 일부 금융 정보만 유출되고 개인을 연결 짓는 식별 정보는 노출되지 않았다고 했지만, 개인의 입장에서는 불안할 수밖에 없는 사고였다. 마이데이터 서비스 내에서 언제든지 개인정보 유출이 발생할 수 있다는 것이 드러났기 때문이다.
마이데이터, 정말 안전할까?
2022년 1월 금융당국이 금융회사·공공 기관 등 정보 제공자의 CI 일괄 변환 및 사용을 허용했다. 이번 허용으로 정보 제공자는 개인의 주민등록번호를 CI 형태로 ‘표준화된 전산 처리 방식(API)’을 통해 마이데이터 사업자에게 제공할 수 있게 됐다. 현재는 정부에서 선정한 기업이 CI를 생성해 사업자에게 제공하고 있다. 마이데이터 서비스 내에서 주민등록번호 대신 CI를 통해 본인을 확인하고, 이를 여러 공공 기관과 기업이 활용하고 있는 것이다.
여기서 문제는, CI에도 개인정보 유출의 가능성이 있다는 것이다. CI는 암호화라는 특성이 있어 개인을 식별할 수 없을 것 같지만 실제로는 그렇지 않다. 기술적으로 CI를 주민등록번호로 복원하는 것은 불가능하지만 역추적하면 주민등록번호와 1:1 맵핑이 가능해 개인을 특정할 수 있다. 그럼에도 CI 사용을 허용한 것은 CI가 정보제공자와 마이데이터 사업자 간에 개인정보를 활용하는데 있어 주민등록번호와 다르게 일일이 동의를 받지 않아도 되는 등 편리하다는 점 때문이다. 하지만 개인의 입장에서는 CI로도 개인을 특정할 수 있다는 점 때문에 여전히 개인정보 유출을 걱정할 수밖에 없다. 이런 이유로 디지털정보위원회를 비롯한 일부 시민 단체에서는 CI가 프라이버시를 침해한다는 목소리도 나오고 있다. CI가 ▲개인정보 자기결정권 ▲사생활의 비밀과 자유 ▲익명 표현의 자유 침해 ▲좋은 행정의 권리 등의 기본권을 침해한다는 입장이다.
이들은 CI가 개인정보 침해 가능성을 충분히 가지고 있기 때문에 무분별한 활용을 제한해야 한다고 주장한다. 예를 들어 어떤 본인 확인 기관이 IT 사업자와의 연계 서비스를 위해 개인의 동의 없이 주민등록번호를 CI로 변환해 제공한다면 이는 개인정보 침해라는 것이다.
사실 나도 모르게 내 CI가 활용되고 있는 경우는 생각보다 많다. 일례로 카카오톡을 통해 오는 공공 기관의 안내 및 통지 메시지가 그렇다. 분명 주민등록번호를 기관에 제공한 적이 없는데 메시지가 온다. 이는 공공 기관이 내가 전에 이용했던 모바일 전자고지 서비스에 있는 CI로 나를 특정해 메시지를 보낸 것이다.
반면 마이데이터 사업을 활성화하기 위해서 CI 활용은 불가피하다는 의견도 있다. 명확한 금지 규정 없이 CI 이용을 무조건 제한하는 것은 기존에 주민등록번호 이용을 최소화하기 위해 등장한 CI의 취지에 맞지 않다는 입장이다. 이처럼, CI 활용이 이미 허용되긴 했지만 여전히 의견이 갈리고 있어 정부는 과도하게 개인정보를 제공하지 않으면서 보증 수준을 높일 수 있는 대책을 강구하고 있다.
여기에는 ▲불필요한 본인 확인 요구 최소화 기준 마련 ▲본인 확인 결과 관련 개인정보 결과값 최소화 ▲다양한 인증 기술 도입 등이 포함된다. 이 외에도 개인정보 유출에 대한 우려는 계속 있을 것으로 보인다. 고로 마이데이터 서비스 내에서의 개인정보 보안 강화를 위한 연구는 앞으로 더욱 고도화될 전망이다.
보안업계 기회의 땅, 마이데이터
이렇게 마이데이터 서비스 내에서의 개인정보 보호를 둘러싼 공방이 이어지는 가운데, 보안업계는 뜻밖의 호재를 누릴 기회를 맞이하고 있다. 특히 마이데이터 서비스 이용이 가장 활발한 금융 분야에서는 개인이 안심하고 서비스를 이용하기 위한 다양한 안전장치 마련이 중요해지면서, 사이버 보안 솔루션(컨설팅·기술)의 수요가 증가하고 있다.
마이데이터 서비스 시행(2021년 12월)을 앞두고 있던 지난해 9월, 금융위원회는 마이데이터 사업자를 대상으로 연 1회 5개 분야, 375개 항목에 대한 보안 취약점 점검을 법적으로 의무화했다. 사업자는 안전한 서비스 제공을 위해 서비스와 관련한 시스템 일체(응용 프로그램, DB, 웹서버, 정보보호 시스템)를 필수로 갖춘 후 금융보안원 등 27개 외부 평가 전문 기관을 통해 점검을 받아야 한다. 또한 금융보안원을 통한 마이데이터 서비스의 관련 법령 준수 여부, API 규격 기능 적합성 심사에서도 통과해야 한다.
이런 이유로 보안업계는 사업자들의 보안 솔루션 수요가 늘어 시장 규모가 크게 성장할 것으로 예상하고 있다. 2022년 3월 마이데이터 종합 포털을 기준으로 마이데이터 사업에 참여하고 있는 기관은 ▲은행 10곳 ▲보험사 2곳 ▲금융 투자 7곳 ▲여신 전문 금융 9곳 ▲저축 은행 1곳 ▲상호금융 1곳 ▲CB사 2곳 ▲IT사 1곳 ▲핀테크 9곳 ▲인증 기관 10곳 등 총 65곳이다. 아직 사업 초기인 점과 빅테크, 디지털 헬스케어 등 다양한 분야의 사업자가 유입되고 있는 점 등을 감안하면, 충분히 성장 가능성이 있어 보인다.
이런 수요를 예상한 몇몇 보안 기업들은 이미 발빠르게 움직이고 있다. 라온화이트햇은 마이데이터 서비스 시작 전인 2021년 4월 말부터 마이데이터 사업자를 위한 보안 취약점 진단 서비스를 출시했다. 특히 세계 해킹 방어 대회를 석권한 화이트 해커 그룹의 모의 해킹 기술력을 바탕으로 독자적인 마이데이터 취약점 진단 방법론을 제시하기도 했다. 이들은 마이데이터 사업자의 조직과 자산 등을 면밀히 분석해, 위협 및 취약점을 진단하고 그에 맞는 종합적인 보호 대책을 설계한다.
파수는 맞춤형 개인정보 비식별 컨설팅과 보안 취약점 점검 서비스를 내세워 시장을 공략 중이다. 한국인터넷진흥원(KISA), 금융보안원, 한국도로공사 등에 제공했던 비식별 솔루션 및 컨설팅 경험을 토대로 마이데이터 서비스 내 정보 처리 과정에서 필요한 비식별화 컨설팅을 제공한다. 자체 처리할 여건이 되지 않을 경우 파수의 비식별 처리 위탁 서비스를 이용할 수도 있다.
SK쉴더스는 마이데이터 사업 인허가를 위한 컨설팅 사업을 시행 중이다. 보안 취약점을 점검하기 위한 컨설팅 방법론 및 점검 도구를 고도화하고 있다. 국내에서 금융 보안 컨설팅에 있어 가장 많은 레퍼런스를 보유한 점을 내세우고 있다. 이 외에도 빅테크, 의료업계 등 다양한 사업자들이 추가로 마이데이터 사업에 합류할 것을 감안하면, 마이데이터 사업 내의 보안 솔루션에 대한 수요는 계속 늘어나고, 그 시장 규모도 더욱 커질 전망이다.
마이데이터, 내가 주인인 건 알겠는데 그래서 뭐가 중요해?
마이데이터가 사용자가 데이터를 스스로 관리함으로써 데이터에 대한 개인의 주권을 높인다고는 하지만, 그 취지에 대해 개인이 느끼는 정도는 아직 미미한 수준이다. 서비스 시행이 몇 달 지났음에도 아직도 마이데이터 서비스와 오픈 뱅킹을 혼동하는 이용자가 많고, 이용자의 입장에서는 회사 별로 데이터를 가져올 때마다 일일이 ‘동의’를 해야 하는 번거로움도 있어 실제로는 불편하다는 의견도 있다.
게다가 이용자 대부분이 ‘동의’ 절차를 형식적인 클릭으로 생각하는 경우가 많아 개인이 자신의 정보를 주체적으로 관리하고 통제한다는 마이데이터의 취지가 잘 이해되고 있는지에 대한 의문도 있다. 개인의 데이터 주권 강화라는 마이데이터의 취지를 잘 살릴 수 있는 고민이 필요한 시점이다.
전 세계 40개국, 80개 기관이 참여하는 개인의 데이터 권한 강화를 위해 설립된 국제 비영리 단체 글로벌 마이데이터는 마이데이터의 핵심을 ‘개인을 중심으로 데이터를 연결하고, 공유 대상과 활용을 데이터의 주인인 개인이 선택하게 하기 위한 것’이라고 강조한다. 핵심은 데이터를 기업이나 조직에게 빼앗기지 않고 스스로 데이터에 대한 주권을 행사함에 있다는 것이다.
데이터가 곧 자원이 된 시대에서 데이터의 주권은 데이터를 수집, 거래하고, 데이터 기반 의사 결정 권한을 가진 쪽으로 기울고 있다. 왜 이 시점에서 마이데이터라는 개념이 등장했는지 우리는 한 번 생각해봐야 한다.
데이터의 주권이 나에게 있다면, 결국 이를 잘 활용할지 말지는 나에게 달려 있고, 데이터에 대한 책임 또한 나에게 있는 것이다. 모든 개인이 마이데이터를 가볍게 여기지 않고 잘 관리해야 하는 이유가 바로 여기에 있다.
