8월부터 마이데이터 시대가 본격적으로 시작된다. 은행·보험·카드사 등 여러 금융기관에 흩어져 있는 개인의 신용정보를 통합 관리할 수 있게 되면서 금융사들은 인지도가 아닌 개인 맞춤형 상품 개발을 통해 시장경쟁력을 확보할 수 있게 된다. 기회이자 위기로 다가온 마이데이터 시대를 맞아 현황과 이슈를 짚어봤다.
보안 없이 마이데이터 사업도 없다
마이데이터 서비스는 개인의 민감한 금융 데이터와 비금융 데이터를 다루는 만큼 보안의 중요성이 매우 크다. 마이데이터는 개인의 정보를 공유하고 분석해 맞춤형 서비스를 제공할 수 있는데 전송이 가능한 데이터는 개인의 계좌, 보험, 대출, 주식, 연금, 신용카드 이용액, 온라인 결제내역, 건강보험 보험료 등을 망라한다. 이러한 개인정보를 얼마나 안전하게 관리해서 정보 주체가 안심하고 이용할 수 있도록 하느냐가 마이데이터 서비스의 핵심이다.
마이데이터 사업자는 연 1회 이상 금융보안원이 기준으로 정한 5대 분야 375개 항목에 따라 보안취약점 점검을 수행해야 한다. 올해는 서비스 출시 전에 점검을 완료해야 하고, 내년부터는 점검 결과를 매년 11월 말까지 금융보안원에 제출하면 된다.
취약점 점검은 외부 전문 점검기관으로 지정된 27개 보안업체 또는 사업자의 자체전담반을 통해 실시할 수 있다. 그러나 자체전담반보다는 운영이 간편한 외부 기관을 이용하는 사업자가 많을 것으로 전망된다.
이처럼 금융 당국이 보안취약점 점검을 의무화하면서 외부 전문 점검기관들은 호재를 맞이했다. 보안업계는 응용프로그램, 데이터베이스, 웹서버, 정보보호시스템, 네트워크 등의 분야의 보안을 점검하는 비용이 매년 수십억원 규모에 이를 것으로 추산하고 있다. 또한 보안이 취약한 부분을 발견한 뒤에는 이를 해결하기 위한 보안 전문업체의 연구와 해결이 필요하기 때문에 보안관제 시장의 규모가 더욱 커질 것으로 전망된다.
공동인증서, 마이데이터로 부활할 뻔
마이데이터 서비스는 보안과 편리성이라는 동전의 양면을 동시에 따져야 한다. 이러한 문제로 떠오른 것이 의무 사용이 폐지된 공동인증서(구 공인인증서)였다. 사라진 줄 알았던 공동인증서가 마이데이터 서비스에서 부활한다는 소식에 비판이 제기되기도 했다.
당초 금융당국은 마이데이터 통합인증 수단으로 공동인증서만 허용할 예정이었다. 통합인증을 하려면 고객 식별을 위해 연계정보(CI)가 필요하다. 정보통신망법상 방송통신위원회로부터 본인확인기관으로 지정받거나, 과학기술정보통신부 심사를 받은 뒤 금융당국에서 승인을 얻어야 한다. 그러나 마이데이터 사업이 본격 시행되는 8월에 해당 자격을 갖춘 인증서는 공동인증서뿐이라는 게 문제였다.
공동인증서를 통합인증 수단으로 의무화할 경우 사용자는 번거로운 과정을 겪어야 한다. 특히 공동인증서 없이 다른 인증수단을 쓰는 사용자가 마이데이터를 이용하려면 거래은행 등을 통해 공동인증서를 별도로 발급받아야 한다. 또한 공동인증서는 증권, 은행별로 구분돼 있기 때문에 두 개를 다 받아야 한다. 유효기간 만료 시 재발급을 위해 거래 은행을 거쳐야 하거나, 발급받은 인증서를 복사해 마이데이터 사업자 앱으로 전송하는 과정 등의 번거로움 역시 피할 수 없다.
이처럼 역사의 뒤안길로 사라진 줄 알았던 공동인증서가 마이데이터에 얹히면서 반발이 커졌다. 금융 혁신과 소비자 편의 제고라는 마이데이터 사업의 취지가 무색해진다는 우려도 나왔다.
이에 4차산업혁명위원회는 지난 11일에 열린 23차 전체회의를 통해 마이데이터 이용자가 공동인증서 외에도 사설인증수단을 활용할 수 있도록 한다고 밝혔다.
4차위는 “공동인증서 기반 서비스 외에 전자서명법상 평가·인정을 받은 전자서명인증수단도 통합인증 서비스에 적용하도록 하겠다”며 “금융 마이데이터 통합인증 규격에 따른 개발이 필요한 상황”이라고 밝혔다.
가입 개수 논란…금융당국 “검토한 바 없어”
보안에 대한 우려는 마이데이터의 자유로운 가입을 방해하는 요소다. 당초 금융당국은 개인당 마이데이터 가입 개수를 최대 5개 정도로 제한하는 방안을 놓고 고심한 것으로 알려졌다. 개인신용정보 유출 우려 때문이다.
현재까지 마이데이터 서비스 본허가를 받은 사업자는 28곳이며, 지난 5월에 실시한 수요조사 결과 총 116개 회사가 마이데이터 사업을 하겠다고 희망했다. 치열한 경쟁이 예고되고 있는 상황인 것이다.
개인의 민감한 신용정보를 한 곳으로 모으는 마이데이터 사업은 편리하지만 많은 곳에 가입할수록 정보 유출로 인한 피해 가능성이 높아지게 된다. 한 번의 보안 관련 사고가 막대한 피해로 연결될 수 있다. 사고의 위험도를 낮추기 위해서라도 개수 제한이 필요하다는 주장이 나온 것으로 보인다.
금융당국의 방안대로 5개 업체의 마이데이터 서비스에만 가입할 수 있다면 무제한 가입 대비 보안 우려가 줄어드는 대신, 소비자의 편리성 추구와 선택권을 침해할 소지가 생긴다. 만약 5개를 가입한 사용자가 다른 업체를 이용하고 싶다면 기존 마이데이터 서비스를 해지해야 한다. 또한 몇 개를 가입했는지 알려면 본인인증을 거쳐야 하고, 가입현황에 따른 서비스 해지와 가입의 번거로움이 뒤따른다.
가입 개수 제한에 따라 인지도가 높은 업체로 사용자가 쏠리고, 선점 효과가 나타날 가능성이 높다는 주장도 나온다. 사용자 입장에서는 애초에 해지할 일이 별로 없는 주력 사업자에 먼저 가입해두는 것이 가장 간편하다. 이것이 굳어지면 업체별 서비스 차별성, 보안성 등은 선택의 우선순위에서 밀려날 수 있는 셈이다.
한 핀테크 업체 관계자는 “마이데이터 서비스 가입을 5개로 제한하면 상대적으로 유명한 금융사로 몰리게 될 수 있는데 막대한 마케팅 비용을 동원할 수 있는 이들 기업과 직접 대결하기란 어려운 노릇”이라고 우려했다.
이러한 반발에 금융당국이 한 걸음 뒤로 물러섰다. 제한 없이 가입하는 방안을 살펴볼 가능성도 없지 않다. 금융위원회 측은 “서비스 가입을 5개로 제한하는 방안을 검토한 바 없고 진행되는 사안도 아니다”라며 “사용자 보호를 위해 다양한 방안을 종합적으로 논의할 것”이라고 밝혔다.