ISSUE

디지털 전환 시대,
마이데이터를 주목하자

배일권 | 4차산업혁명위원회 데이터기획관

왜 마이데이터가 필요한가

최근 국내·외에선 데이터를 기반으로 모든 분야에서 디지털 전환(Digital Transformation)이 활발히 진행되고 있다. 이러한 변화의 과정에서 데이터를 얼마나 잘 활용하는지가 공공·민간은 물론 개인의 혁신 역량과 성과를 결정하는 주요 경쟁력이 되었다. 데이터는 ‘21세기의 원유’라는 말처럼 그 가치가 새롭게 인식되면서, 다양한 산업 분야에서 데이터의 확보와 활용에 많은 노력을 기울이고 있다. 하지만 ‘유용한 데이터’로 불리는 데이터들은 개인정보를 포함하고 있어 여러 규제를 적용받는 경우가 많다. 따라서 개인정보보호 관련 다양한 규제를 준수하면서도 데이터를 가치 있게 활용하는 방안이 사회적 논점으로 대두되고 있다.

디지털 형상화 이미지

2020년 8월, 데이터3법 개정으로 개인정보가 포함된 빅데이터를 활용할 수 있도록 하는 ‘가명처리 및 결합’ 제도가 도입되었다. 가명처리란 개인정보 일부를 삭제·대체하여 특정 개인을 알아볼 수 없도록 처리하는 것으로, 통계·연구 등의 정해진 목적 하에선 사전 동의 없이 사용 가능하다. 개인정보가 포함된 빅데이터를 활용할 수 있는 활로가 열렸지만 아직 본격적으로 활용되고 있지는 못하다. 이는 가명처리의 본질적인 한계에 기인한다. 가명처리의 수준을 높이면 데이터 활용 가치가 낮아지고, 반대로 가명처리 수준을 낮추면 개인 식별 가능성이 높아지는 딜레마가 있기 때문이다. 또한 데이터를 활용하려는 정보보유 기관과 프라이버시를 중요시하는 정보주체·시민사회 간 이해가 상충하는 문제 또한 가명정보 활성화의 걸림돌이 되고 있다.

개인정보를 활용할 수 있는 또 다른 방식으로 최근 가장 주목받고 있는 방식이 ‘마이데이터’ 방식이다. 마이데이터를 통한 데이터 활용은 가명처리와 달리 정보주체의 능동적인 요청(적극적 동의)에 따라 이루어진다. 때문에 규제 이슈에서 상대적으로 자유롭고, 원본 데이터를 그대로 사용할 수 있어 활용 가치도 높은 것이 장점이다.

디지털 전환시대에서 데이터는 권력이며 힘이다. 마이데이터 제도는 데이터의 이동권을 의미하여 이는 권력의 이동을 의미한다고 할 수 있다. 이러한 권력의 이동은 기업, 정부로부터 정보주체인 개인으로의 이동을 의미한다고 할 것이다.

마이데이터가 구현되기 위한 핵심 원리는 정보주체의 「자료전송 요구권」에 기반하는데 이는 ❶정보주체가 ❷정보제공자로 하여금 본인이 원하는 서비스를 제공받기 위해 ❸데이터의 전송을 요구하는 권리로 정의할 수 있다.

[표1] 가명처리 방식과 마이데이터 방식 비교

표 가명처리 방식과 마이데이터 방식 비교 구분 1.데이터보유 2.데이터 활용 결정 3.개인정보 동의 4.활용 데이터 가명처리 방식 기관,기관,동의 불필요,통계적 데이터 활용 마이데이터 방식 기관,정보주제,적극적 동의 기반, 원본 데이터 활용
자료전송 요구권 개념도

예를 들면, 기존엔 소상공인이 자금지원 신청을 위해 관공서에서 필요한 첨부서류를 발급받아 소상공인 진흥공단에 직접 제출해야 했으나, 마이데이터를 활용하면 소상공인이 관할부처로 하여금 필요한 행정 문서를 바로 소상공인 진흥공단으로 전달하도록 지시하여 첨부서류를 제출할 수 있다. 금융 분야에서는 은행, 카드, 보험 등 나의 금융거래 정보를 마이데이터 사업자로 전송토록 지시하여 이전된 데이터를 기반으로 내가 원하는 재무관리, 상품 추천 등 다양한 서비스를 받을 수 있다. 향후에 마이데이터가 전 산업으로 확산되어 나가게 되면 의료, 교육, 통신 분야 등에서도 이러한 내 정보전송 지시를 통해 다양한 서비스를 받을 수 있게 된다.

마이데이터를 통한 데이터 전송요구권 제도의 도입은 정보 주체 측면에서 본인의 개인정보를 통제할 수 있게 한다. 그리고 산업 측면에서는 데이터의 자유로운 이동에 따라 소비자의 서비스 선택 폭이 넓어지고 서비스 질 개선과 가격 합리화 촉진 등 서비스 경쟁을 활성화한다. 또한, 다양한 신규 서비스 공급자의 시장참여의 기회가 제고되고 고객 수요에 부합하는 혁신적인 맞춤형 서비스 등장 등 ‘신규시장 창출’을 할 것으로 기대된다.

이렇듯 마이데이터라는 것은 데이터의 이동, 권력의 이동이기 때문에 정부가 먼저 나서서 제도를 만들어 주는 것이 핵심일 것이며, 마이데이터의 정부정책 방향을 정확히 이해하는 것이 중요하다

데이터 보안

| 마이데이터 발전 상황은 5단계로 구분

마이데이터는 서비스 제공자가 관리하고 있는 나에 관한 데이터를 단순히 열람하거나 다운로드하는 것에서부터 다른 분야의 서비스 제공자에게 내 데이터를 전송하도록 요구하여 서비스를 제공받는 것까지 다양한 수준으로 구현될 수 있다. 정보주체의 권리 보장 및 서비스 구현체계를 기준으로 4차산업혁명위원회는 마이데이터 발전 단계를 0단계에서부터 4단계까지 총 5단계로 구분하였다.

0단계(조회)는 모바일 앱이나 홈페이지에서 나의 정보를 단순 열람할 수 있는 단계로, 마이데이터 도입 이전 단계이다. 개인정보 열람권은 일반법인「개인정보 보호법」에 이미 반영되어 보장되고 있으며, 열람 기능은 개인정보를 처리하는 대부분의 서비스에서 이미 구현되어 있다. 인터넷·스마트 뱅킹에서 내 계좌 목록, 잔고 및 이체내역 등을 열람하거나, 쇼핑몰의 마이페이지에서 내가 구매한 이력을 열람하는 것 등이 이 단계의 조회 행위에 해당된다.

1단계(다운로드)는 모바일 앱이나 홈페이지에 접속해서 나에 관한 데이터를 내려 받아 저장하는 단계로, 마이데이터 초기 단계에 해당한다. 이러한 데이터 저장 방식은 마이데이터 제도 이전부터 많은 사이트에서 구현되어 있기도 하였다. 인터넷 뱅킹·쇼핑몰 등에서 Excel 파일 형태로 거래내역을 다운로드하는 것이 이에 해당할 수 있다. 하지만 단순 열람·보관용이 아닌 데이터 이동을 위한 다운로드는 CSV, XML과 같은 비독점 표준 포맷으로 제공되어야 한다. 최근엔 이러한 비독점 표준 포맷으로 데이터 다운로드를 지원하는 경우가 점점 더 많아지고 있다.

2단계(전송요구)는 정보주체가 특정 서비스에 저장된 본인에 관한 정보를 다른 서비스로 전송하도록 요구할 수 있는 단계이다. 1단계처럼 정보주체가 직접 자신의 개인정보를 다운로드하여 다른 서비스에 업로드할 필요 없이, 사업자 간에 직접 전송을 지시하는 것이다. 2단계인 전송요구 단계부터 마이데이터의 핵심 원리인 ‘데이터 전송요구권’이 현실에서 본격적으로 구현되는 단계라고 할 수 있다.

3단계(대리활용)는 다양한 데이터 통합 조회·분석 서비스가 생겨날 수 있는 ‘대리활용’ 단계라고 할수 있다. 이 단계에서는 마이데이터 사업자들이 자신들의 어플리케이션이나 웹사이트 등을 통해 고객을 대리하여 다양한 데이터 보유자에게서 데이터를 전달받는다. 그리고 이렇게 모인 데이터를 대리자가 분석하여 여러 가지 고객 맞춤서비스를 제공하게 된다. 대표적인 예로 최근 본격 시행된 금융 마이데이터제도를 통해 여러 마이데이터 사업자들이 제공하고 있는 금융비서, 자산관리 서비스가 있다.

4단계(전분야 확산)는 4차산업혁명위원회가 제시하는 마이데이터 발전 단계의 종착점으로, 전 산업 분야에서 분산된 나의 데이터를 내가 원하는 대로 자유롭게 모으고 이동시킬 수 있는 단계를 말한다.

마이데이터 확산을 위한 제도화, 기술·데이터 표준화 등은 각 산업별로 취급 정보의 민감도나 데이터 생태계 등이 반영된다. 따라서 초기에는 산업 분야별로 마이데이터 제도화가 진행될 것으로 전망된다.

마이데이터 발전 상황 5단계 0단계 조회 1단계 저장 2단계 전송요구 3단계 대리활용 4단계 전 분야 확산

| 우리나라 마이데이터 추진 현황

법제도 분야

우선, 법제도 분야에선 마이데이터를 구현하기 위한 데이터전송 요구권의 제도화는 일반법적 근거 마련과 산업 특성을 반영한 개별법 개정의 두 가지 방향 (two track)으로 추진되고 있다.

[표2] 마이데이터 근거법 개정 주요 내용

마이데이터 근거법 개정 주요 내용 법률,추진단계,주요내용 신용정보법 21년2월 시행 개인신용정보 전송요구권,금융분야 마이데이터 산업 신설, 마이데이터 사업자 허가제 운영 및 의무 규정 민원처리법 21년10월 시행 민원인 요구에 따른 본인정보의 민원 처리기관 간 공동이용 전자정부법 21년12월 시행 정보주체 본인에 관한 행정정보의 제공요구권 개인정보보호법 개정중 개인정보 전송요구권, 개인정보관리 전문기관 지정

개별법인 「신용정보법」, 「민원처리법」, 「전자정부법」은 이미 개정되어 시행 중이다. 금융 분야에서 「신용정보법」이 개별법 중 가장 먼저 개정을 완료하고 2021년 2월부터 시행되어 금융 분야 마이데이터 제도 기반을 마련하였다. 공공 분야에선 정보주체가 공공기관이 가진 본인에 관한 행정정보를 제3자 기관으로 전송 요구할 수 있는 자료전송 요구권을 규정한 「민원처리법」과 「전자정부법」이 개정되고 각각 2021년 10월, 12월부터 본격 시행되었다.

이미 데이터전송 요구권이 법률 개정을 통해 반영된 금융, 공공분야 외에 마이데이터 전 분야 확산을 위한 법적 근거 마련은 「개인정보 보호법」 개정을 통해 추진 중이다. 이 법은 모든 분야에 적용될 수 있는 일반법으로, 개인정보 전송요구권 등을 반영한 개정안이 입법예고(’21.1월~2월), 차관회의·국무회의를 거쳐 2021년 9월에 국회에 제출되었으며 현재 국회에서 논의 중에 있다. 전 산업분야에서 마이데이터 사업의 기반·동력이 마련되기 위해선 일반법인「개인정보 보호법」의 개정이 조속히 완료되어야 한다.


비즈니스·산업·공공 분야

핀테크 업체 중심으로 추진되어온 마이데이터 비즈니스는 금융에서 공공·의료분야로의 확대 및 제도화과정 등을 거쳐 확산이 한창 진행 중이다. 앞서 설명한 마이데이터에 대한 발전 단계(0에서 4단계)를 기준으로 각 분야에 대한 마이데이터 진척 정도를 평가해보면 우리나라 각 산업별로 마이데이터의 발전 정도에 차이가 나는 점을 알 수 있다.

우선 마이데이터가 가장 먼저 시작된 금융 분야는 3단계로, 법률개정, 마이데이터 사업자 허가 등을 거쳐 2022년 1월부터 본격적으로 서비스가 실시되었다. 공공 분야는 「전자정부법」 시행에 따라 본인에 관한 행정정보를 정보주체가 원하는 기관으로 이전시킬 수 있게 됨에 따라 2단계에 들어섰다고 할 수 있다.

통신 분야의 경우 정보주체의 요구가 있는 경우 요금납부정보를 금융 마이데이터 사업자에 일부 전송이 가능한 점에서 1.5단계로 평가된다. 의료 분야는 2021년 3월부터 서비스중인 「나의건강기록 앱」을 통해 정보주체가 진료이력, 건강검진이력, 투약·예방접종이력 등의 자료를 열람·다운받을 수 있다는 점에서 1단계 수준이나, 「마이헬스웨이 플랫폼」 추진 계획을 발표하고 2~3단계로 나가기 위해 박차를 가하고 있다.

마이데이터의 분야별 추진 정도가 다른 것처럼 데이터를 주고받는 정보제공자·수신자 선정 방식, 주고받는 데이터 내용·표준, 데이터 보안 등 관련 기준과 절차도 분야별로 상이하다. 이에 따라, 단기적으로는 분야별 특성을 고려하여 마이데이터 활성화를 도모하되, 궁극적으로 분야의 장벽 없이 데이터가 자유롭게 흐르는 마이데이터 4단계를 지향하며 관련법·제도를 마련해 나갈 필요가 있다.

| 마이데이터 발전을 위한 추진 목표와 전략

2021년 1월, 4차산업혁명위원회 내에 민·관 합동 데이터특별위원회가 발족되었다. 이와 동시에 4차위가 부처별로 분산 추진되어오던 데이터 정책에 대한 종합적인 ‘범국가 데이터 컨트롤타워’로서의 역할을 맡게 되었다. 데이터특별위원회 산하에 마이데이터분과도 신설되었고 산·학·연에서 모인 각계 전문가들이 마이데이터 분과에 참여함으로써 마이데이터가 나아가야 할 방향에 대해 심도 있는 논의를 시작하였다.

그 결과 2021년 6월, 4차위는 관계부처 합동으로 「마이데이터 발전 종합정책」을 발표하고 대한민국 마이데이터 발전의 청사진을 제시하였다. 4차위는 마이데이터 제도를 통해 정보주체에게는 자기결정권 확립과 데이터 기반의 다양한 서비스 제공을, 산업적 측면에서는 데이터 개방·활용을 통한 디지털경제를 촉진한다는 비전을 비전과 함께 아래와 같은 단계적 추진 목표를 수립하였다.

  • (1) ‘21년~‘22년: 법제도 기반 마련, 사업 개시
  • - 「개인정보 보호법」 및 시행령 개정 추진
  • - 정보주체 인증, 전송, 저장·관리 등 전반에서의 정보 보호·보안 기준을 확립
  • - 분야별로 준비가 마무리되면 사업을 시작하고, 초기 단계에서 다양한 국민체감 서비스 제공에 주력
  • (2) ‘22~‘23년: 모든 분야 마이데이터 준비완료 및 분야별 활성화
  • - 구체적인 정보대상 범위, 진입수준 등에 대한 제도를 완성하고, 분야별 마이데이터 제도를 본격 시행
  • - 민간의 마이데이터 수요를 지속적으로 파악하고 발굴하여 마이 데이터 산업 활성화를 지원
  • (3) ‘24~‘25년: 데이터의 공유·분석과 광범위한 활용
  • - 데이터의 안전한 활용을 지원하는 기술개발(예: 동형암호) 및 적용 등을 통해 산업간 데이터 공유를 촉진
  • - 데이터 상호 연계·공유 시 안전한 정보 이전, 사고시 책임주체 명확화 등 보안관리 강화

더불어, 4차위는 이러한 단계를 밟아 나가기 위해 몇 가지 추진 전략과 원칙을 제시하였다. 요약하자면 아래와 같다.

(1) 「개인정보 보호법」개정을 통해 마이데이터 구현
상술하였듯이 이미 법 개정이 완료되어 진행 중인 금융분야(신용정보법), 공공·행정분야(민원처리법,전자정부법)를 제외한 나머지 분야는 법률 개정 없이 일반법인 「개인정보 보호법」의 개인정보 이동권을 적용받아 마이데이터의 법적 기반을 마련하게 될 예정이다.

(2) 마이데이터 거버넌스 구축
「개인정보 보호법」을 통해 제도 기반이 마련될 예정임에 따라 마이데이터 제도 시행을 위한 세부적인 사항은 「개인정보 보호법」 하위 규정에서 정하되, 관계부처 협의를 통해 구체화해 나갈 계획이다. 개인정보보호위원회는 법·제도를 추진해나감과 동시에 정보전송 체계수립을 위한 「마이데이터 표준화 협의회」를 우선적으로 출범(‘21.11.)시켰다. 개인정보보호위원회, 4차산업혁명위원회, 금융위원회, 교육부, 과학기술정보통신부, 보건복지부 등 마이데이터 관계부처 국장들이 참여하는 협의체를 통해 마이데이터 표준화 및 각 부처별 마이데이터 추진 내용에 대한 연계·협조가 이루어지고 있다.

[표3] 개인정보 보호법제하의 제도 마련 계획

개인정보 보호법 개정 전송요구권 도입 , 개인정보관리 전문기관 역할 정립 시행령 개정 정보제공자 지정 기준,정보수신자 지정 기준 절차 관리 감독, 정보제공 수수료 분야별 고시 제정 정보제공자 지정, 정보수신자 지정, 정보 제공 구체화

(3) 개인정보 자기결정권 제고 및 데이터주권 확립
마이데이터 시스템 상에서는 정보주체의 전송요구권 행사에 따라 개인에 관한 상당히 많은 정보가 제3자에게 전달된다. 이러한 정보 전송이 마이데이터 사업자의 영리 추구만을 위해 이루어지거나, 개인이 원하거나 필요하지 않는 이상으로 전송요구권이 행사되지 않도록 하기 위한 방책들이 필요하다.

우선 정보주체가 전송되는 정보, 전송되는 대상 등을 명확히 인지하고 전송요구 할 수 있도록 ’알고하는 동의‘를 추진한다. 또한 정보주체의 전송요구뿐만 아니라 전송요구권 행사에 대한 철회, 그리고 이미 전송된 데이터에 대한 삭제 요구권도 보장토록할 예정이다. 그리고 고객이 권리를 행사할 수 있는 정보의 범위가 지속 확대될 수 있도록 분야별 협의체 마련 또한 필요하다.

(4) 개인에 관한 모든 데이터 제공 원칙
정부는 정보주체의 요청에 따라 데이터가 자유롭게 이전되도록 제공 데이터 범위를 폭넓게 인정해나가겠다는 방침이다. 다만, 정보제공자의 부담 또한 고려해야 하므로, 보유 개인정보의 규모, 산업별 특성등을 종합적으로 감안하여 단계적인 개방을 해나가는 것이 바람직하다. 중·장기적으론 이종산업간 데이터가 전송·활용될 수 있도록 기술표준을 마련하고 데이터 규격화 등을 지속 추진해갈 예정이다. 또한 정보제공 대상 범위가 커질수록 정보제공자의 부담도 커질 수밖에 없으므로, 정부는 정보제공자(기업·기관)들이 공동으로 이용할 수 있는 중계시스템 등을 지원하는 한편 정보제공에 따른 적절한 보상·인센티브 방안도 설계해나갈 계획이다.

(5) 마이데이터 사업자 진입규제 최소화와 면밀한 사후관리
마이데이터 사업자가 되기 위한 자격, 인적·물적 요건들이나 심사제도 등에 따라 어떤 사업자들이 시장에 진입할 수 있는지에 대한 차이가 발생한다. 정부는 민간 기업 등 시장의 다양한 참여자가 정보주체가 필요로 하는 서비스를 다양하게 제공할 수 있도록 합리적으로 진입제도를 설계할 방침이다. 진입 규제가 낮은 만큼 보안이 소홀해지지 않도록 더 큰 관심과 노력을 기울여야 한다. 따라서 마이데이터 사업자에 대한 엄격한 보안 관리기준을 적용하는 등 촘촘한 사후관리 의무를 부과할 방침이다.

(6) 공공은 생태계 활성화에 도움이 되는 기반 조성에 주력
마이데이터는 데이터 분석을 통한 초개인화 서비스 등 혁신 서비스가 많이 발현될 수 있는 모델이다. 따라서 공공기관은 공익적 필요성이 특히 큰 분야, 인프라 제공 등에 집중하고, 서비스 개발·제공 등의 비즈니스는 전문성이 있는 민간 기업이 수행토록 함으로써 데이터 경제 활성화에 기여할 수 있다.

[표4] 마이데이터 생태계에서 공공의 업무 영역(예시)

마이데이터 생태계에서 공공의 업무 영역 심사 및 사후관리 지원 보안 대책 컨설팅 및 사전 심사 지원, 사후 점검 실사 지원등 공익성 인프라 운영 인증서 발금 중계 등 통합 인증 인프라 운영 , 마이데이터 지원 관리 서비스 포털 구축 운영 의견수렴 및 표준화 추진 산업분야의 의견 조율을 위한 워킹 그룹 운영, 데이터 및 API 표준화 방안 수립

(7) 주요기업의 마이데이터 공유와 협력
전 산업분야에 걸친 마이데이터 제도화는 정착되려면 상당한 시일이 소요될 수밖에 없다. 따라서 정부는 법령 개정 이전이라도 주요 민간 기업들이 마이데이터 형식으로 데이터를 공유할 수 있도록 협력체계를 구축하겠다는 방침이다. 이를 통해 기업들의 마이데이터에 대한 인식을 제고할 수 있으며, 기업들은 사전에 데이터 표준화, 보안 확보 방안 등을 점검하고 구현하는 기회로 활용할 수 있다.

또한 공공성을 가지면서 기술·보안 전문성이 있는 한국인터넷진흥원, 금융보안원 등의 기관들을 통해 예비 사업자들에게 전문가 컨설팅을 제공하고 예산을 보조하는 등의 지원을 함으로써 대표 기업들의 마이데이터 참여를 유도할 계획이다.

| 우리의 마이데이터 제도가 성공하려면

마이데이터 생태계가 활성화되기 위해서는 무엇보다도 정보주체인 개인이 데이터 주권에 대한 인식을 확실히 가져야 한다. 내 데이터를 내 뜻대로 활용한다는 마음을 가지고 적극적으로 전송 요구권을 행사하여 스스로에게 맞는 서비스를 받고 맞지 않는 서비스엔 철회권이나 삭제 요구권을 행사하여야 한다. 데이터를 가진 기업들 또한 개인의 데이터를 기업이 소유한다는 관점에서 벗어나 개인이 주권을 가진 개인정보를 기업이 잘 이용하여 고객에게 좋은 서비스를 제공한다는 관점으로 접근해야 새로운 패러다임에 빠르게 적응하고 앞서나갈 수 있다. 마지막으로 정부는 관련 부처들이 서로 협동하여 신뢰할 수 있는 마이데이터 생태계를 구현하는데 필요한 제도 및 인프라 조성 역할을 충실히 수행해야 할 것이다.

마이데이터는 이제 막 걸음마를 뗀 만큼 아직 가야할 길이 무궁무진하다. 또한 이런 범국가적인 마이데이터 제도의 도입 및 운영은 다른 어느 나라도 아직 가보지 못한 전인미답의 길이므로 어떻게 흘러갈지 쉽게 예측하기도 어렵다. 하지만 데이터 기반의 디지털 전환 시대를 맞아 우리나라가 독보적으로 앞서가고 있는 데이터 활용 분야인 만큼, 잘 성공 시킨다면 우리가 전 세계의 데이터 패러다임을 바꾸는 역할을 하게 될 수도 있다. 또한 마이데이터가 활성화된다면 국민들에게 플랫폼 기반의 선제적, 맞춤형 행정서비스를 제공할 수 있을 것이며, 관련 데이터 산업의 성장에 따른 일자리 창출뿐만 아니라 다양한 국가적 부가가치 창출을 견인해줄 것으로 기대한다.