ISSUE

금융 마이데이터,
3년의 준비를 통해 서비스 본격화

심현섭 | 한국신용정보원 빅데이터센터장

70여 기관이 참여하여 금융분야 마이데이터 추진

금융분야 마이데이터는 2018년 7월, 금융위원회의 마이데이터산업 도입방안1) 발표 이후 법제화가 본격적으로 추진2) 되었다. 입법과정에서 빅데이터 활성화를 위한 가명/익명정보 도입과 개인정보 거버넌스 확립 등을 위해 데이터3법 개정이 일괄적으로 추진됨에 따라 시민단체들의 반대가 매우 많았다. 이에 따라 조정과 설득에 상당한 기간이 소요되어 2020년 1월말이 되어서야 개정안이 국회를 통과할 수 있었다.

한편, 법제화와는 별도로 2019년 5월부터는 금융당국을 중심으로 지원기관들과 각 업권별 대표 금융회사 등 70여 기관이 참여한 워킹그룹3)이 구성되어 마이데이터 서비스에 필요한 다양한 사안에 대해 논의하기 시작하였다.

서비스 분과에서는 한국신용정보원을 간사로 하여 전송요구권 행사 대상정보와 항목을 어떤 기준으로 선정할 것인지를 논의한 후, 업권별 소분과를 구성하여 세부 정보항목을 선별하고 데이터 표준화와 구조화를 진행하였다. 또한 해외 마이데이터 사례와 과금 모델, 손해배상 등 관련 사항들에 대해 폭넓은 자료조사를 병행하였다.

기술분과에서는 금융보안원을 간사로 하여 서비스 분과에서 도출한 정보제공항목 표준화 결과물에 대해 데이터별 전산화된 처리규격(데이터명, 타입, 길이, 필수여부 등)을 마련하였고, API 세부규격, 접근토큰 규격, 전송요구 최소단위, 시스템 부하를 고려한 API설계방안 등을 검토하였다.

이러한 워킹그룹의 활동은 2021년 1월까지 약 19개월간 지속되었으며, 준비과정에서 예기치 못한 어려움이 곳곳에서 발생하였다. 이러한 어려움들은 금융당국을 비롯한 유관기관들의 헌신적인 노력과 공동목표를 위한 이해관계자들의 양보로 하나씩 해결해 왔으며, 그 결과 금융마이데이터는 2021년 12월 시범서비스 운영후 2022년 1월 5일부터 본격적인 서비스가 개시되었다.

데이터 표준 API Working Group 구성도

데이터 표준 API Working Group 구성도 금융혁신기획단 데이터표준 서비스분과/기술분과 유관기관/금융회사/데이터기업/중계기관

| 금융분야 마이데이터에서 논의되는 주요 이슈

우리나라의 금융마이데이터 산업은 수천여 개의4) 금융회사 등이 정보제공의무를 지고 있으며, 모든 정보제공자가 동시에 서비스에 참여하는 것으로, 규모와 속도 면에서 전 세계적으로도 유례를 찾아보기 어렵다. 이 과정에서 다양한 이슈들이 발생하였는데, 그 내용을 간략하게 살펴보기로 한다.

전송대상 데이터 확대
금융분야 마이데이터 산업은 신용정보의 이용 및 보호에 관한 법률(이하 “신용정보법”)에 근거를 두고 있는데, 「신용정보법」의 전송요구권은 GDPR5)의 데이터이동권을 참고로 하였다. GDPR은 이동권행사 대상 데이터에 대해서는 대원칙만 정할 뿐 세부적인 규정이 없으나, 우리나라에서는 제도의 조기 안착과 산업활성화를 위해 전송대상 데이터의 개요를 법률에서 규정하고 세부내역은 워킹그룹을 통해 각 이해관계자의 의견을 광범위하게 수렴6)하여 시행령에 반영하였다. 그러나 이러한 의견수렴 과정을 거쳤음에도 금융마이데이터 출범이 가시화되면서 기존 스크래핑 기반 서비스와 API 제공대상 정보항목에 차이가 있어 제공데이터 확대에 대한 요구가 지속적으로 발생하였다. 이에 대해 정보제공자는 프라이버시 침해 우려 또는 제3자 정보 제공근거 불명확 등으로 어려움을 호소하는 등 제공대상 데이터를 둘러싸고 상당한 진통을 겪었다. 게다가 법률에서 정한 시행일정이 촉박함에 따라 제공데이터 확대 시 정보제공자의 전산개발이 어려운 점도 많았다.

이에 따라 금융당국을 중심으로 수차례 업권 간 협의를 거친 결과, 당초 제공대상이 아니었던 은행계좌적요와 보험보장내역 및 카드가맹점정보 등도 소비자보호장치7)를 전제로 제공대상에 포함하였다. 향후에도 법적 쟁점8) 해소와 해당 업권의 제공 참여 유도 등을 통해 전송데이터는 지속적으로 확대될 것이다.

[표1] 제공데이터 확대요구 주요 대상

제공데이터 확대요구 주요 대상표 업권 제공데이터 주관기관 전자금융 주문내역정보 프라이버시 침해 가능성,신용정보의 범위 확대 우려 등 은행 등 적요 거래내역 메모 제삼자정보 제공의 적법성 등 보험 보장내역,계약자-피보험자 상이건 등 제삼자정보 제공의 적법성 등

식별 key(CI)
마이데이터는 다수의 정보제공자로부터 특정 정보주체의 데이터를 일괄조회하여 서비스를 제공하는 것으로, 동일한 정보주체임을 식별할 수 있는 key가 반드시 필요하다. 현재 정보주체를 식별하는 key는 정보보유자별로 다양9)하게 이용되고 있는데, 그 중 주민등록번호는 법령에 특별한 규정이 없는 한 사용이 금지10)되어 범용 식별 key로 활용하기 어려운 단점이 있다. 이에 따라 금융마이데이터 에서는 범용성을 고려하여 CI11)를 식별 key로 선정하였다.

CI는 주민등록번호 대신 본인을 확인할 수 있는 대체수단12)으로 「정보통신망법」에 따라 지정된 본인확인기관이 발급할 수 있으나, 발급 및 이용 등에 대해 법령상 상세한 규정이 없어 금융마이데이터에 CI를 활용하는 데에 실무상 어려움이 많이 발생하였다. CI를 사용하지 않거나, 사용하더라도 DB에 저장하지 않는 정보제공자가 상당수 있었으며, 이에 따라 금융당국에서 관계부처 간 수차례 협의를 통해 정보제공자가 보유한 기존 고객의 주민등록번호를 CI로 일괄변환할 수 있도록 조치13)하였다. 이 외에도 활용목적 상이로 인한 재변환과 공공마이데이터 연계를 위한 CI 적용 등 이슈도 발생하여 이의 해결에 많은 노력과 시간이 필요했다.

통합인증
정보제공자는 안전한 개인신용정보 전송을 위하여 정보주체가 개인신용정보 전송을 요구할 경우 해당 주체가 맞는지 확인하여야 한다.14) 확인방법은 본인인증을 이용하고 있는데, 이에는 개별인증방식15)과 통합인증방식16)이 있다. 금융마이데이터에서는 정보제공자(중계기관 이용기관 제외)가 고객이 통합인증 및 개별인증 중 하나를 선택하여 인증을 수행할 수 있도록 하고 있다.

또한 금융마이데이터에서는 인증결과에 CI를 제공할 수 있는 다중요소 공개키인증서17)를 통합 인증수단으로 정하였는데, 「정보통신망법」상 지정받은 인증서 본인확인기관18)이 통합인증서를 발급·관리하는 인증기관으로 참여할 수 있다. 그런데, 당초 마이데이터 서비스 개시를 목표로 했던 ‘21.8월 초에는 이용이 간편한 전자서명인증사업자가 「전자서명법」에 따른 인정절차를 통과하지 못하여 사용자의 불편이 매우 우려되었다. 이에 따라 관계부처 간 긴밀한 협의로 관련 절차를 가속화한 결과, 8월 말부터는 전자서명인증사업자가 속속 등장하여 마이데이터서비스 이용자들이 다양한 통합인증수단을 편리하게 이용할 수 있게 되었다.

| ’22년 56개 사업자,45개 서비스 출시

금융마이데이터는 올해 1월부터 서비스가 본격화된 이후 안정화 과정에 있다. 수많은 정보제공자와 다양한 정보가 전송되기에 초기에는 시스템 안정성이 우려되기도 하였으나, 약 3개월간 운영상황을 살펴본 결과 별다른 문제없이 서비스가 안정적으로 제공되고 있다.

2022년 4월 현재 금융위원회로부터 허가를 받은 마이데이터 사업자는 56개사이며, 앞으로도 계속 증가할 전망이다. 사업자별로 허가받은 시기가 달라 서비스 준비에 차이가 있어 ’22.4.13. 현재 45개 마이데이터 서비스가 출시되었다.

[표2] 마이데이터 사업자 허가현황(‘22.4월말 기준)

마이데이터 사업자 허가현황표 업권 은행 여신전문 금융투자 보험,상호금융,저축은행 핀테크,CB,IT 전체 사업자수 10 9 7 4 26 56

출시된 서비스를 살펴보면 대다수 사업자가 종합자산관리와 맞춤형 상품추천 등의 서비스를 제공하고 있으며, 일부 사업자는 보험상품, 금융투자, 대출비교 등에 특화된 서비스를 제공하고 있다. 고객이 거래하는 금융회사의 카드·출금 거래정보를 통합조회하여 기간별·결제수단별·카테고리별로 지출내역을 분석하고, 목표설정·달성도 등 다양한 편의기능을 제공하고 있다. 또한 고객이 본인의 자산부채 현황을 쉽게 파악할 수 있도록 하는 재무상태 진단서비스도 있으며, 또한 개인별 소비패턴을 바탕으로 카드 상품을 추천하거나, 대출상품별 최저금리, 최대한도 대출조건 등을 비교하여 본인에게 적합한 대출을 추천하고 비대면대출계약 서비스를 제공하는 사업자도 있다.

보험분야에서는 보험가입 내역 통합조회서비스, 개인 데이터 기반의 상품 추천 및 모바일 기반의 보험금 간편청구 서비스도 제공하고 있다. 은행, 카드, 보험, 증권, 핀테크 등 다양한 업권의 마이데이터 사업자가 각자의 강점을 가지고 있으며, 소비자들은 이러한 업권별 특성을 고려하여 본인에게 가장 적합한 마이데이터 사업자를 선택하면 유용한 서비스를 받을 수 있다. 이와 함께 금융정보를 중심으로 타 산업정보를 융합한 특화된 서비스를 준비하는 사업자들도 있는데, 건강·의료데이터를 기반으로 건강관리서비스와 보험상품 추천을 하거나, 부동산도 자산에 통합관리하는 등 다양한 서비스가 있다.

한편, 이러한 서비스는 API기반의 금융마이데이터가 출범하기 이전 스크래핑 방식으로 제공하던 마이데이터 서비스와 별다른 차이가 없다는 시각도 있다. 그러나 스크래핑 기반의 마이데이터가 서비스 안정성과 정보보호에 대한 우려가 상당했던 점, API기반의 마이데이터가 출범 초기인 점 등을 고려하면 지속적인 정보확대와 사업자간 경쟁 본격화를 바탕으로 조만간 서비스 내용이 급속히 확장될 것으로 기대한다.

금융마이데이터 일러스트

이용자는 1,840만명으로 서비스 활성화 기대
금융마이데이터 출범 이후 서비스 이용자는 ’22.4.13. 현재 1,840만명(마이데이터 사업자 약관동의 기준, 사업자별 중복집계)이며, 출범 약 2달만에 125억건(누적)의 API가 전송되는 등 매우 활발한 이용실적을 보이고 있다.19) 출범 초기부터 시장 선점을 위해 사업자별로 가입자 유치경쟁이 매우 치열하였으며, 일정 수준의 경품을 제공하는 등 각종 이벤트도 활발하게 진행하였다. 소비자들은 마이데이터를 통하여 본인에게 최적화된 맞춤형 금융상품·서비스 이용에 대한 기대가 높다. 다양하고 초개인화된 서비스로 금융 편의성이 한층 높아질 것이며, 현재 진행중인 개인정보보호법 개정으로 마이데이터가 모든 산업으로 확산된다면 산업간 다양한 데이터가 연결되면서 서비스 내용이 무한대로 확장되어 국민들의 생활은 더욱 더 편리해질 것으로 보인다.

산업적으로는 마이데이터 사업자가 기존 대형 금융회사들이 보유하고 있던 고객 데이터에 접근하기 용이해짐에 따라 기존 금융회사들의 시장지배력이 약화되고 경쟁이 치열해지면서 혁신적인 상품 개발이 기대되고 있다. 마이데이터 서비스가 고객접점으로 정착된다면 금융상품의 제조·판매채널 분리가 가속화될 것으로 전망된다. 금융회사나 핀테크사들은 생존을 위해 치열한 경쟁을 할 것이며, 또한 금융회사별로 운영되는 폐쇄적 영업방식을 탈피하여 핀테크 등 새로운 플레이어들과의 협업을 통한 새로운 상품, 서비스 및 채널을 만들어 내는 개방형 혁신이 촉진될 것이다.

| 금융분야 마이데이터 발전을 위한 추진과제

데이터 관련 이미지

첫째. 서비스 안정화 및 개인정보 보호‧보안 강화
마이데이터 산업은 수많은 정보제공자와 마이데이터 사업자간 다양한 데이터가 전송되므로 오류 발생 가능성이 곳곳에 산재해 있다. 이에 따라 전송되는 데이터의 정확성‧최신성 유지가 매우 중요하며, 전송되는 데이터가 부정확할 경우 소비자의 불신으로 산업 자체의 신뢰도가 훼손될 우려가 있다. 서비스를 개발할 때에는 정확성을 철저하게 검증하여 오류를 방지하고, 만약 오류가 있는 경우 참여자 간 신속한 사후처리를 위해 긴밀한 관리체계를 마련할 필요가 있다.

이와 함께 금융소비자가 마이데이터 서비스를 안심하고 이용할 수 있도록 개인정보 보호‧보안체계도 지속적으로 강화할 필요가 있다. 제도적으로는 기능적합성 심사20)와 보안취약점 점검21) 의무화 등 엄격한 정보보호·보안체계를 마련하여 운영하고 있으나, 기술이 나날이 발전함에 따라 그것만으로는 충분하다고 보기는 어렵다. 생태계 참여자 모두가 각자의 환경에 맞는 보호정책을 마련하고 실행함으로써 소중한 개인정보가 유출되거나 오남용되지 않도록 각별히 유의하여야 할 것이다.

둘째. 전송대상정보 확충 및 서비스 고도화
마이데이터는 표준화된 양식인 API방식으로 정보를 제공하기 때문에 스크래핑방식보다 제공정보 항목을 확대하는 데에 제약이 발생할 수 밖에 없다. API방식이 의무화되면서 스크래핑 기반의 서비스를 제공해 오던 기존의 마이데이터 서비스가 일부 중단되는 등의 불편도 발생하고 있으나, 그렇다고 해서 정보보호에 단점이 많은 스크래핑 방식을 유지하기도 어려운 실정이다. 이에 따라 사업자가 필요로 하는 정보항목에 대해서는 지속적으로 API를 확대하여야 하나, 정보제공자의 부담도 상당하므로 정보제공을 유도할 다양한 인센티브를 고민할 필요가 있다. 다른 한편으로 정보제공자는 개인정보가 정보주체의 활동에 따라 생성된 것이므로 자신이 보유한 개인정보가 오롯이 자신만의 독점적인 자산이 아니라 정보주체에게도 일정한 권리가 있음을 자각할 필요가 있다.

현재 금융마이데이터는 초기단계여서 전송대상정보가 제한적이고 비교‧추천 등의 서비스도 규제가 많아 아직까지는 각 사업자가 제공하는 서비스에 특별한 것을 찾아보기 어렵다. 하지만 많은 사업자가 마이데이터 서비스에 참여하고 있는 만큼 정보확대와 규제완화를 바탕으로 창의적인 서비스에 대한 기대가 매우 높다. 아직까지는 제도적으로 해결해야 할 과제도 많고, 이해관계자간 합의를 바탕으로 전송되는 정보의 양과 품질도 지속적으로 확대해 나가야 하는 등 선결과제가 많아 당장에는 기대를 충족시키기 쉽지 않다. 하지만 사업자들은 소비자들의 눈높이에 맞추어 다양한 서비스를 개발할 필요가 있다. 이로써 새로운 산업이 조기에 활성화 되는 것 뿐만 아니라, 금융업의 프로세스를 혁신하여 금융산업 전체를 변화시킬 수 있는 촉매가 되기를 기대한다.

셋째. 합리적 과금체계 마련
마이데이터 산업을 유지하기 위해서는 데이터 전송, 공동인프라 구축, 인증 및 식별 key 활용 등에 다양한 비용이 소요된다. 마이데이터산업의 원활한 운영을 위해서는 이러한 다양한 비용을 누가, 어느 정도로 부담하는 것이 적정한지에 대해 생태계 참여자 간 합의가 필요하다. 정보제공자의 소요비용 보전과 마이데이터사업자의 서비스 운영 부담도 고려하여야겠지만, 산업의 활성화와 정보주체의 권리 보장이란 관점도 고려하여야 할 것이다.

「신용정보법」에서는 ‘정기적인 데이터 전송’에 대해 마이데이터사업자에게 최소한의 비용을 부담하게 할 수 있도록 규정22)하고 있으며, 비용 산정기준 등은 전송요구권 행사 대상 개인신용정보의 특성·처리비용 및 요청한 개인신용정보의 범위·양 등을 고려하여 금융위원회가 정하여 고시23)하도록 하고 있다. 다만, 산업활성화와 적절한 과금체계 마련을 위한 데이터 축적을 위해 산업출범 후 1년간 과금을 유예하였다. 워킹그룹 운영 시 국내외 유사 서비스에 대한 다양한 과금 사례24)를 조사하였는데, 현실적으로는 호출 건수 모델25)과 정액제 모델26)이 가장 이해하기 쉬운 것으로 파악되었다. 금융마이데이터에서는 추후 산업 운영 시 산출되는 통계를 바탕으로 전문기관의 용역 등을 통해 과금모델을 산출할 계획이며, 이해관계자들의 의견을 광범위하게 수렴하여 적정한 과금체계를 마련할 예정이다.

넷째. 타 산업 연계기반 확충
마이데이터는 국민들의 일상생활에 필요한 다양한 서비스를 목표로 하며, 특정 산업의 데이터만 활용해서는 이러한 목적을 달성하기 매우 어렵다. 공공, 보건, 금융, 유통, 통신 등 여러 분야의 데이터가 연결될 경우 국민들의 다양한 수요를 충족시킬 수 있는 서비스가 한층 수월해질 것이다. 이를 위해 개인정보보호법에 모든 산업분야에 마이데이터의 근거를 마련27)하기 위한 움직임이 있으며, 개인정보보호 위원회에서는 데이터 표준화28)도 진행하고 있다.

한편, 마이데이터가 모든 산업에 도입될 경우 정보 제공의무를 지게 될 정보보유자가 얼마나 많을지, 마이데이터 사업자가 얼마나 될지, 지금 단계에서는 상상하기가 어렵다. 이 경우 수많은 사업자간 데이터가 원활하게 전송되고, 정보주체의 권리가 제대로 보장받기 위해서는 표준화를 주관하고 참여자를 인증하는 등의 역할을 수행하는 산업별 지원센터29)가 필수적이다. 또한 중소규모 정보보유자의 전송부담을 완화하고, 마이데이터 사업자와 연결을 원활하게 지원할 수 있는 중계기관30)도 필요하다. 이러한 인프라를 통해 산업간 연계가 원활해지며, 이를 통해 수많은 사업자가 다양한 서비스를 개발할수 있는 기반이 될 것이다.

참고문헌

  • 1) 「금융분야 마이데이터산업 도입방안」 (2018. 7월, 금융위원회)
  • 2) 2018. 11월, 신용정보법 일부 개정법률안 국회 제출(김병욱 의원 대표발의)
  • 3) 실무준비를 위해 금융위 주관으로 데이터 표준API 워킹그룹(2019. 5월~8월(1차), 2019.10월~2021.1월(2차))을 구성하였으며, 서비스분과(간사:한국신용정보원)와 기술분과(간사:금융보안원)로 나누어 운영
  • 4) 금융업권, 전자금융업자 및 공공기관 등 5천여개 법인(농·수협조합, 새마을금고, 신협 등 개별 법인 기준시)
  • 5) General Data Protection Regulation(EU의 일반개인정보보호규칙. 2018.5.25.부터 적용)
  • 6) 핀테크사의 스크래핑 기반 통합조회 서비스 데이터 항목과 각 금융회사 홈페이지에서 고객이 조회할 수 있는 정보항목들을 수집하여 이를 대상으로 신용정보 해당 여부, 민감/가공정보여부 등을 검토하여 제공대상 정보항목을 선별하였음
  • 7) 해당 정보제공에 대한 별도 위험고지 및 별도 동의, 제삼자 제공 및 마케팅 목적 활용금지 등
  • 8) 금융업은 다양한 법령에 따라 사업을 운영하고 있으며, 이 과정에서 정보제공근거가 없거나 불명확한 경우가 많이 발견되고 있음
  • 9) 주민등록번호, CI, DID, 고객번호, 주소, 전화번호, 카드번호 등
  • 10) 개인정보 보호법 제24조의2
  • 11) Connecting Information, 연계정보
  • 12) 정보통신망법 제23조의2 개정(‘12.2월 시행)
  • 13) ‘21.5월말 혁신금융서비스 지정으로 일괄변환 근거 마련(마이데이터 통합인증을 위해 주민등록번호를 CI로 일괄 변환 가능)
  • 14) 신용정보법 제33조의2 제8항, 금융분야 마이데이터 기술가이드라인 제4장
  • 15) 고객이 개별 정보제공자가 제공 또는 인정하는 인증수단을 이용하여 각 정보제공자별로 개인신용정보 전송요구 및 인증을 수행하는 방식
  • 16) 고객이 통합 인증기관이 발급한 인증수단을 이용하여 1회 인증만으로 다수의 정보제공자에 개인신용정보 전송요구 및 인증을 수행하는 방식
  • 17) 안전하게 생성·보호된 개인키 및 공개키 인증서로서, 인증요구를 위한 전자서명을 생성하기 위해 개인키 인증정보(비밀번호, 생체정보등)를 요구하는 방식을 말함(금융분야 마이데이터 기술가이드라인 제4장 참조)
  • 18) 2021년 12월초 현재 인증사업자는 ① (공동인증서 발급기관) 금융결제원(범용/은행용), 코스콤(범용/증권용), 한국정보인증(범용/은행용), 한국전자인증(범용), ② (전자서명법상 인정받은 전자서명인증사업자) NHN페이코, 신한은행, 국민은행, 네이버, 금융결제원, 토스, 뱅크샐러드 등
  • 19) 금융위 보도자료(‘22.4.13, 「22년 본인신용정보관리업(마이데이터) 허가심사방향」 )
  • 20) 마이데이터 서비스 프로그램의 신용정보법령상 행위규칙 준수 여부, 표준API 규격 적합성 등을 서비스 출시 및 주요 기능 변경 전 사전심사
  • 21) 마이데이터 서비스 관련 시스템·앱 일체에 대해 금융보안원 점검기준에 따라 전금법상 평가전문기관이 연 1회 이상 보안취약점 점검 수행
  • 22) 제22조의9 제6항
  • 23) 신용정보법 시행령 제18조의6 제11항
  • 24) (해외) 월정액, 종량제, 일부무료+추가분 과금 등, (국내) 금융결제원의 오픈뱅킹 수수료
  • 25) API 이용 건수별로 요금 부과(마이데이터 사업자의 불필요한 API 이용을 최소화할 수 있으나, 부담 과도 우려)
  • 26) API 누적 이용 건수를 기준으로 구간별 사용료 책정(API 누적 이용 건수별로 과금액을 유기적으로 조정가능하며, 마이데이터 사업자가 성장하는 정도에 따라 비용 부담 가능)
  • 27) 개인정보보호법 개정안 국회 계류(‘21.9.28 정부안, ’22.1.5 민병덕 의원안 등)
  • 28) 4차산업혁명위원회 데이터특별위원회, 마이데이터 데이터 표준화방안(‘21.9.28)
  • 29) 금융분야에서는 정보항목 표준화, 과금체계 수립 및 운영, 법·제도 개선제안, 분쟁조정, 기술규격 마련, 참여기관 관리·등록, 회의체 및 Help Desk 운영 등을 위한 지원센터 가동중
  • 30) 금융분야에서는 신용정보원, 금융결제원, 코스콤 등이 업권별로 분담하여 중소규모 정보제공자를 위한 AP전송시스템을 구축함