데이터 3법(개인정보보호법·신용정보법·정보통신망법)의 시행과 함께 정보주체의 전송요구권에 따라 다양한 정보를 통합 관리해 주는 마이데이터 사업이 가능해졌다.

통상 마이데이터 사업으로 불리는 ‘본인신용정보관리업’이란 개인인 신용정보주체의 신용관리를 지원하기 위하여 신용정보제공자나 이용자 또는 공공기관이 보유한 개인신용정보 등을 수집하고, 수집된 정보의 전부 또는 일부를 신용정보주체가 조회ㆍ열람할 수 있게 하는 업무를 제공하는 서비스로 금융위원회의 허가를 받도록 규정하고 있다.

마이데이터 사업에 진출하는 기업들 입장에서는 은행, 카드, 보험, 전자금융업체, 통신사 등 다양한 곳에서 처리되는 정보들을 최대한 수집하고, 소비자가 쉽게 확인할 수 있도록 제공하여, 이를 바탕으로 소비자에게 필요한 상품을 추천하거나 정보를 제공함으로써 수익을 창출하려고 할 것이다.

정보주체 입장에서는 본인의 정보를 주체적이고 적극적으로 관리, 통제해 은행, 보험, 카드, 공공 정보 등 개별 금융회사에 각각 접근해 정보를 수집할 필요 없이 쉽게 금융정보에 접근이 가능하고, 자신에게 특화된 정보관리, 자산관리, 신용관리 등 다양한 분야에서 개인적인 생활에 능동적으로 활용할 수 있도록 도와줄 수 있는 서비스를 합리적인 비용으로 제공 받을 수 있는 기회가 될 수 있다.

하지만 정보주체가 본인의 정보를 적극적으로 관리하고 통제할 수 있을 것이라는 기본 전제 조건이 충분하게 지켜질 수 있는지는 아직 의문이다.

현재도 동의라는 절차를 형식적인 '클릭'으로 이해하는 소비자가 많은 상황이고, 사업자는 동의를 받았다는 이유로 손쉬운 면책을 얻을 수 있는 구조에서 전송요구권의 행사 방식이 그렇지 않으리란 보장이 없다.

따라서 사업자는 정보주체에게 어떤 정보를 어디로 전달하는지에 대해 충분히 확인할 수 있도록 알려주는 것이 중요하고, 위탁이나 3자 제공 등 주요 내용에 대해서 형식적인 동의가 아닌, 고객을 위한 서비스를 제공한다는 관점에서 고민하고 비지니스를 만들어 가야 한다.

또한 예비허가 사전 신청서를 제출한 63개 업체와 데이터전문기관 등에 대한 정보보호 안전성을 충분하게 확보할 수 있어야 한다.

사업자가 제공받아 처리할 수 있는 정보의 분야와 데이터의 종류가 방대하기 때문에 이에 대한 보호가 충분하게 이루어지지 않을 경우, 심각한 프라이버시 침해가 발생할 수 있다.

데이터전문기관의 경우 정보집합물을 결합하거나 제공, 보관할 수 있기 때문에 불필요하게 과도한 정보를 축적할 소지가 있다.

기본적으로 가명이나 익명정보를 처리한다고 해도, 식별 가능성을 완전히 제거했다고 볼 수 없기에 목적이 달성된 경우 즉시 파기하도록 절차와 검증을 강화할 필요가 있다.

현재 진행중인 일련의 금융 혁신 서비스들은 개인정보보호에 대한 책임을 금융 분야로 한층 이동시키고 있는 모습이다.

기존의 대형 금융기관이 아닌, 혁신을 우선시 하는 중소규모 기업에게 개인정보보호와 혁신 서비스 사이에서 ‘안전한 균형’을 금융위원회나 관련 기관에서 충분하게 대응할 수 있을지에 대한 우려가 아직 존재한다.

이러한 우려를 해소시키기 위해서는, 실제 수요자인 일반인에게 개인정보의 이동권이 의미하는 리스크와 그에 따른 동의의 중요성 등 기본적인 보안 수칙을 명확하게 이해시켜주기 위한 다양한 노력부터 시작해야 한다.

다양한 비즈니스를 수행하는 사업자 입장에서는, 정보통신망법과 신용정보법, 개인정보보호법 등 다양한 법률 요구사항이 복잡하게 얽혀있는 상황에서, 이에 대응할 수 있는 거버넌스 체계를 명확하게 수립 할 필요가 있다.

마이데이터 서비스가 활성화 될수록 개인정보의 ‘COPY’를 통해 대량의 개인정보가 다양한 곳으로 확산될 수 있다는 사실을 충분하게 인지하고 그에 따른 적절한 보안 대책이 마련되어야 한다.

마이데이터가 프라이버시 침해의 위험성만 높이게 되는 주인 없는 데이터가 되도록 만들어선 안 될 것이다.

[글. 박나룡 보안전략연구소 소장/ isssi@daum.net]

★정보보안 대표 미디어 데일리시큐!★