다시 마이데이터의 미래가 불투명해졌습니다. 지난 7일 금융당국은 온라인 플랫폼의 금융상품 추천·비교 서비스를 ‘광고’가 아닌 ‘중개’로 해석해 관련 업체의 시정을 요구했습니다. 그 업체는 다름 아닌 마이데이터 기업입니다.

네이버파이낸셜, 카카오페이, 토스 등 마이데이터 인허가를 받아가며 내년 1월 본격적인 시행을 준비하던 온라인 플랫폼의 발등에 불이 떨어졌습니다. 이제 금융업자로 등록하지 않은 이상, 금융 마이데이터를 활용해 관련 서비스를 제공할 수 없습니다. 펀드, 연금 등 다른 금융사 투자상품 비교 · 추천은 물론 신용카드나 보험 상품을 연계 판매하는 것도 불법입니다.

혼란 속 마이데이터 정책, 왜 이렇게 된 것일까요? 법무법인(유) 광장 고환경 변호사를 만나 물었습니다.

고환경 변호사는 2018년 데이터 3법 개정 과정에 민간 전문가로 참여, 가명정보 개념 도입·활용·결합 등 데이터 활용을 위한 제도 개선에 기여했으며, 이 공로로 2019년 대통령 표창을 받았습니다. 마이데이터 정책 관련 현재 4차산업혁명위원회 데이터 특별위원회 위원, 4차 산업혁명 규제-제도 혁신 해커톤 개인정보보호분과 개인정보이동권 의제 리더, 4차산업혁명위원회 과학기술 혁신위원회 위원, 금융보안원 정보보호 관리체계 인증위원회 위원 등으로 활동하고 있습니다.

Q. 우선 기업 고객이 왜 찾아오는지 궁금하다

기업의 디지털 관련 사업 라이센스 획득부터 데이터 보호, 관련 규제 일반에 대한 자문에 응하고 법률 지원을 하고 있다. 법무법인 내 디지털금융팀을 별도로 운영하고 있으며, 최근 우리은행과 SK플래닛 등 여러 기업들의 마이데이터 플랫폼 구축 사업을 함께 추진했다.

특히 개인정보보호법 등 관련 규정 위반 시 과징금 등 제재수준이 높고, 또 개인정보보호법과 신용정보법 산에 약간씩 해석상의 혼란도 약간 있다. 이렇게 법들이 각각 다르다 보니 수범자(법률을 준수해야 하는 사람 혹은 기업) 입장에서는 법을 준수하기가 어렵기 때문에 이런 해석상의 차이를 물어보는 요청이 많다.

Q. 그래서인지 마이데이터 사업을 앞두고 기존에 나눠졌던 법 체계가 '개인정보보호법'으로 일원화된다. 우선 일원화된 개인정보보호법이 어떤 내용인지 설명해달라

정확하게는 개인정보 보호법, 정보통신망법, 신용정보법 등 데이터 3법이 개정되면서 각각 나눠졌던 개인정보과 관련된 규정들, 특히 정보통신망법에서 규정하던 온라인 이용자의 개인정보 보호 관련 규정이 이제 개인정보 보호법으로 이관해 특례 규정으로 정비됐다. 올해 1월 6일자로 개인정보보호위원회가 개인정보보호법 추가 개정안을 입법예고했는데 크게 4가지로 주요 내용을 말할 수 있다.

첫번째는 특례 규정을 통해 개인정보처리자에 대한 의무를 정리한 것이다.

두번째는 법 위반 시에 기존의 형사 처벌 중심 제재에서 과징금 도입 등 경제법으로 개정되어 강화됐다.

세번째는 개인정보주체의 자기 정보 결정권을 실질적으로 강화하기 위해 개인정보 이동권 조항을 도입 · 확대하고, 기업의 자동화된 데이터 처리 등 프로파일링(Profiling)에 대해 설명요구·이의제기를 할 수 있는 대응권도 도입됐다.

마지막으로, 여러 가지 국외 이전 조항 등 GDPR 적정성 결정과 관련된 부분이 개정됐다.

Q. 이것이 왜 마이데이터 사업과 관련이 있나?

마이데이터 사업의 핵심은 개인신용 정보의 통합이다. 이것을 사업적인 맥락에서 보면 결국 어떻게 데이터를 분석 · 가공하고, 또 경우에 따라 추가적으로 데이터를 생성해 이에 기반한 금융 상품 추천이나 관련 서비스를 제공하기 위해 설계된 것이다. 개인정보를 다룬다는 부분에서 기업이 요건을 모두 갖췄다고 해서 쉽게 라이센스를 줄 수는 없다.

또 정보 보안 문제도 있다. 특히 마이데이터 사업 계획의 타당성을 평가할 때도 보안 부분이 중요하게 평가된다. 개인 정보 주체의 데이터를 얼마나 정보 보호 맥락에서 잘 관리하고, 또 그것들을 정보 보호 주체 이용자들의 혜택이 제공되는 맥락으로 사업을 계획하고 있느냐에 중점을 둔다고 전해진다.

Q. 마이데이터 사업이 내년으로 연기됐다. 준비할 게 많아서 미뤄지는가?

앞서 개인정보 이동권 조항이 현재는 신용정보법의 전송요구권으로 있기 때문에 금융 분야가 먼저 마이데이터 사업을 진행하고 있는 상황이다.

이 전송요구권은 33조 2에서 규정하고 있고, 마이데이터와 관련된 라이센스 규정은 별도로 업자로 구분해 허가 규제를 하고, 그와 관련된 행위 규칙은 22조에 부에서 규정하고 있다. 그리고 시행령의 신용 정보 감독 규정에서 자세하게 또 다루고 있다. 하지만 이 역시 부족하다는 의견으로 워킹 그룹을 별도 구성해 서비스 · 기술 가이드라인도 만들어 배포했다.

이런 상황에서 기업이 API 구축에 워낙 시간과 노력이 많이 들다 보니 또 이슈가 붉어진 것이다. (현재 금융 당국은 API 의무화 시행 기한 내년 1월로 미뤘다)

여기에 인증서 문제도 발생했다. 초기에는 공동인증서(구 공인인증서) 위주로 의견이 모였지만, 최종적으로 사설인증서도 허용하는 것으로 마무리 됐다. 이외에도 통합 인증 범위를 50개로 할 것인지 10개로 할 것인지, 아니면 한번에 다 가능하도록 할 것인지 등 프로세스에 대한 시행착오가 많다.

"마이데이터 사업의 BEP도 달성하기 어려워지니,

사업 자체에 대한 의문이 생길 수 밖에 없다"

Q. 마이데이터를 준비하는 기업으로서는 갈팡질팡 하겠다

준비할 것도 많은데, 프로세스까지 혼잡하니 불만이 상당하다. 게다가 최근에 금융소비자보호법이 전면 시행되면서 영향도 받게 됐다. 사실 마이데이터의 고유 업무는 개인정보에 대한 통합 조회라고 할 수 있다. 그래서 기업은 이로부터 부가적인 업무를 통해 수익을 창출해야 한다. 이게 투자 상품 추천이나 대출 중개 등의 금융 관련 서비스로 나올 예정이었다.

하지만 금소법으로 관련 서비스가 불투명해졌다. 금소법은 핀테크 플랫폼의 타깃 금융 서비스를 ‘중개 판매’로 규정했기 때문에 이제 마이데이터 사업자는 별도로 ‘금융상품 판매대리 및 중개 사업자’ 라이센스를 받아야만 한다. 감독 규정 상 데이터를 활용할 수 있는 금융상품 추천, 타깃 광고 등 모두 다 라이센스 취득 후에야 할 수 있다.

그동안 기업은 사용자의 데이터를 받고 이에 따라 상담해주는 프로세스라고 여기고 있었는데, 이제 이런 행위 자체가 안된다고 하니 마이데이터 사업의 BEP도 달성하기 어려워졌고, 사업 자체에 대한 의문이 생길 수 밖에 없다.

물론 형식만 광고/상담이고 마치 마이데이터사업자가 자신이 금융회사인 것처럼 금융상품을 판매하는 경우 문제가 있고, 금융감독당국에서 이 점을 우려하는 것은 이해할 수 있다. 그러나 이러한 우려를 감안하더라도 금소법의 본격적인 시행시점(9월 24일)에 임박해서 금지대상 위주의 보도자료가 발표됨에 따라 데이터 사용 자체를 위축시키는 결과가 됐다. 금소법의 합리적인 해석을 통해 허용되는 사업에 대한 구체적인 가이드라인 제시도 필요해 보인다.

Q. 기업들의 목소리는 어떤가

생각지도 못했던 이슈라서 대응을 위해 애쓰는 모습이다. 지금의 데이터 3법을 개정된 계기는 2018년에 정부의 데이터 경제 활성화 정책에 따라 디지털 뉴딜까지 이어지는 것이다. 어떻게 보면 금융 마이데이터 사업자에게 데이터 시대를 여는 첨병의 역할을 하도록 주어진 셈이다. 사업자들도 정부 정책에 따라 데이터 관련 사업을 추진하는 와중에 이런 상황까지 오게 된 것이다.

물론 라임 옵티머스 사태 등 금융 소비자를 보호한다는 맥락으로 규제를 강화하고 불명확한 부분을 정리한다는 측면도 있다. 하지만 마이데이터 이슈와 플랫폼 규제 이슈는 좀 다르게 가져가야 되는데, 지금 모든 사업자들이 플랫폼으로 적용되고 있다. 이런 온라인 플랫폼은 다수의 거래 당사자를 중개해 주는 행위가 비즈니스 모델일 수밖에 없다.

규제 당국은 이미 플랫폼이 거래상 지위를 남용할 가능성이 있다고 판단한 것인데, 우리나라의 경우 몇몇 사업자들 빼고는 대부분이 아직 이제 성장단계다. 이제 막 시작하려고 준비한 것인데, 시작도 전에 규제가 강하게 들어오니 준비했던 많은 서비스들도 위축되면서 이후 타임라인 자체가 보이지 않게 됐다.

규제 시그널이 의도치 않은 위축 효과 만들고 있어,

신뢰를 어떻게 구축할 것인지 중요해

Q. 어느 정도의 규제는 필요하지 않을까

나쁜 규제는 없애야 되고 좋은 규제는 가지고 있어야 된다. 예컨대 식품이나 환경 규제는 필요하다. 데이터 규제 역시 그런 맥락에서 정당성은 있다. 하지만 데이터는 활용하지 않으면 의미가 없다. 제일 안전한 데이터 보호 방법은 데이터를 쓰지 않는 것이다.

그렇기 때문에 사업자의 핵심 이슈는 신뢰다. 사업자는 정보 주체로부터 데이터를 받아 활용하고 책임을 지고, 이런 맥락에서 제도 역시 세팅됐다. 금융 마이데이터 사업 역시 민감한 정보이니 만큼 신뢰할 수 있는 사업자에게 허가되어야 한다. 이 신뢰를 어떻게 만들 것인가가 중요하다. 지금 상황은 사업자에게만 요구하고 있다.

특히 레거시가 강한 금융 분야에서 카카오 등 새로운 사업자가 유입되고 다양한 서비스가 만들어지는 금융 혁신이 가능했던 것은 우리 사회가 유연해졌기 때문이다. 그런데 규제로 인한 시그널이 의도치 않은 위축 효과를 만들고 있다.

Q. 마지막으로 마이데이터가 가야할 방향성에 대해 묻고 싶다

크게 보면 마이데이터 사업은 포용적 금융을 위한 정책이다. 신용이 거의 없거나 고금리 사금융을 이용할 수밖에 없는 금융 취약 계층에게도 데이터를 통해 금융 서비스를 제공하려는 의도를 가지고 있다.

이런 마이데이터 정책이 성공하려면 신뢰를 전제로 법 제도적으로 잘 구현하고, 사업자에게 데이터를 활용하는 역할을 맡겨야 한다. 만약 그 데이터를 부당하게 이용하는 경우 엄격하게 제재하면서 신뢰를 져버리는 사업자는 사실상 거의 사업을 못하도록 해야한다.

그런데 지금 시작부터 허들이 높다. 마이데이터 라이센스를 부여했다면 사업자가 지속 가능한 경영을 할 수 있도록 합리적이고 예측 가능한 규제로 전환하고, 창의적인 서비스 제공이 가능하도록 인센티브를 줘야 된다고 본다. 지금은 숨 쉴 영역이 잘 안 보여서 우려된다. 우선 금융소비자보호 관련 법부터 정비해 마이데이터 사업자들이 금융 데이터를 통해 좋은 서비스를 제공할 수 있는 환경으로 변하길 바란다.