들어가며

2023년 금융보안원은 디지털금융과 사이버보안 분야에서 주목할 10대 이슈로서 ‘보안 위협 및 대응’, ‘디지털 신기술 및 리스크 분야’, ‘컴플라이언스 및 전략’을 세분화하여 발표한 바 있다.

특히 흥미를 끄는 사항은 보안 위협 및 대응 분야로 여기에는 ① 엔데믹 취약점이 등장함에 따라 보안 취약점에 대한 관심과 주요 요망 ② 협박 및 갈취 범위를 확대하는 랜섬웨어 등 진화하는 사이버 위협에 대응하기 위한 침해사고 대응 훈련 ③ 정보공유 참여 및 제로 트러스트로의 보안 패러다임 전환 등의 중요성 ④ 디지털 전환의 필수 재료로 손꼽히는 오픈소스 사용 증가와 복잡해지는 소프트웨어 공급망을 대상으로 한 사이버 위협의 심화 가능성 ⑤ 사이버 공격의 주요 대상인 디지털자산에 대한 글로벌 규제 논의에 따른 국내 제도의 국제적 정합성을 고려한 디지털자산 관련 제도 마련 등을 포함하고 있다.

또한 디지털 신기술 및 리스크 분야에서는 블록체인, 클라우드 등의 새로운 기술과 그에 따른 보안 이슈가 주목되며, 컴플라이언스 및 전략 분야에서는 금융기관의 합법적 규정 준수와 관련된 이슈가 예상된다. 이외에도 5G 네트워크의 등장으로 인한 새로운 보안 위협, 생체 인식 기술의 발전으로 인한 개인정보 유출 등이 예상되면서 이에 대한 대응책 마련이 필요하다.

한편, 2023년 2월 개인정보보호법 개정안이 국무회의를 통과하였다. 주요 내용으로는 ‘전 분야 마이데이터 확산을 위한 개인정보 전송요구권 신설’, ‘동의에만 의존하던 개인정보 처리 관행 개선’, ‘과징금 상한액 기준을 관련 있는 매출액에서 전체 매출액으로 조정’ 등을 들 수 있다.

본고에서는 2023년 디지털금융 및 사이버보안 분야의 주요 이슈와 관련하여 지난 3월 개정된 개인정보보호법상 개인정보 전송요구권 내용과 마이데이터 사업 활성화 방안을 살펴본 후 남은 과제를 제시해 본다.

개정 개인정보보호법 추진 배경

2020년 8월 5일 시행된 데이터3법 개정(개인정보보호법·정보통신망법·신용정보법)은 주로 개인정보보호의 컨트롤 타워 구축 및 데이터 경제 활성화를 위한 초석 마련에 중점을 두었다. 무엇보다도 인공지능, 인터넷 기반 정보통신자원 통합(클라우드), 사물인터넷(IoT) 등 신기술을 활용한 데이터의 이용과 이를 통한 신산업 육성이 국가의 큰 관심사였던 것이다.

데이터3법의 개정으로 개인정보보호 관련 업무가 개인정보보호위원회로 통합·이관되고, 정보통신망법상의 정보통신서비스제공자에 대한 특례규정이 개인정보보호법으로 통합되어 개인정보 관련 법령이 일원화되고, 가명정보에 관한 규정 등의 도입을 통해 데이터 이용이 보다 활성화될 수 있는 근거가 마련된 점은 매우 시사하는 바가 크다고 할 수 있다. 하지만 개정 당시 차기 입법과제로 변화하는 데이터 환경에서의 다양한 한계점도 노출되었다.

개정 당시 차기 입법과제로는 우선, 정보주체인 국민의 권리를 강화해야 한다는 주장이 제기되었다. 또한 데이터 시대로의 전환에 맞지 않는 현실과 괴리된 불합리한 규제가 여전히 존재하고 있었는데, 예를 들면 필수적 사전 동의 제도라든가 경직된 국외 이전 요건, 온·오프라인 규제 이원화 등을 들 수 있다.

이번에 개정된 개인정보보호법은 2011년 9월 30일 동법이 제정된 이래 민·관·산·학의 의견을 반영한 첫 번째 정부안으로 국민 신뢰 기반의 디지털 대전환을 선도하는 법적 기반이 될 것으로 기대되고 있다. 하지만 무엇보다도 우리의 관심을 끄는 것은 ‘개인정보 전송요구권(이동권)’과 ‘자동화된 결정에 대한 설명요구권 및 거부권’에 대한 사항이다.

정보주체의 권리 확대

이번 개정에서 가장 중요한 사항 중 하나는 개인정보 전송요구권으로 평가할 수 있다. 데이터 경제 활성화로 개인정보가 대량 수집·유통되고 있으나 정보주체는 본인 정보를 자기주도적으로 유통·활용함에 있어서는 한계가 있었다. 정보주체는 자신의 개인정보를 먼저 보유한 특정 회사에 처리하도록 고착되지 않고, 후발 회사라도 더 나은 서비스를 제공하면 자신의 개인정보를 처리할 수 있도록 이전을 허용하는 것이 바람직할 수도 있다는 점을 고려하여, 개인정보보호법이 이 내용을 도입한 것이다.

이미 유럽연합 GDPR은 제20조에서 정보주체가 컨트롤러에게 자신의 개인정보를 체계적 형식으로 제공받거나, 다른 처리자에게 이전할 것을 요구할 수 있는 권리를 인정하고 있고, 신용정보법 제33조의2는 개인 신용정보주체가 신용정보제공·이용자 등에게 자신의 신용정보를 본인 또는 신용정보관리회사 등에게 전송하여 줄 것을 요구할 수 있는 권리를 부여하고 있었다.

이 점을 고려하여 개인정보보호법은 본인 정보를 본인 또는 제3자(다른 개인정보처리자 또는 개인정보관리 전문기관)에게 전송을 요구할 수 있는 일반적 권리인 개인정보 전송요구권을 도입한 것이다(제35조의2). 전송요구의 대상이 되는 정보의 범위, 전송요구의 방법, 전송의 기한 및 방법, 전송 요구 철회의 방법, 전송요구의 거절 및 전송 중단의 방법 등 필요한 사항은 대통령령으로 정하게 된다.

인공지능의 발전 등에 따라 자동화 결정(신용평가, 인사채용 등)이 광범위하게 활용되면서 특정인에 대한 감시·편견 등의 프라이버시 이슈가 심화할 우려가 있다. 개인정보가 소홀했던 AI 챗봇 ‘이루다’의 이슈는 혁신적이고 편리한 기술이라도 개인정보가 안전하게 보호되지 못하면 국민(이용자)들의 선택을 받을 수 없고, 윤리적 측면도 중요하다는 정책적 시사점을 보여주는 사례이다. 정보주체가 알기 어려운 방식의 자동화된 결정으로 정보주체의 개인정보 자기결정권이 침해될 수 있어 대응권 보장이 필요하다고 하겠다.

GDPR 제22조는 정보주체가 컨트롤러에게 프로파일링 등 본인에 관한 법적 효력을 초래하는 자동화된 처리에만 의존하는 결정의 적용을 금지하고 있다. 또한 신용정보법 제36조의2는 개인 신용정보주체가 신용정보제공·이용자 등에게 자동화 평가 여부와 그 결과에 대한 설명 요구 및 자동화 평가 재산출 등 요구권을 보장할 수 있도록 하고 있다. 다만, 법률에 특별한 규정이 있거나 상거래 관계 설정·유지가 곤란한 경우 적용은 배제된다.

이를 토대로 하여 개인정보보호법은 자동화된 결정에 대한 설명요구권 및 거부권을 도입하여 정보주체의 권리를 강화한 것이다(제37조의2). 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보를 처리하여 이루어지는 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당 결정에 대한 거부 및 설명요구권 등을 신설은 이번 개정에서 매우 의미있는 조치일 것이다.

시사점

2020년 데이터3법 중 신용정보법 개정 시 새롭게 도입된 ‘본인 신용정보 관리업’, 즉 마이데이터 관련 규정들은 금융 소비자들의 개인정보 이동권 행사 보장 및 금융 정보 통합 조회 기반 신규 서비스 확대를 도모했다는 측면에서 ‘마이데이터 산업’의 토대를 구축한 것으로 평가할 수 있다.

마이데이터는 금융사·기관, 통신사, 의료기관·병원 및 각종 공공기관 등이 보유 중인 개인정보들을 정보 주체인 개인이 해당 업체 및 기관에 요청하여 제3의 업체나 기관에 전달·이관하도록 함으로써, 개인이 보다 나은 서비스, 새로운 서비스를 이용하고 경제적 이윤까지 취할 수 있도록 하는 내용을 담고 있다.

정보 주체인 개인이 스스로 본인 신용정보를 관리할 수 있도록 제도화·법규화된 상태를 기반으로 마이데이터 산업이 활성화·보편화되면, 개인들은 자신의 신용정보 및 금융 거래 내용 등을 과거처럼 무조건·무차별적으로 관련 기업들에게 개방·제공할 필요가 없다. 다만 스스로 원하거나, 동종업계의 다른 업체보다 양질의 서비스를 제공하는 업체에게 개인정보를 선별적으로 제공함으로써 자신의 정보를 보다 주도적으로 관리할 수 있게 된다.

이와 같은 상황에서 주요 데이터 관리 업체와 긴밀한 업무 협력 및 거래 관계를 맺고 있는 일반 기업들에게도 고객 개인정보의 합법적인 획득과 거래, 효과적인 활용 등은 비즈니스 성과와 브랜드 인지도·선호도 등을 결정짓는 핵심 요소가 될 것이다.

개인정보 주체의 강화와 마이데이터 사업의 연관성

개인이 공공 또는 민간에 제공한 정보를 제3자에게 전송하고 이를 바탕으로 신용평가, 자산관리, 건강관리, 맞춤형 상품 추천 등 데이터 기반의 다양한 서비스를 활용할 수 있는 일련의 과정을 의미하는 마이데이터 사업에서 핵심적인 사항은 자신의 데이터를 제3자에게 전송할 수 있도록 하는 ‘개인정보 전송요구권’이다. 특별법상 인정되고 있던 동 권리가 일반법인 개인정보보호법에 마이데이터 사업이 전분야로 확대되는 것을 의미한다. 개정 전 마이데이터는 신용정보법, 전자정부법 등 개별적 개정에 따른 금융, 공공 등 일부 분야에서 운용되고 있었다.

개인정보보호법상 정보주체의 권리 확대 방안으로서 ‘개인정보 전송요구권’과 ‘자동화된 결정에 대한 설명요구권 및 거부권’의 도입은 기존의 ‘금융 마이데이터 서비스’로 한정되었던 한계를 벗어나 마이데이터 서비스를 ‘공공, 의료, 통신 등’ 산업 전 분야로 확대할 수 있는 기반을 제공한 것으로 평가할 수 있다. 공공 마이데이터 서비스에 참여하는 기관으로는 행정정보 보유 기관이거나 행정기관과 업무협약을 맺은 기관이고, 공공 마이데이터의 정보제공기관은 행정안전부, 국세청, 외교부, 법무부 등 14곳으로 알려져 있으며, 이 정보를 이용할 수 있는 기관으로는 은행, 저축은행, 카드사, 케피털사, 핀테크 등 70여 곳에 이른다.

글로벌 기업인 애플은 헬스 전문 앱을 통해 의료 기관의 개인정보를 다운로드 받은 후 이 정보를 다른 건강 관련 앱과 공유·활용하는 기능을 탑재하여 보급하였다. 관련 업종·기업 간의 협업 인프라 및 플랫폼·앱의 구축과 개발은 마이데이터 산업 활성화의 필수 토대가 된다.

개인정보주체의 권리강화로서 개인정보 전송요구권과 자동화된 결정에 대한 설명요구권 및 거부권의 개인정보보호법상 도입은 디지털 시대로의 급격한 전환에 따른 개인정보 관련 법제의 시대적 정합성을 높이는 계기와 인공지능 등 신기술 환경의 대두로 인한 기업의 불확실성을 빠르게 해소하는 기회를 제공한 것으로 평가할 수 있다. 현재 전 세계 각국은 4차 산업혁명 시대를 선도하기 위해 마이데이터를 기반으로 한 융합 데이터 산업 및 관련 인프라를 구축하기 위해 국가적 역량을 모으고 있고, 우리나라 역시 마찬가지다. 이번 개인정보보보법 개정이 미래의 마이데이터 기반 시장을 지속적으로 성장시키는 초석이 될 것으로 기대된다.

개선과제

마이데이터 활성화를 위해서는 4가지의 개선과제가 필요하다. 첫째 국민이 서비스를 편리하게 이용할 수 있는 마이데이터 지원 플랫폼을 구축해야 한다. 마이데이터 종합지원 플랫폼은 안전하고 편리한 개인정보 연계와 전송, 정보주체 요구와 이행, 사업자 인증, 식별 등 기술지원 기능을 하게 된다. 이 플랫폼의 구축은 정보주체의 권리를 보장하면서 전 분야에서 더 편리하고 신속하게 마이데이터를 이용할 수 있게 될 것이다. 금융이나 생활소비, 의료 등 개별 기업에 흩어진 개인정보를 안전한 개인정보저장소에 모으고 이용자가 직접 데이터를 관리·활용할 수 있는 기능을 하게 된다. 이 플랫폼은 정보주체의 데이터를 수집할 수 있어 정보주체에게 데이터 자기결정권을 돌려줄 뿐 아니라 수집된 데이터 간의 결합도 용이하게 하여 개인 데이터의 다양한 활용을 가능하게 한다는 점에서 매우 중요한 요소가 아닐 수 없다.

둘째 칸막이 없는 데이터 이동을 위해 데이터 형식과 전송체계 표준화도 이루어져야 한다. 즉, 금융, 의료, 공공 분야에서 성·이름 또는 결제금액의 표준 현황을 공통으로 사용할 수 있는 명칭으로 통일시켜 줄 필요가 있다. 이와 같이 마이데이터 표준화는 모든 참가 기관이 같은 의미로 데이터를 이해하도록 서로 다른 데이터 형식과 전송 방식 등을 통일하여 분야 간 데이터 이동을 원활하게 하는 작업에 해당한다. 금융이나 공공 등 일부 분야에만 도입된 마이데이터를 전 분야로 확산시키기 위해 반드시 필요한 과정이다. 마이데이터 표준화의 주요 내용으로는 ‘분야 간 마이데이터 공통표준항목 및 표준용어사전 개발’, ‘전송유형별 절차 구체화, 전송메세지 규격 확립 등 데이터 전송방식 표준화 및 마이데이터 인증·보안 체계 마련’ 등이 포함되어야 할 것이다.

셋째 마이데이터 정보 제공의 과금 체계 합리화를 들 수 있다. 기업의 참여를 독려하기 위하여 마이데이터 과금 체계를 마련하는 것은 중요하다. 현재 금융 마이데이터 서비스를 위한 애플리케이션 프로그래밍 인터페이스(API) 정보 전송량이 점증하고 있지만 과금 체계가 마련되어 있지 않아 정보 제공자가 부담을 호소하고 있는 실정이다. 금융권은 데이터 전송을 위한 인프라 구축과 운영 비용 등을 감안하여 과금 체계를 마련해야 한다는 입장인 반면, 핀테크 업계는 아직까지 마이데이터의 수익모델을 찾지 못하고 있는 상황에서 비용을 부담해야 한다는 점에 우려를 나타내고 있다.

마지막으로 마이데이터와 데이터 유통 시장의 연계를 강화하는 것이다. 마이데이터 정보의 재가공에 대한 논의도 요구된다. 예를 들면, 개인의 소득 수준이나 자산 건전성에 관한 개인정보, 이와 관련된 신용정보 등은 다양한 산업군에서 활용 가능성 있는 정보에 해당한다. 고가의 상품을 제공하는 기업의 경우 고소비 고객군을 발굴하고 타깃 홍보를 하고자 하는 경우, 또는 대규모 부동산을 건축을 위한 장소 선정 시 지역상권 분석을 의미 있는 정보로 평가 받을 수 있을 것이다. 이와 같이 마이데이터에 활용되는 데이터를 민간 기업에서도 활용할 수 있도록 하는 데이터 유통시장의 연계 강화를 고려해 볼 필요가 있다.

2023년 개인정보보보호법에 도입된 개인정보주체의 권리보호 강화는 마이데이터의 전 분야 확산을 감안한 조치로 이해된다. 마이데이터의 구현은 국민으로 하여금 데이터에 대한 적극적인 데이터의 관리 및 통제 가능성을 부여할 뿐만 아니라 핀테크 기업 등의 혁신적인 서비스 창출이 기대된다.

개인정보 전송요구권의 도입은 실적 좋은 특정 프라이빗 뱅킹에 신용·금융 정보를 우선적으로 제공하여 개인화된 프리미엄 재테크 서비스를 받게 되는 혜택을 누릴 수 있을 것이고, 건강·신체 정보를 인지도 높은 건강관리 업체에 독점적으로 이관하여 맞춤형 건강관리 서비스를 받을 수 있는 기회 등 다양한 긍정적 기능이 기대되고 있다.

이러한 기대감에도 불구하고, 마이데이터의 양이 방대하기 때문에 개인정보의 유출과 그로 인한 피해를 감안하여, 개인의 민감정보까지 전송하고 활용할 수 있는 높은 수준의 보안이 필수적이라 할 것이다.

* 저작권법에 의하여 해당 콘텐츠는 코스콤에 저작권이 있습니다.
* 따라서, 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금합니다.