금융업계 신사업 동력으로 떠오른 본인신용정보관리업(마이데이터) 서비스가 지난 5일부터 전면시행됐다. 마이데이터는 개인 신용정보를 한 곳에 모아 재무 현황·소비 습관 등을 분석해 금융상품을 추천하거나 자산·신용관리를 돕는 맞춤형 서비스다.

현재 은행, 카드, 증권, 핀테크 등 33개 사업자가 마이데이터 서비스에 우선 참여했으며 올 상반기 중 21개의 사업자가 추가로 뛰어들 예정이다. 금융사를 비롯해 핀테크·빅테크 간 경쟁이 격화될 것으로 전망되는 가운데 서비스 연착륙을 위한 보안 강화가 시급하다는 지적이다.

◆정보 유출 사고 잇따라…보안 우려 확산

지난달 네이버파이낸셜의 마이데이터 서비스에서 100여 명의 고객 정보가 노출되는 사고가 발생했다. 유출된 정보는 고객의 은행·증권·카드 정보, 송금·이체 내역 등이다.

사고 이후 보안 조치를 강화했으며 2차 피해는 없다고 밝혔지만 서비스 시행 초기, 대형사에서 사고가 발생했다는 점에서 고객 불안감이 확산하고 있다. 마이데이터 서비스 이용을 위한 수집 정보가 방대한 만큼 금융소비자의 보안 우려를 불식시키는 것이 급선무라는 지적이 나온다.

앞서 금융당국은 마이데이터 서비스에 기존 '스크린 스크래핑' 방식이 아닌 '응용프로그램 프로그래밍 인터페이스(API) 방식'을 의무화해 보안성을 강화했다고 강조했다. 스크래핑 방식은 사업자가 고객 대신 금융사 사이트에 접속하고 화면을 읽어 필요한 정보를 자동으로 추출해 가공하는 기술이다. 다만 개인이 업체에 아이디와 비밀번호 등 인증정보를 제공해 필요 이상의 정보에 접근할 수 있는 위험요소가 있어 보안 문제 발생 위험이 높은 것으로 알려졌다.

반면 API는 다른 프로그램이 특정 기능·데이터에 접근할 수 있도록 미리 정한 통신규칙으로, 금융기관이 업체에게 직접 데이터를 전송하는 방식이다. 이용자가 부여한 권한 내에서만 정보수집이 가능해 광범위한 정보수집을 제한할 수 있고 언제, 어떤 데이터가 전달됐는지 파악할 수 있어 보안 사고 발생 시 책임소재를 명확히 밝힐 수 있다.

다만 API 방식 역시 보안 우려에서 완전히 자유롭진 못하다. 금융사별로 고객의 정보 개방 여부를 확인하는 것이 어렵기 때문이다.

◆해외의 데이터 수집·저장 방식은

일각에서는 영미권 국가 등에서 앞서 시행된 마이데이터 운영 사례를 참고해 현행 데이터 수집·저장 방식이 안전한지 돌아볼 필요가 있다고 조언한다.

서지용 상명대 경영학부 교수는 "마이데이터 성공에 있어 가장 중요한 부분은 보안"이라며 "개인 클라우드 저장 방식을 사용하는 영국 등의 사례를 살펴볼 필요가 있다"고 말했다.

영국의 개인데이터 저장소 운영 업체 '디지미'는 자사 서버가 아닌 고객의 개인 소유 클라우드 서버에 암호화 된 형태로 개인정보를 저장한다. 데이터를 이용할 경우에만 고객의 동의를 받아 정보를 가져오는 방식이다.

수집된 개인정보를 업체가 보관하지 않고 사용자의 개인 클라우드 저장소에 보관한다는 점에서 개인정보 노출 우려가 적다.

미국과 일본은 개인정보 보안을 강화하면서 기관과 공유할 정보의 범위 및 양을 확대해 나가고 있다. 하나금융경영연구소에서 이달 발표한 '금융 마이데이터 서비스의 출범과 과제'에 따르면 민간기업 중심의 데이터 유통시장이 활성화한 미국의 경우 최근 '서비스 스위칭 허용 법안'을 통해 개인의 데이터 이동성을 강조하고 있다.

일본은 데이터 유통 활성화를 위해 국내 마이데이터와 유사한 '정보은행' 제도를 운영 중이며 법 개정을 통해 의료 데이터 유통을 촉진할 방침이다.

국내에서도 마이데이터 수집·활용정보 범위가 점차 확대되고 있다. 금융위원회는 현재 표준API 방식으로 제공되고 있지 않은 국세·지방세·관세 납세내역과 건강보험, 공무원연금·국민연금 보험료 납부내역 등의 공공정보까지 올해 상반기 중 마이데이터 사업자에 제공할 수 있도록 각 기관과 협의 중이다.

갈수록 비대해지는 개인정보 유통량에 비해 기업의 책임은 미약하다는 지적도 나온다.

현행 신용정보법에 따르면 개인 정보 분실 및 도난·누출·변조 시 업체에 부과되는 과징금은 전체 매출액의 3%가량에 불과하다. 이마저도 산정이 어려울 경우 200억원 이하 수준이 부과된다.

한 소비자 업계 관계자는 "마이데이터 취급 정보가 늘어남에 따라 정보 유출 가능성도 커지는 데 비해 기업의 책임은 적어 소비자 피해로 이어질 수 있다"며 "보안 사고 발생 시 처벌 규정을 보다 강화해야 한다"고 지적했다.

한편 금융당국은 특별 대응반을 꾸려 마이데이터 관련 보안 사고를 모니터링하고 대응할 방침이라고 밝혔다. 이밖에도 마이데이터 사업자를 대상으로 연 1회 이상 서비스 및 전산설비에 대한 기능적합성 심사·보안취약점 점검 등을 의무화할 계획이다.