“금융 빅데이터 활용 빗장 열리나?”

비식별 정보 활용…3대 추진전략, 10대 세부과제 마련

앞으로 주요 금융회사의 데이터 활용, 즉 빅데이터가 예전에 비해 활성화될 전망이다.

20일 금융위원회(위원장 최종구, 이하 금융위)는 ‘금융분야 데이터활용 및 정보보호를 위한 간담회’를 개최하고, ‘금융분야 데이터 활용 및 정보보호 종합방안’을 논의했다.

이 자리에서 금융위는 소비자 중심의 금융혁신을 촉진하고 한국의 금융시스템의 포용성과 공정성을 강화해 나가기 위해 ‘3대 추진전략과 10대 세부 추진과제’를 발표했다. <그림1 ‘금융분야 데이터 활성화를 위한 3대 추진전략 및 10대 세부 과제’ 참조>

▲ 그림1 ‘금융분야 데이터 활성화를 위한 3대 추진전략 및 10대 세부 과제’

최종구 금융위원장은 간담회 모두 발언에서 “모든 것이 초연결되고, 초지능화되는 4차 산업혁명 시대를 맞아 이미 전세계는 ‘데이터 주도 경제’로 변모하고 있다”며 “특히, 미국, EU, 중국 등 거대 경제권역에서는 빅데이터 혁명에 대응, 앞다퉈 혁신을 이뤄내고 있다”고 진단했다.

이어 최 위원장은 “2014년 신용카드사 정보유출 이후 규제가 더욱 강화돼 민간부문 빅데이터 활용을 상당부분 저해하고 있다는 지적이 많다. 데이터의 수집․분석․활용의 전 단계가 엄격하게 제한되고 있어 사실상 의미있는 빅데이터 분석은 어렵다는 의견까지 제기되고 있는 실정”이라며 “데이터를 활용, 4차 산업혁명에 대응해 나가는 전 세계적 흐름에 뒤처지지 않기 위해서는, 정보보호와 데이터활용 간의 균형을 회복하는 근본적인 정책방향의 전환이 시급하다”고 지적했다.

이에 따른 금융위 정책의 기본 원칙은 ▲금융분야를 빅데이터 테스트베드(Test Bed)로서 우선 추진 ▲법제도․산업․인프라 측면에서 종합적인 대응방안 마련 ▲정보주체의 권리를 내실있게 보호해 국민신뢰를 제고 등으로 요약된다.

◆“금융분야 빅데이터 활성화” = 금융위는 해외 입법례, 비식별 기술에 관한 국제적 논의 등을 종합적으로 고려, 빅데이터 분석·이용의 법적근거를 명확화 할 방침이다.

이에 따라 EU 입법례 등을 감안, 익명정보/가명처리정보 개념을 도입한다.

EU의 경우, 익명정보를 ‘더 이상 개인을 식별할 수 없도록 처리된 정보’로 규정하고, 개인정보가 아님을 명확화 해 자유로운 분석･이용을 보장하고 있다.

이어 금융위는 원칙 중심 규제를 통해 비식별 기술 발전을 유연하게 수용할 예정이다.

데이터의 안전한 활용을 위해 국제적으로 진행중인‘ 비식별 기술 및 프라이버시 보호 모델(Privacy enhancing data de-identification techniques-ISO/IEC DIS 20889)’의 표준화 논의를 적극 수용한다.

즉, 이는 빅데이터 활용의 안전성과 유용성을 높일 수 있도록 다양한 기술 발전을 포섭할 수 있는 원칙 중심의 법제도를 마련하는 초석이 될 전망이다.

현행 ‘비식별조치 가이드라인’의 일부 성과도 법제화된다.

금융위는 금융회사 등의 비식별 조치에 대해 전문기관(금융보안원･신용정보원)을 통해 적정성 평가를 받도록 하는 등 의무를 부과할 방침이다.

사전·사후규제 정비를 통해 빅데이터 활용의 책임성도 강화된다.

금융위는 익명·가명처리 정보의 기술적·관리적 보호조치를 의무화하고, 재식별행위, 관리의무 위반 등에 대해 형사·행정제재를 부과한다.

◆“빅데이터 인프라 구축ㆍ운영” = 간담회에서 금융위는 공공부문에 집중된 금융정보를 DB화해 제공하는 한편, 빅데이터 중개 플랫폼을 구축, 데이터 시장 조성을 지원키로 했다.

담당 기관으로, 신용정보원과 보험개발원이 보유한 신용정보･보험관련 정보를 활용해 표본DB 및 맞춤형 DB를 마련ㆍ제공한다.

금융위는 이들 기관에서 표본 DB를 제공, 중소형 금융회사, 창업․핀테크 기업, 연구기관 등이 상품개발․시장분석․연구 등에 활용토록 지원할 방침이다.

또 개별 금융기관 등 이용기관의 목적에 맞게 데이터 항목ㆍ범위를 조정한 맞춤형 DB 서비스도 제공한다.

미국 ‘주택담보대출 DB 제공’ 사례를 보면, 지난 1998년부터 현재까지 주담대 5%를 무작위 추출, 대출조건 및 잔액·상환 및 연체정보·담보현황 등 상세정보를 DB화해 제공하고 있다.

금융위는 이같은 개별 금융회사가 필요한 실질적인 빅데이터 활용을 지원한다는 계획이다.

아울러 금융위는 분석도구, 보안체계 등이 갖춰진 빅데이터 분석시스템을 신용정보원에 구축, DB 분석･이용을 보다 실효성 있게 지원할 예정이다. <그림2 ‘표준 DB 활용 프로세스 사례’ 참조>

▲ 그림2 ‘표준 DB 활용 프로세스 사례’

덧붙여 금융위는 빅데이터 중개 플랫폼을 금융보안원에 구축, 초기 데이터 유통시장 조성을 지원할 방침이다.

즉 데이터 공급자와 수요자가 보유정보ㆍ필요정보를 상호 확인하고 거래할 수 있는 플랫폼 구축하고 이를 금융보안원이 맡아 운영토록 할 예정이다. <그림3 ‘데이터 중개플랫폼 운영 개요’ 참조>

▲ 그림3 ‘데이터 중개플랫폼 운영 개요’

◆“CB사ㆍ카드사의 시장선도 역할 강화” = 금융위는 이어 CB사․카드사가 보유한 정보 및 노하우를 활용, 금융권의 빅데이터를 선도할 수 있도록 빅데이터 관련 업무를 허용할 예정이다.

우선, CB사에 대해 현행 법령상 금지된 빅데이터 분석ㆍ컨설팅 업무를 허용하고, 카드사도 보유한 양질의 정보를 활용해 다양한 빅데이터 관련 서비스를 제공할 수 있도록 부수업무로 명확화한다. <그림4 ‘미국 비자의 가맹점에 대한 타깃마케팅 지원 사례’ 참조>

▲ 그림4 ‘미국 비자의 가맹점에 대한 타깃마케팅 지원 사례’

◆“빅데이터를 활용한 개인신용평가 체계 고도화” = 금융위는 이같은 빅데이터 활용 기반을 통해 데이터 공유ㆍ활용 여건을 개선, 금융회사 및 CB사의 개인신용평가 체계를 고도화한다.

현재는 데이터 활용의 제약으로 금융회사의 자체 평가시스템 고도화에 한계가 있었다.

금융위는 이를 개선, 금융회사가 여신심사 등을 할 때, CB사의 개인신용평가 결과뿐만 아니라 자체 신용평가(CSS:Credit Scoring System) 결과를 함께 활용토록 하고, 지주회사 그룹 내 통합 CSS 구축･운영을 위한 제도적 여건을 마련, 비금융․비정형 데이터의 적극 활용을 유도할 예정이다.

◆“신용정보 산업의 경쟁 촉진” = CB산업의 업무범위를 세분화ㆍ명확화하고, 개별 업무의 특성을 반영하여 진입규제를 대폭 완화한다.

개인 CB업의 경우, 비금융정보 특화 CB사 설립을 허용하고 기업 CB업의 경우, 개인신용정보에 비해 규제 필요성이 크지 않은 점 등을 감안해 진입규제를 대폭 완화한다.

또 기업 CB업을 개인 CB업과 분리하고 인가단위를 세분화, 자본금 규제 및 금융권 출자의무 등을 완화한다는 게 금융위 계획이다.

이 밖에도 금융위는 데이터 처리 업무(본인인증업무, 평가모형 개발 및 판매-솔루션 업무 등)는 신규 업체가 자유롭게 수행할 수 있도록 법령상 CB업의 고유업무에서 제외됨을 명문화할 예정이다.

◆“본인 신용정보관리업 도입” = 금융위는 빅데이터 활성화를 위해 기반으로 필요한 본인 정보의 효율적 관리 지원 ‘본인 신용정보관리업’을 도입하고, 일반국민 대상 ‘종합 자산관리서비스업’으로 육성할 예정이다.

즉 정보주체의 명시적 동의하에 정보를 제공하고, 정보보호ㆍ보안상 안전한 시스템을 활용토록 의무화한다는 것이다.

금융위는 현재 신용관리에 대한 인식 제고 등으로 본인정보 관리서비스에 대한 수요가 증대되면서 관련 서비스업이 확대되고 있지만, 아직까지 법․제도 등의 제약으로 인해 핀테크 업체의 본인 정보관리 시장 진입은 활발히 이뤄지지 않은 상황이라고 진단했다.

이를 개선하기 위해 금융위는 해외사례 등을 감안, 본인 신용정보를 관리하는 업종을 도입한다.

실제로 미국의 핀테크 업체 민트(Mint)사는 신용등급 및 예금·대출·카드내역 조회서비스, 온라인 가계부, 소득․소비패턴에 맞는 금융상품 추천 등 종합서비스를 제공하고 있다.

이 ‘본인 신용정보관리업’은 정보보호․보안 강화를 위해 정보주체의 명시적 동의 또는 권리행사(‘개인신용정보이동권’)에 기반해서만 업무를 수행토록 관리, 감독할 예정이다.

EU의 제2차 지급결제산업지침(PSD2: Payment Services Directive 2) 사례를 보면, 본인신용정보관리업을 하는 핀테크 업체에 대해 고객 계좌정보 접근권을 보장하는 대신, 로그인 정보･공인인증서･OTP 등 개인 보안인증자료(Personalised security credentials)의 활용은 엄격히 금지하고 있다.

◆“신용정보산업 책임성 확보” = 다만, 금융위는 산업의 특성, 경제ㆍ금융시장 영향력, 여타 금융업권 사례 등을 종합적으로 고려해 지배구조 및 행위 규제를 도입한다.

개인 CB업은 국민경제 영향력을 감안해 책임성 확보를 강화하고, 신용등급 제공업무(TCB 포함)를 수행하는 기업 CB에 대해서는 자본시장의 신용평가사 수준에 맞춰 규제를 도입한다.

◆“정보활용 동의제도 내실화” = 금융위는 또 정보주체의 실질적 동의권을 회복할 수 있도록 정보 활용 동의절차를 단순화․내실화하고 개인의 선택권을 확대할 방침이다.

정보활용 동의서를 요약정보만 제공하는 등 대폭 단순화(고객 요구시 상세정보를 함께 제공)하고, ‘개인정보보호 등급제’를 도입해 금융소비자의 정보활용 동의 여부 판단시 보조지표로 제공한다.

덧붙여 정보주체가 정보활용 현황을 활용목적별․기관별로 구분해 개별적으로 동의여부를 선택할 수 있도록 개선할 것이라고 금융위는 설명했다.

◆“다양한 개인정보 자기결정권 보장” = 그럼에도 금융위는 개인의 자율의사를 적극 존중, 데이터 분석결과에 대해 이의제기 등 정보주체의 적극적 대응권을 강화하고, 자기 정보의 활용권을 보장할 계획이다.

‘프로파일링 대응권’을 도입해 데이터 처리에 따른 자동화된 의사결정에 대한 정보주체의 설명요구․이의제기권 등을 보장하며, ‘개인신용정보 이동권(Right to data portability)’을 도입해 정보주체의 적극적인 본인정보 관리․활용도 보장한다는 게 금융위 방침이다.

◆“정보보호 및 보안 강화” = 마지막으로 금융위는 빅데이터 활성화에 따른 개인정보 보호 불안 요인을 제거하기 위해 금융권의 정보활용․관리 실태에 대한 상시평가제를 도입하고, 데이터 산업 등의 보안 조치 의무를 강화한다.

이를 위해 금융권의 전반적인 정보활용․관리 실태에 대한 상시평가 제도를 도입, 데이터 활용 활성화 등에 따른 부작용을 방지하고, CB사 등의 정보보호･보안 관련 규제도 강화한다.

오유정 금융위 사무관은 “이번 금융권 빅데이터 활성화 조치는 신용정보법 개정을 근간으로 할 것”이라며 “법 조문 개정 작업에 착수할 예정”이라고 전했다. <그림5 ‘주요과제 추진일정’ 참조>

▲ 그림5 ‘주요과제 추진일정’

<김동기 기자>kdk@bikorea.net