기사 공유하기

2020년 1월 9일 국회 본회의를 통과한 데이터 3법(개인정보보호법, 정보통신망법[footnote]정보통신망 이용 촉진 및 정보보호 등에 관한 법률[/footnote], 신용정보법[footnote]신용정보의 이용 및 보호에 관한 법률[/footnote]) 개정안은 2월 4일 행정부에 의해 공포되어 6개월의 공포 기간을 거쳐 2020년 8월 5일부터 시행에 들어간 지 1개월이 지났다.

개정 법률의 주요 내용인

  • 가명 정보 도입을 통한 데이터 이용 활성화
  • 개인정보 보호 체계 일원화
  • 마이데이터 등 금융 분야 데이터 신산업 도입
  • 전문기관을 통한 데이터 결합 지원

구체적인 사항을 정리하는 각 법률의 시행령 개정안도 3월 31일 동시에 발표되고, 40일간의 입법 예고 기간이 완료되었다.

이 글에서는 데이터 3법이 개정된 이후 주요 진행 상황을 살펴보고, 특히 클라우드 업계에 미치고 있거나 미칠 것으로 예상되는 변화를 짚어보고자 한다.

개인정보보호 주체의 통일

데이터 3법 개정의 주요 목표는 개인정보보호를 강화하면서도 4차 산업혁명 시대의 요구에 부응하기 위해 개인정보 활용을 장려하는 두 마리 토끼를 잡는 것이다. 개인정보보호를 강화하기 위해 개정 전 각 법률에 따라 행정안전부와 방송통신위원회, 금융위원회에서 담당하던 개인정보 보호에 관한 업무를 중앙행정기관으로 격상되는 개인정보보호위원회금융위원회로 통일했다. 개인정보위원회는 대통령 소속의 합의제 행정기관에서 독자적인 조직, 인사, 예산 운영 권한을 가지는 국무총리 직속의 장관급 중앙행정기관으로 격상되었다.

출처: 개인정보보호위원회 https://www.pipc.go.kr/np/
개인정보보호 수행체계 개편 전후 비교 (출처: 개인정보보호위원회)

초대 위원장은 윤종인 행정안전부 차관이, 부위원장은 최영진 4차 산업혁명위원회 지원단장이 맡는다. 9명의 위원 중 비상임 위원 7명에는 대통령 위촉으로 강정화 한국소비자연맹 회장, 염흥열 순천향대 정보보호학과 교수가 선임되었고 여당 추천으로 서종식 변호사, 이희정 고려대 법학전문대학원 교수가, 야당 추천으로 고성학 한국PKI포럼 부의장, 지성우 성균관대 법학전문대학원 교수, 백대용 소비자시민모임 회장이 추천됐다. 이들은 2023년 8월 4일까지 3년간 개인정보보호 위원회 위원으로서 개인정보보호정책 수립·집행에 관한 심의·의결 등 직무를 수행한다.

개인정보보호위원회 사무처는 4국 14와 총 154명으로 구성되어 위원회를 지원하고, 실질적인 개인정보보호정책 및 사업의 집행을 담당한다. 행정안전부, 방송통신위원회 등의 개인정보보호 정책 및 법·제도 관리 기능은 개인정보보호국으로 통합되었고, 행정안전부와 방송통신위원회의 침해조사 기능과 신설된 침해 평가·분쟁 조정 기능은 조사조정국으로 통합되었다.

개보위 조직도 (출처: 개보위) https://www.pipc.go.kr/np/default/page.do?mCode=F060010000
개인정보보호위원회 조직도 (출처: 개보위)

결합전문기관 지정

개정된 개인정보보호법에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보 주체의 동의 없이 가명 정보를 처리할 수 있도록 하였고, 가명 정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행하도록 하였다. 개인정보보호법 시행령에서는 가명 정보의 결합·분석·반출에 대한 절차를 규정하는데 그치고 있다.

즉, 결합전문기관의 1)지정 절차, 세부 지정기준, 심사방법, 재지정 등에 관하여 필요한 사항과 2)업무 수행능력 및 기술·시설 유지 여부 등에 대한 관리·감독에 관한 사항 등 구체적인 사항은 개인정보보호위원회에서 정하도록 위임하고 있는 것이다. 이에 개인정보보호위원회가 구성되고 위 사항이 어떻게 정해질지 관심이 쏠렸는데, 개인정보보보호위원회에서는 2020년 9월 1일 결합전문기관 지정계획을 공고하였다.

공고에서는 3명의 전문가(법률·기술 전문가 각 1인 이상)를 상시 고용하는 8인 이상의 담당 조직과 결합, 추가 가명 처리, 반출 등을 위한 공간 및 시설·시스템을 구축하고 데이터 및 네트워크에 대한 보안 조치를 마련하는 등 시설·시스템 기준을 갖춘 자본금 50억 원(비영리법인은 기본재산이나 자본총계 50억 원)의 지정요건을 명기하였다.

「개인정보보호위원회 결합전문기관 지정계획」 공고 중 신청조건 세부내용 (출처: 개보위) https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=6779#LINK
‘개인정보보호위원회 결합전문기관 지정계획’ 공고 중 신청조건 세부내용 (출처: 개보위)

신청기간은 2020년 9월 1일에서 9월 15일까지로 신청 마감 후 신청 기관의 면모가 드러날 것으로 예상된다. 현재까지 알려진 바로는 금융 분야에서는 금융보안원이 활발한 움직임을 보이고, 의료 분야에서는 건강보험공단과 건강보험심사평가원, 보건산업진흥원의 3파전 양상이 될 전망이다.

자본금 50억 원의 지정요건 때문에, 스타트업이나 핀테크 기업들의 신청이 많지 않을 것이라는 예상이 있는 가운데, 자본금 요건을 만족할 수 있는 빅테크 기업들의 참여 여부가 관심을 끌고 있다.

개인신용정보 전송요구권 (마이데이터)

개정된 신용정보법에서는 개인신용정보의 전송요구권을 신설하여 개인인 신용정보주체는 신용정보제공·이용자등에 대하여 그가 보유하고 있는 본인에 관한 개인신용정보를 아래 정한 자에게 전송하여 달라고 요구할 수 있도록 하였다.

  1. 신용정보주체 본인
  2. 본인 신용정보관리회사
  3. 개인신용평가회사
  4. 대통령령으로 정하는 자

개인신용정보를 취합하여 활용할 수 있는 마이테이터 사업은 데이터 3법 개정에 따라 신설된 본인신용관리업과 개인신용평가업은 물론 개인사업자신용평가업, 기업신용조회업, 신용조사업 등 향후 발전 가능성이 높은 분야이기 때문에 가장 치열한 경쟁을 보인다.

[box type=”info”]

마이데이터(MyData)?

“‘마이데이터(MyData)’란 정보주체인 개인이 본인의 정보를 적극적으로 관리, 통제하고, 이를 신용관리, 자산관리, 나아가 건강관리까지 개인생활에 능동적으로 활용하는 일련의 과정을 말합니다.” (최종구 금융위원장, 2018. 7. 18.)

마이데이터 산업? 

“‘마이데이터 산업’은 개인의 효율적인 본인정보 관리, 활용을 전문적으로 지원하는 산업을 의미합니다.” (최종구, 위와 같음)

정책 입안 사례

  • 미국, 국가과학기술자문위원회의 ‘스마트 공시'(Smart disclosure): 복잡한 데이터를 표준화하고 기계가 읽을 수 있는 정보 파일로 만들어 소비자의 의사결정에 도움이 되도록 하는 것.
  • 영국, 기업에너지과학전략부의 ‘Midata’ 정책 등
midata https://www.midata.coop/en/home/
midata
  • 우리나라는 과기정통부가 의료·금융·통신 분야에서 마이데이터 시범사업을 추진 중이다.

[/box]

금융위원회에서는 개정된 데이터 3법이 시행되기 전인 2020년 7월 13일 금융분야 마이테이터 사업에 대한 허가를 원활하게 진행하기 위해 유사 서비스를 제공해 온 사업자를 대상으로 예비허가 사전 신청을 공고하였고 8월 4일까지 예비허가를 접수한 결과 은행·카드 등 총 63개 금융사가 마이데이터 예비허가 사전신청을 하였다.

신청이 과열됨에 따라 원래 1차(8월~10월), 2차(11월~1월), 3차(2월~4월)로 구분하여 각 20개씩에 대한 예비심사를 진행하려던 계획을 수정하여 기존에 유사 사업을 해오던 40개사에 대해서 허가 차수 구분 없이 8월부터 심사 준비에 착수, 9월~10월 중 정식 허가 접수를 받을 계획이다. 이어 내년 2월까지 심사를 통해 최종 사업자를 선정한다. 현재 마이데이터 서비스를 시행하고 있지는 않지만, 정식 허가 후 마이데이터 서비스를 출시할 신규 업체의 경우에는 기존 업체의 심사가 끝나는 내년 초부터 심사가 시작된다.[footnote]금융위원회 보도자료, Aug 19, 2020[/footnote]

마이테이터 서비스 허가과정에서의 큰 쟁점은 위에서 언급한 것과 같이 이미 유사 서비스를 제공하고 있는 기존업체들에 대해서 심사를 우선하여 진행하기 때문에 후발주자들의 시장진입이 늦어져서 상대적으로 불리한 입장에서 경쟁에 참여하여야 한다는 점과 신용정보법 시행령 개정안에 명시된 ‘주문내역 정보’의 포함 여부이다(‘쇼핑정보까지 제공? 마이데이터사업이 뭐길래!?’).

쇼핑정보('주문내역 정보')가 마이데이터 사업자에 제공해야 할 신용정보 범위에 포함될지 여부가 새로운 쟁점으로 떠올랐다.
금융위가 마이데이터 사업자에 제공해야 할 신용정보 범위에 쇼핑정보(‘주문내역 정보’)가 포함된다고 유권해석하면서 이 문제가 새로운 쟁점으로 떠올랐다.

9월 10일 금융위가 이 문제의 해결점을 찾기 위해 온라인으로 주최한 ‘주문내역 정보 관련 이해관계자 협의회’에 11번가, 인터파크, 이베이코리아, 딜리버리히어로코리아, 티몬, 위메프 등 주요 전자상거래 업체와 한국온라인쇼핑협회·한국인터넷기업협회가 불참했을 정도로 이 문제는 이해당사자들 사이에 심각한 이견이 존재한다. 주문내역 정보는 신용정보가 아닌 만큼 문구를 삭제하고 다른 추가 제공 정보를 논의하자는 전자상거래업계의 입장과 주문내역 정보는 신용정보가 맞으며 제공 범위에 대해서 논의하자는 금융위의 입장이 맞서는 상황이다.

국내 클라우드 사업자의 동향

[dropcap font=”arial” fontsize=”33″]KT[/dropcap]는 8월 17일 본인의 데이터를 개방·활용하는 마이데이터 사업을 지원하는 ‘금융 클라우드 패키지 서비스’를 출시하였다. 비즈니스 정보제공 업체 쿠콘과 전자금융 솔루션 업체 제노솔루션과 협력으로 출시된 이 패키지는 △마이데이터 사업 허가를 위한 보안 필수 요건을 충족한 ‘클라우드 인프라’, △예금주 조회·신분증 진위 확인 등 다양한 ‘금융 API’, △데이터 분석·수집이 가능한 ‘빅데이터 플랫폼’, △금융 클라우드 인프라 구성을 위한 ‘맞춤 컨설팅’ 등으로 구성되어 있다.

KT 금융 마이데이터 패키지 (KT 제공)
KT 금융 마이데이터 패키지 (KT 제공)

이와는 별도로 KT그룹은 우리금융지주와 금융·ICT 융합을 위한 전략적 업무 협약(MOU)을 8월 19일 체결하면서 마이데이터 사업을 최우선 과제로 추진하기로 하였다고 밝혔다. 공동인증체계 도입을 통해 비대면 금융거래를 위한 인증도 대폭 간소화하는 방안으로 양사의 비대면 채널 본인인증을 교차 활용, 고객 편의성을 개선한다는 방침이다. 또한 양사 채널을 활용한 공동 마케팅으로 고객 기반을 확대하는 공동 사업도 추진할 계획이다.

이 외에도 내년에 도입 예정인 마이페이먼트(지급지시전달업) 제도에 대응하는 공동사업으로 KT그룹 자회사인 BC카드와 우리금융 계열사(우리은행, 우리카드)간 공동마케팅도 과제로 추진한다. BC카드의 가맹점 망을 활용해 우리금융의 결제플랫폼을 구축하고, 향후 우리카드와 BC카드의 데이터 공유와 공동마케팅 등 구체적인 협력 방안도 논의하기로 했다.

[dropcap font=”arial” fontsize=”33″]NHN[/dropcap]은 자회사 NHN페이코를 중심으로 2019년 11월 과학통신기술정보통신부와 한국데이터산업진흥원이 주관하는 마이데이터 실증 서비스 지원 사업으로 사용자의 금융데이터를 통합조회하고 자산을 관리할 수 있도록 돕는 ‘페이코 마이데이터’를 출시하였다.

페이코 마이데이터 서비스
페이코 마이데이터 서비스

하나은행·한화생명·한화손해보험·한화투자증권·신한금융투자·웰컴저축은행 등 6개 금융사와 협력으로 출시된 이 서비스는 해당 금융사의 통합조회가 가능하고, 금융정보를 주고 받을 수 있는 API를 제공한다. NHN은 이 서비스를 바탕으로 금융위 주도의 금융 마이데이터 사업자 라이센스 확보를 진행 중에 있다고 밝혀 마이데이터 사업에 직접 뛰어들 것으로 판단된다.

[dropcap font=”arial” fontsize=”33″]네이버[/dropcap]도 7월 29일 자회사 네이버파이낸셜을 중심으로 대안신용평가 시스템 ‘ACSS’(Alternative Credit Scoring System)을 구축하고 있다고 밝혔다. 금융 이력이 부족해 사각지대에 머물러야 했던 중소기업과 씬파일러(Thin Filer; ‘서류가 얇은 사람’, 즉 신용을 평가할 수 없을 만큼 금융거래 정보가 별로 없는 사람) 등 금융 소외 계층을 아우를 수 있는 서비스로 금융 시장에서 새로운 가치를 만들어내는 것을 목표로 우선 중소기업을 위한 금융 서비스에 집중하겠다는 전략이다.

네이버파이낸셜 https://www.naverfincorp.com/main
네이버파이낸셜

매출, 세금, 매장 크기 등을 기준으로 대출 여부를 판단하는 기존 금융권보다 네이버파이낸셜은 온라인 창업을 쉽게 할 수 있도록 지원하는 스마트스토어 판매자들의 매출 흐름과 판매자 신뢰도 등을 실시간으로 ACSS에 적용하기 때문에 전년도 매출이나 매장 등이 없는 판매자들도 금융 서비스 이용 기회를 제공하겠다는 것이다.

시사점

개정된 데이터 3법이 본격적으로 시행됨에 따라, 클라우드 산업을 포함한 관련 업계는 많은 변화를 직면하고 있다.

클라우드 산업 입장에서 가장 직접적인 움직임을 보이는 KT의 ‘금융 클라우드 패키지 서비스’는 물론 다른 클라우드서비스 업체들도 해외 클라우드서비스 업체들과 차별화된 국내 기준을 충족하는 마이데이터 사업 허가를 위한 보안 필수 요건을 충족한 클라우드 인프라 제공을 장점으로 적극적인 영업에 나설 것으로 보인다.

주목할 점은 KT, 네이버, NHN 등 국내 사업자들은 단순히 클라우드서비스를 제공하는 수준에서 한 걸음 더 나아가, 계열사를 중심으로 직접 개정된 데이터 3법에 의해 새로 생기는 사업 분야에 적극적으로 참여한다는 것이다. 이 과정에서 이해관계에 따라 합종연횡이 불가피하고, 이는 클라우드서비스의 선정 과정에도 영향을 미칠 것은 자명하다.

협력관계에 따라 파트너쉽에 포함된 클라우드 사업자의 서비스를 선택할 가능성이 커져서, 다른 클라우드서비스 사업자의 영업기회가 제한될 가능성이 있지만, 미래에 충분히 변할 수 있는 이해관계를 반영한 합종연횡의 특성을 고려하여 특정 클라우드서비스 사업자에게 종속되는 상황을 미연에 방지하기 위해서 하이브리드 클라우드 전략이 가속화될 가능성도 커진다.

반면에 직접 관련 사업에 진출하지 않는 클라우드서비스 사업자와 기존 클라우드서비스 사업자와 협력관계를 가지지 않은 사업자들 사이의 영업 시너지가 높아질 가능성도 있고, 하이브리드 클라우드서비스에 강점을 가지고 있는 메니지드 서비스 제공자(MSP)들의 입지가 더 넓어질 것이다.

KT 네이버 NHN 마이데이터

[divide style=”2″]

[box type=”note”]

본 글은 한국정보화진흥원의 지원을 받아 작성되었으며, 클라우드스토어 씨앗 이슈리포트에 동시 게재합니다.

[/box]

관련 글