brunch

You can make anything
by writing

C.S.Lewis

by 노더 May 21. 2020

데이터 3법, 마이데이터 그리고 DID

패러다임의 변화는 고객을 변화시킬 것이다.

데이터 시대와 데이터 3법


이제 모든 산업에서 AI를 고려하지 않는 것은 생각하기 어려울 정도로 당연한 시대가 되었다. 그리고 AI는 기본적으로 데이터라는 자원을 통해 동작한다. 현시점에서 데이터가 가진 효용성을 부인하는 사람은 거의 없다. 

개인은 자신의 인터넷 접속 이력, 위치정보, 구매 내역 등과 같은 정보들을 제공하고 이를 바탕으로 맞춤형 서비스를 받는 것을 이제는 자연스럽게 받아들인다. 그리고 기업들은 개인의 정보를 최대한 수집해 자신들의 서비스 혹은 상품에 관심을 가질 개연성이 높은 사람에게 접근하려고 하며, 심지어 우리의 행동을 유도하려고 노력한다. 


얻는 편익의 크기에 차이가 있을 수 있겠지만 데이터를 활용하는 것이 서로에게 도움이 되는 것은 부인하기 어렵다. 따라서 이제는 데이터를 활용하느냐 마느냐의 문제가 아니라 예상되는 문제들을 어떻게 극복하고, 효과적으로 활용할 것인가가 더 합당한 논의점이라고 여겨진다.


기업들이 데이터를 활용하는 이유를 생각해 보면 데이터의 주체를 특정하기 쉬우면 쉬울수록 큰 가치를 지닌다. 단순히 ‘30대 남성이 A 제품을 구입했다’는 정보보다는 ‘서울에 살고 소득수준이 상위 20% 수준이며 결혼을 한 32세의 남성이 A 제품을 구입했다’는 정보가 부가정보를 유추하는데 더 큰 도움을 준다. 따라서 기업 입장에서는 어떻게든 개인의 특성을 더 깊이 살펴볼 수 있는 데이터를 원할 것이다.


한편, 그 반대로 주체를 특정하기 쉬울수록 혹은 주어진 정보를 바탕으로 상관관계를 파악하기 쉬울수록 개인의 프라이버시 침해 문제는 깊어진다. 데이터의 활용을 통해 개인이 얻는 효용은 기업에 비해 상대적으로 매우 작기 때문에 자신의 프라이버시를 침해당하면서까지 자신의 정보를 제공할 것으로 기대하기 어렵다. 설령 현재 자신의 정보가 그런 식으로 사용되고 있다면, 언젠가 회원 가입 시 나도 모르게 체크했던 그 ‘동의’를 기반으로 이루어지고 있을 가능성이 높다. 이러한 환경이라면 개인이 마음 놓고 데이터를 제공하기는 쉽지 않다.


개인 데이터를 통해 얻을 수 있는 편익과 개인정보보호라는 양립하기 힘든 가치가 서로 힘 싸움을 하고 있는 현시점에 데이터 3법이 통과되었다. 데이터 3법은 이러한 대립되는 가치의 충돌을 다루기 위한 내용으로 구성되어있다. 데이터 3법은 이름에서 알 수 있듯 3가지 법률의 개정안으로 이루어지는데, 개인정보보호법, 신용정보법, 정보통신망법을 그 대상으로 한다.


본 글에서는 이러한 변화로 인해 다시 주목받게 될 마이데이터(MyData)와 그 적용방식으로서의 DID에 대해서 살펴보고자 한다.



마이데이터의 개요


마이데이터는 기본적으로 데이터의 소유권을 가진 개인이 자신의 데이터를 직접 소유하고 통제할 수 있도록 하는 ‘자기정보결정권’과 자신의 정보를 제3자에게 관리할 수 있도록 허용하는 ‘자기정보이동권’을 핵심으로 하는 철학이자 변화된 패러다임이다. 


기존의 데이터 체계가 데이터 보유 기관에 종속적이었기 때문에 그 내용과 사용이 어떻게 되는지 개인은 파악하기 어려웠고 제공된 데이터의 가치를 공유받지도 못했다면, 마이데이터 체계에서는 ‘개인도’ 자신의 데이터의 접근 및 활용에 개입할 수 있도록 시스템을 마련하려는 것이다. 


마이데이터에서 이야기하는 자기정보결정권을 보장하기 위한 원칙은 다음과 같다.


1) 자신이 언제든지 자신의 데이터에 접근할 수 있고, 그 데이터를 제 3자에게 이동 및 활용하게 할 수 있다.

2) 개인이 요구 시 데이터 보유 기관은 해당 데이터를 안전하고 쉽게 이용할 수 있는 형식으로 제공해야 한다.

3) 개인의 데이터를 사용하고자 하는 기관은 필요 시 마다 개인에게 동의를 받아야 한다.

4) 자신의 데이터가 어떻게 수집 및 사용되었는지 투명하게 확인할 수 있어야 한다.


한편, 마이데이터 체계를 구축하기 위해서는 누군가 이러한 체계에 참여할 주체가 필요한데, 이는 앞서 언급한 데이터 3법 중 신용정보법에서 다루는 본인신용정보관리업과 밀접한 관련이 있다. 마이데이터 사업 참여는 금융위원회의 허가가 필요한데, 8월 5일 신용정보법 개정안이 시행되고 10월 부터 마이데이터 사업자를 선정할 예정이라고 한다.


이와 관련하여 사업자가 고려해야 할(마이데이터의 원칙을 구현하기 위한) 공통요구사항을 요약하면 아래와 같다.


1) 이해하기 쉬운 동의 내용 및 관리
핵심적인 내용을 직관적으로 이해할 수 있도록 쉬운 언어 및 그림으로 제시하고, 동의 여부에 따른 주의사항을 제시해야 한다.


2) 개인 데이터의 다운로드
받고자 하는 정보를 특정하여 다양한 전자적 방식으로 제공받을 수 있고, 기계 및 사람이 읽을 수 있는 형식으로 제공해야 한다.


3) 정보의 선별적 공유
서비스 이용자가 정보의 범위, 제공 목적, 제공 대상 등을 구체적으로 명시하여 제공할 수 있다.


4) 이용 내역에 대한 투명한 공개 및 필요 시 동의, 철회, 재동의 내역서 제공
자신의 정보를 누가, 언제, 어떤 용도로고 사용했는지 확인할 수 있도록 하고 그 근거(동의여부)를 제시해야 한다. 이는 신뢰할 수 있는 방식으로 구현되어야 한다.


5) 데이터 이동권 제공
서비스 이용자의 동의하에 제3자를 지정하여 이용자 대신 데이터를 보관하도록 하고 요청 시 제3자가 사용할 수 있도록 한다.


6) 데이터 활용에 따른 가치 공유
활용되는 데이터의 주체에게 그 활용에 대한 가치를 정당하게 보상해야 한다.


이러한 내용을 바탕으로 몇 가지 서비스 모델이 제시되고 있는데 그 중 마이데이터 일반 서비스 모델은 아래와 같이 구성될 수 있다.


마이데이터 일반 서비스 모델 (마이데이터 서비스 안내서, 한국데이터산업진흥원)

위 서비스 모델에서 참여자는 개인, 데이터 보유자(나의 데이터를 보유하고 있는 주체), 마이데이터 서비스 제공자(내 데이터를 위탁받아 관리하는 주체), 제3자(개인에게 데이터를 요구하는 주체)로 이루어져 있다.


개인은 개인 데이터를 직접 다운로드받거나 제3자에게 제공할 수 있으며, 원할 경우 마이데이터 서비스 제공자에게 데이터 관리를 위임하고 서비스 제공자가 직접 제3자에게 제공할 수 있다. 



마이데이터와 자기주권신원 


자기주권신원(Self-sovereign Identity)은 개인의 신원에 대한 주권 회복이라는 큰 방향성 아래 데이터 자기 통제, 프라이버시 확보, 투명한 이력 공개, 데이터 주체에 대한 보상 등의 가치를 제안하고 있다. 이러한 관점에서 마이데이터는 자기주권신원(Self-sovereign Identity)와 철학을 공유한다.


자기주권신원은 DIDs(Decentralized Identifiers)와 Verifiable Credential Data Model로 구현될 수 있는데, 앞서 설명한 마이데이터 일반 서비스 모델과 매우 유사하다. Issuer는 개인데이터 보유자, Holder는 개인(이용자), Verifier는 제3자(데이터 요청자)로 매칭되며 그 인프라로 Verifiable Data Registry(보통, 블록체인)을 활용한다. VC Model에서는 인프라로서의 블록체인만 표현되어 있을 뿐이지만, 실제 구현에서는 데이터 사업자가 등장할 수 있음으로 결국 동일한 모델이라고 볼 수 있다.


VERIFIABLE CREDENTIAL DATA MODEL (W3C)

따라서 최근 다양한 분야에서 논의되고 있는 DID(Decentralized ID)는 마이데이터의 기능의 대부분을 매우 효과적으로 구현할 수 있다. 마이데이터가 특별히 블록체인이나 DID를 특정하고 있지는 않지만 DID를 고려하고 만들었다고 판단될 정도다. 추가로 마이데이터에 DID를 적용하면 추가적으로 아래와 같은 이점을 가질 수 있다.


1. Privacy by Design

DIDs 기반으로 한 신원체계에서 VC, 즉 개인 데이터의 이동은 Issuer의 허락 없이도 가능하다. 따라서 내가 어떠한 Verifier와 상호작용하였는지를 공개할 필요가 없다. 


또한 내가 가진 정보 중 일부만을 제공하는 Verifiable Presentation(주민등록증 정보 중 생년월일만 포함된 정보), 정보로 부터 유추 가능한 최소한의 정보만을 제공하는 Derived Predicate(생년월일과 같이 구체적인 정보가 아닌 그로부터 파생되는 성인여부 정보)도 구현이 가능하다. 


또한 개인을 연결할 수 있는 식별자로서의 DIDs는 중앙화된 관리 주체를 통해 만들어지는 것이 아니므로 필요 시 매 순간 생성하여 데이터 상관관계(Correlation)를 통한 개인 식별 가능성을 충분히 낮출 수 있다.


2. Non-repudiation by Digital Signature

앞으로 개인 정보에 대한 동의 절차는 기존의 그것과 매우 달라질 것이다. 예전에는 회원가입 시 약관을 읽어보지도 않고 동의 체크만 하고 나면 그 뒤로 무슨 일이 일어나는지 알 수 없었지만 앞으로는 기업이 개인의 데이터를 사용하려고 할 경우 매 순간 목적과 내용 등에 대해 동의를 받아야 한다. 


한편 기업 입장에서도 개인이 동의를 하였음에도 기억하지 못하거나 부인할 수 있다. DID는 개인키 기반의 전자서명을 통해 Transaction 처리가 가능하므로 이는 반대로 서명에 대한 부인방지 역할도 가능하다. 이러한 관점에서 기업과 개인이 서로 어떠한 계약이 있었고 그러한 결정이 무엇을 기반으로 이루어졌는지에 대한 내용을 바탕으로 언제든 책임소재를 파악할 수 있다.


3. Transparency by Trust Protocol

아무리 모든 동의 절차와 이용 내역을 잘 기록하도록 구현했다고 하더라도 기록된 기반 시스템을 신뢰할 수 없다면 마이데이터의 요구사항을 충분히 구현했다고 보기 어렵다. DID는 기본적으로 위변조가 불가하고, 자격을 가진 사람이면 누구나 내용을 확인할 수 있는 신뢰 프로토콜을 기반으로 한다. 따라서 DID의 적용은 투명성과 신뢰성을 모두 만족시킬 수 있는 방안이라고 볼 수 있다.



그렇다면 우리는 어떻게 준비할 것인가?


앞서 자기주권신원과 마이데이터는 철학을 공유한다고 했는데, 공유된 철학이란 곧 패러다임에 다름 아니다.  

패러다임의 변화는 고객을 변화시킬 것이며, 이는 자연스럽게 산업을, 사업을, 서비스를 변화시킬 것이다. 사람들은 이제 비용을 지불하지 않는 플랫폼을 이용한다고 하더라도 그것이 무료가 아니라는 것을 안다. 내 개인정보가 가치가 있다는 것을 알고, 내 개인정보가 노출되는 것에 민감하다. 그리고 앞으로 이러한 경향은 더 강화될 것이다.


따라서 마이데이터 사업자뿐만 아니라 개인의 데이터를 다루는 모든 기업은 개인의 정보를 다루는 방식에 대해 반드시 고민해야 할 것이다. 마이데이터 및 자기신원주권에서 이야기하는 개인정보를 다루는 방향성은 단지 길을 제시해 줄 뿐, 다양한 방식으로 이루어질 수 있다. 하지만 현시점에서 개인정보를 다루는 도구로서의 DID는 충분히 고려할 가치가 있다고 생각한다. DID라는 표현 때문에 그것이 마치 ID 하나만을 다루는 듯 보이지만 실상 신원(Identity)이란 개인과 관련된 모든 정보를 포괄하는 개념이기 때문이다.


물론 DID는 낮고 높은 레벨 혹은 레이어에서 장단점이 분명한 시스템이다. 앞서 언급한 장점들이 있는 반면 플랫폼 및 자료구조의 상호운용성, 사용자 경험은 반드시 해결해야 할 문제이다. 명확한 장점이 있는데 해결되지 않은 문제들로 평가절하되는 것은 적절치 않다. 우리는 언제나 그랬듯 답을 찾아낼 것이기 때문이다. 그게 설령 블록체인이 아니더라도.


Reference
마이데이터 서비스 안내서 (한국데이터산업진흥원, 2019. 12)



본 콘텐츠는 블록체인 인사이트 미디어 '노더'에 기고된 글입니다.

https://noder.foundation/mydata/

노더 구독하기: https://t.me/noder_foundation

작가의 이전글 블록체인 프로젝트는 왜 실패하는가 (2): 제도
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari