#10. 꼭 알아야 할 데이터 BM

[광화문덕 시즌2: 나를 찾아서] 나는 데이터를 고민한다

정부가 나서서 밀고 있는 사업
데이터 비즈니스

지난해 8월 이른바 데이터3법이 통과되면서 우리나라의 데이터 비즈니스 사업(BM)이 본격화됐다.

사실 일반인에게 데이터 사업이 현재까지 와닿을 리 없고 그냥 스타트업이나 대기업들이 뿌려대는 보도자료 혹은 데이터 사업에 관심 있는 기자들이 쓰는 기사를 보고 알음알음 인지는 하고 있을 수 있다.

하지만 이제 정부가 추진하는 데이터 사업에 대해서 명확히 알아야 할 시기가 왔다. 데이터가 미래에는 부가가치를 창출하는 수단이 될 테니 말이다. 아니, 이미 데이터가 돈이 되는 시대가 도래했구나...

2020년 8월 5일 개인정보 보호법, 정보통신망법(정보통신망 이용 촉진 및 정보보호 등에 관한 법률), 신용정보법(신용 정보의 이용 및 보호에 관한 법률) 개정안 등 데이터 3법이 본격 시행됐다.

데이터 3법은 ▲개인정보 관련 가명정보, 익명정보 개념 도입 ▲개인정보 주체 동의 없이 가명정보를 통계 작성 연구, 기록보존 등 공익적 목적으로 활용 가능 ▲개인정보보호 감독기관을 개인정보보호위원회로 일원화 및 국무총리 소속 중앙행정기관으로 격상 등의 내용을 포함하고 있다.

데이터 3법 시행으로 데이터를 활용하려는 움직임이 활발해지고 있다. 데이터를 거래할 수 있는 데이터 거래소는 물론, 가명처리된 이종 데이터를 결합해 활용하는 데이터 결합 또한 추진되고 있다.
 
지난 3월 과기정통부와 한국데이터산업진흥원이 발표한 '2020 데이터산업 현황조사’에 따르면, 지난 2019년 기준 국내 데이터 산업 시장규모는 16조 8천억원에 달한데 이어, 지난해에는 19조2736조원에 달하는 것으로 추정된다. 이 추세라면 올해에는 20조원을 돌파할 것으로 관측되며, 2025년에는 32조원을 넘어설 것으로 전망하고 있다.

야바위 꾼은 아니지만
잠깐 한눈 팔면
코를 베어갑니다

자 이제 정신을 집중해서 읽어야 한다. 외계어가 날아다니는 것 같은 착각을 일으킬 수 있으니 말이다. 최대한 쉽게 설명해보려고 하겠으나, 어려운 이야기이니 나를 원망하지 말길...

혹여라도 정말 알고 싶으시다면 쪽지를 보내주시면 직접 찾아뵙고 개인과외라도 해드릴게요

회원가입 시
동의 항목을 꼭 확인하라

최근 자산관리를 조금 더 체계적으로 해보고 싶어 앱을 깔려다가 바로 삭제한 적이 있다. 정말 너무 내 데이터를 대놓고 내놓으라고 하는 것 같아서 기분이 상했을 뿐 아니라, 동의하지 않으면 자신의 앱을 사용할 수 없다고 으름장을 놓는 것 같아 짜증이 났다.

내 고유 정보를 가져가려면 적어도 상냥한 안내 문구나 그 이유를 말해주는 게 최소한의 예의 아닌가... 그래서 바로 삭제해버렸다.

요새 소위 말하는 핫한 스타트업들의 주요 사업의 원천은 개인정보를 활용한 분석 컨설팅이다. 근데 여기서 말하는 개인정보는 가입자의 개인정보라는 것이다. 개인정보를 받아서 활용한다는 말은 그들의 돈벌이로 이용된다는 것이고, 그것을 위해 그들은 고객 맞춤형 서비스 제공이라는 그럴듯한 마케팅(?) 용어가 사용된다.

마이데이터 vs 데이터 결합 전문기관

현재 정부가 추진하는 데이터 사업의 큰 두 축은 마이데이터와 데이터 결합사업이다.

금융위가 전자금융거래법(전금법)을 연내 국회 통과를 목표로 하고 있지만, 이건 또 다른 이야기이니 데이터 사업과 혼돈하지 마시길..

마이데이터
BM 뜯어보기

일단 거룩한 이야기로 좀 그럴듯하게 포장하자면...

마이데이터 사업모델은 사용자가 동의한 개인정보를 토대로 사용자에게 좀 더 나은 서비스를 제공하겠다는 취지다.

이를 위해 법에 정한 인적, 물적 요건을 충족시켜야 하는데 사업자 입장에서 초기에 들여야 할 비용이 굉장히 커서 부담은 되는 건 사실이다. 하지만 새로운 신사업으로서 BM을 구축해 수익을 창출할 수만 있다면 초기 투자비용을 감내할 만하다고 판단했을 것이다.

하지만 기대는 물거품이 됐다. 마이데이터 사업자가 너무 많아졌고, 차별화를 꾀하기가 쉽지 않아 졌다. 오픈뱅킹이 마치 금융권의 혁신을 가져올 것 같았지만.... 모든 은행들이 오픈뱅킹을 하게 되어 사용자에게는 기존의 은행을 사용하는 것과 다른 무언가를 주지 못했다는 것과 비슷하다고 할까 싶다...

그렇다고 순기능이 아예 없는 것은 아니다. 사실 그동안 핀테크 기업들의 주요 사업방식의 하나가 개인정보를 사용자 동의 없이 긁어서 사용하는 스크래핑 기술이었다. 사용자는 자신의 정보가 어디에 쓰이는지 알 수 없었지만, 데이터3법 덕택(?)에 금융위가 핀테크 기업들의 개인정보 활용에 제동을 걸며 내민 카드가 바로 '마이데이터'였다.

핀테크 기업은 강하게 반발했지만 데이터가 돈이 되는 시대의 개인정보 활용에 대한 원칙은 중요한 것이니 마이데이터 사업은 과거 핀테크 업체들의 암암리에 행해졌던 스크래핑 기술의 합법화 버전이라고 볼 수도 있을 듯하다.

실제로 금융위는 마이데이터 사업이 본격화되는 시기와 맞물려 핀테크 업체들의 스크래핑을 금지시킨다는 방침이다.

또한 애초 면허가 한정적일거라 생각했으나, 비금융 마이데이터 사업자까지 확장되는 추세여서 사실상 처음 마이데이터 면허를 받고 사업을 추진하고 있는 사업자에게는..... 정말 말 그대로 대략 난감인 상황이다... 어찌 차별화 된 킬러 콘텐츠 서비스를 만들어 낼꼬.....

시동 꺼졌던 비금융 마이데이터, 9월말부터 다시 추진되나?

구구절절하게 설명했지만, 한 줄로 정리하자면...

마이데이터는 동의받은 개인정보를 토대로 고객 맞춤형 서비스를 제공하는 사업이다. 핵심은 '동의받은'이다.

데이터 결합
BM 뜯어보기

동의받은 개인정보를 활용하는 사업이 '마이데이터'라면 동의받지 않은 개인정보를 활용할 수 있도록 한 것이 '데이터 결합사업'이다.

이건 마이데이터보다 더 복잡하니 정신줄 바짝 부여잡고 읽길 바란다.

데이터 결합이란 말 그대로 기업 또는 공공/유관 기관들이 보유한 데이터를 결합하여 활용할 수 있도록 한 것이다.

어떤 데이터인고 하니, 개인정보를 개인이 특정되지 않도록 가명/익명 처리한 데이터다. 즉, 개인정보를 일일이 받는 것이 어렵고 돈과 시간이 많이 들어가다 보니 법으로 데이터를 보다 안전하게 그리고 다양하게 활용할 수 있도록 길을 열어준 것으로 판단된다.

물론 데이터 결합을 위해 작성된 가명 정보는 통계 작성, 연구, 공익적 기록보전 등의 목적으로 이용할 경우 동의 없이 활용이 가능하다고 개인정보보호법에 명시돼 있다.

또한 정보주체의 가명 정보 오남용을 막기 위해 법령에 정한 보안시설을 갖춘 전문기관을 통해서만 가명 정보를 결합하도록 개인정보보호법과 신용정보법에 명시했다.

엥???
갑자기 신용정보법???

자 어려운 이야기가 이어지니 집중하시라...

데이터 결합을 할 수 있는 권한은 개인정보보호법과 신용정보법에 근거하여 지정될 수 있다.

개인정보보호법에서는 개인정보보호위원회와 각 부처에서 '가명 정보 결합 전문기관'을 지정할 수 있도록 했다. 앞서 말한 데이터 결합 전문기관의 개인정보보호법상 공식 명칭이 '가명 정보 결합 전문기관'이다.

개인정보보호법상 가명 정보 결합 전문기관은 '비금융 데이터'만 결합할 수 있다. 그게 개인정보보호위원회로부터 지정받았다고 하더라도 말이다.

세상의 데이터는 '금융 데이터'와 '비금융 데이터'로 나뉜다.

이 데이터 중 개인정보보호법에 따라 '비금융 데이터'가 관리되고 신용정보법에 따라 '금융 데이터'가 관리된다.

이 때문에, 금융 데이터는 신용정보법상 결합 전문기관인 '데이터 전문기관'에서 결합해야 한다. 금융 데이터끼리가 아니다. 금융 데이터가 하나라도 들어갔다면 무조건 '데이터 전문기관'에서 결합해야 한다.

신용정보법에 따른 데이터 전문기관은 금융위원회가 지정한다. 현재는 금융보안원, 금융결제원, 신용정보원, 국세청 이렇게 4곳이 지정받았다.

사실 데이터 결합의 경우 가명 정보를 활용해 결합했다고 하지만 아무리 가명 정보라 하더라도 서로 다른 정보가 결합됐을 때 특정 개인이 식별될 가능성이 없는 것이 아니다.

이 때문에 금융위는 "결합 데이터의 외부 유출 및 재식별 방지를 위한 엄격한 보안 대책을 마련해 운영할 것"이라고 설명하며 금융 데이터 지정 대상을 비영리 법인 또는 공공기관으로 한정했다.

"공공적 성격을 지닌 기관을 우선 심사·지정한 뒤 추후 데이터 결합에 대한 사회적 신뢰가 쌓이면 민간기업으로 그 대상을 확대할 방침"이라는 말을 덧붙이며..

셀프 결합???
정리

그렇다면 데이터 결합 전문기관은 중립적으로 데이터를 단순히 결합해주는 기관인가 아니면 자기가 보유한 데이터를 타 기관과 결합해 사용할 수 있는 곳인가에 대한 물음에 도달하게 된다.... 설마... 나만 도달하게 된 것일까...

자기가 보유한 데이터를 타 기관의 데이터랑 결합하고자 할 때 자신이 결합할 수 있는가에 대한 법적 근거를 찾아봤다.

결론부터 말하자면, 신용정보법에 따른 데이터 전문기관은 신용정보감독규정 제15조2에 다른 데이터 전문기관을 이용하라고 명시돼있다. 즉, 안된다는 것이다.

개인정보보호법에는 그에 대한 구체적인 언급은 없다. 개인정보보호법 제28조 3(가명 정보의 결합 제한) 항목에 '서로 다른 개인정보 처리자 간의 가명 정보 결합은 전문기관이 수행한다'고 돼 있을 뿐이다.

신용정보법, 아니 신용정보 감독규정에는 있는 부분이 개인정보보호법 아니 시행령, 아니 고시에도 없다는 게 이상해 샅샅이 살폈다... 그리고 찾아냈다...

개인정보보호위원회에서 발간한 가명 정보 처리 가이드라인 15페이지에 한 줄이 있었다.

결론, 법이나 시행령에는 결합 금지에 대한 근거가 없지만, 신용정보감독규정과 가명 정보 처리 가이드라인에 본인이 보유한 데이터는 다른 결합 전문기관을 이용해야 한다고 적혀있다.

결합 키 이슈 정리

개인정보보호법 상 가명 정보 결합 전문기관은 결합 키 관리 기관인 한국인터넷진흥원(KISA)을 통해 결합 키를 제공받아 이를 통해 결합 업무를 수행해야 한다.

▲ 가명정보 결합 및 반출 세부절차(출처: 가명정보 처리 가이드라인)

신용정보법상에는 결합 키를 관리하는 별도 기관을 지정하지 않았다. 금융위로부터 결합 전문기관으로 지정받은 데이터 전문기관이 결합 업무를 알아서 잘 수행하면 된다.

어려운 이야기지만 꼭 알아야 할 내용이라고 생각돼 정리했다. 기사를 읽으며 잘못 적힌 내용들이 많은 것 같아 안타까운 마음에 정리했다.

부디 데이터 사업을 고민하는 이들에게 조금이라도 도움이 되었으면 하는 바람이다.