top of page
  • 작성자 사진Zkrypto

[MTN뉴스] 칼럼 | 마이데이터, 'my'는 어디에?...프라이버시 보호 기술, 진정한 마이데이터 시대 앞당길 무기

[출처] MTN뉴스 023-07-05 07:00:01

마이데이터, 'my'는 어디에?



2010년대 중반부터 금융권에서도 뒤늦게나마 디지털 전환 혁명이 시작됐다. 핀테크가 변화를 선도했고 이후 등장한 오픈뱅킹과 블록체인, 인공지능은 금융서비스를 고도화시켜 기존 금융업 판도까지 바꿀 촉매제로 자리매김했다. 머니투데이방송은 NH농협은행에서 디지털R&D센터장을 역임한 김봉규 지크립토 연구소장의 연재 칼럼을 통해 진화에 속도를 내고 있는 금융업의 발자취와 미래를 조명해본다. 김봉규 소장은 농협은행 재직 당시 오픈뱅킹의 전신 격인 오픈API를 국내 최초로 기획했으며 블록체인, 빅데이터 등 다양한 4차 산업혁명 기술을 금융서비스에 접목했다. 현재는 블록체인 기술기업 지크립토에서 웹3.0 시대에 대응할 미래금융 솔루션의 가능성을 모색 중이다.


김봉규 지크립토 연구소장(전무/공학박사)

022년 1월 본격적인 마이데이터 시대가 도래했다. 데이터를 원유에 많이 비교하는데, 원유를 가공하는 기술에 따라 다양한 상품으로 만들어지고 상품의 품질도 결정되기 때문에 데이터도 분석해 가공하는 기술은 매우 중요하다.


본인신용정보관리업을 마이데이터라 부르는데 신용정보법에는 이렇게 정의돼 있다. 본인신용정보관리업이란 개인신용정보 전송요구권의 행사를 기반으로 분산돼 있는 신용정보를 통합해 개인에게 제

하는 행위를 영업으로 하는 것을 말한다(신용정보업 제2조 제9호의2). 이 말의 취지는 데이터 제공자인 개인에게 자신의 데이터에 대한 자기결정권을 보장해 주고, 본인의 개인정보를 법적, 기술적으로 통제하고 관리할 수 있게 하는 것을 의미한다. 이전 글에서도 언급했지만 마이데이터는 금융기관의 오픈뱅킹 인프라를 기반으로 한 표준 API 방식을 이용한다.


그런데 지금까지의 현실은 마이데이터가 개인(my)을 어떻게 보호하고 개인(my)에게 어떤 도움을 주는지 잘 와닿지 않는다. 아마도 원인은 개인이 본인의 데이터를 통제하고 관리할 수 있도록 하는 검증된 기술 또는 도구가 아직은 미흡해서가 아닐까라고 생각한다. 애초에 개인의 데이터 주권을 보장해 주는 것이 취지였음에도 불구하고 지금까지는 개인정보 제공에 대한 동의 절차 제도에 너무 집중해 왔다는 아쉬움이 있다.


그렇다고 이러한 절차가 중요하지 않다는 이야기는 아니다. 그러나 데이터를 받는 기업으로서는 활용할 것이 있을 수 있겠지만, 제공자 입장인 개인에게 어떤 도움이 있을지는 대부분 잘 모르며 알려주지도 않는다.


그렇다면 마이데이터 사업자와 개인의 니즈(Needs)는 무엇이 다를까? 사업자 입장에서는 최대한 많은 동의를 통해 다양한 데이터를 확보하고 이를 기반으로 경쟁력 있는 서비스를 제공하거나 데이터를 유통하는 것이 필요하다. 그러나 개인의 입장에서는 자신의 개인정보를 최소화해 제공하고 자신의 혜택은 최대한 보장받기를 원할 것이다. 다시 말하자면, 개인은 자신의 정보를 최소화하면서 기업이 원하는 데이터를 선택적으로 제공하고, 자신의 경제적 혜택도 보장받고 싶어한다. 결국 현재로서는 마이데이터 사업자와 개인 모두를 만족시키기에는 어려움이 있어 보인다.


위에서 이야기하는 개인정보 최소화의 의미는 최근 많은 연구가 진행되고 있는 프라이버시 보호와도 연결된다. 가트너(Gartner)가 선정한 2022년 12대 전략기술 트렌드에도 관련한 언급이 있다. 가트너는 12개 전략기술을 엔지니어링 신뢰(Engineering Trust), 기술 구현의 변화(Sculpting Change), 성장의 가속화(Accelerating Growth)라는 3가지 영역으로 구성하고 영역별로 4개씩의 세부 기술을 선정했다. 이중 엔지니어링 신뢰(Engineering Trust) 영역에 개인정보보호 강화 컴퓨팅(Privacy-Enhancing Computation)이 포함돼 있는데, 이 영역에는 데이터 패브릭(Data Fabric), 사이버 보안망(Cybersecurity Mesh), 클라우드 네이티브 플랫폼(Cloud-Native Platforms)도 함께 분류됐다.


가트너는 4차 산업혁명 시대를 대표하는 인공지능, 블록체인, 클라우드와 데이터를 단순히 활용하는 단계를 넘어서 이를 활용해 진정한 비즈니스 가치를 실현해야 하는데, 이를 위해서는 기술의 신뢰성을 높여 안전하게 활용하는 것이 중요하다며 엔지니어링 신뢰(Engineering Trust) 선정 사유를 밝혔다. 또한 데이터 중에서도 가장 민감하게 다뤄져야 하는 개인정보의 보호는 매우 중요하기 때문에 이를 강화하는 컴퓨팅 기술의 도입은 필연적이라고 하면서 프라이버시를 지키면서 보다 다양하게 데이터를 활용해 가치를 실현해야 한다고 주장했다.


이렇듯 세계적 기술 흐름도 프라이버시 보호 기술 도입의 필요성을 언급하고 있는 것이다. 개인정보보호 관련 단체로 알려진 프라이버시 포럼(Future of privacy forum)은 영지식 증명, 동형 암호, 난독화, 데이터 마스킹, 합성 데이터 등을 향후 기업들이 관심 가져야 할 프라이버시 강화 기술(PET)로 전망하기도 했다.


특히 영지식 증명 기술의 경우, 온라인 투표와 디지털 자산거래 등에 효과적으로 적용하는 사례가 나타나고 있다. 예를 들어, 디지털 자산 거래 발생 시 내역을 암호화해 익명 처리하고, 거래가 '참' 임을 영지식 증명을 붙여 블록체인에 저장해 제3자가 확인하지 못하는 방법으로 프라이버시를 보호할 수 있다. 만약 금융정보분석원(FIU) 등 금융 당국에서 불법이 의심되는 거래를 확인하고자 할 경우 별도의 감사(audit) 키를 제공해 자금 세탁 등을 예방할 수 있는 수준으로 그 기술이 발전됐다. 또한 2022년 상반기에 한국은행에서 실시한 CBDC(Central Bank Digital Currency) 2단계 실험에서도 영지식 증명 기반의 프라이버시 보호 강화 기술을 실험한 것으로 알려져 있다.


데이터 금융시대를 표방하면서 출범한 마이데이터의 경우, 개인정보의 자기결정권을 위해 설계부터 파기까지 전 생명주기 동안에 프라이버시 보호 원칙은 매우 중요하며, 프라이버시 보호 기술은 이를 달성하기 위한 중요한 수단이 될 수 있다. 그래서 프라이버시 보호 기술을 적용해 최소의 개인정보만을 수집하도록 하고, 만약 당사자가 꼭 필요할 경우 처리 목적을 달성한 후 즉시 파기해 정보 주체인 개인의 개인정보 자기 결정권을 보장하도록 하는 금융당국과 금융회사의 노력이 더욱더 필요한 시점이다.


다행히 9월 15일부터 시행되는 개인정보 보호법 개정안에 전 분야 마이데이터 확산을 위한 개인정보 전송 요구권이 도입되는데, 이번 개정안 시행은 개인이 적극적이고 능동적으로 본인의 개인정보를 마이데이터 사업자에게 제공하고 유통하는 기반이 될 수 있을 것이다. 이와 더불어 더 많은 관련 연구와 혁신을 통해 개인의 프라이버시와 개인정보 자기 결정권이 보장되는, 개인(my)을 위한 진정한 마이데이터 시대가 열리는 그날을 기대해 본다.

조회수 15회댓글 0개

Comments


bottom of page