[인터뷰] 호서대 박정관 교수 “마이데이터 2.0, 정보주체 중심돼야”

“마이데이터가 처음에 금융위원회를 중심으로 한 금융 분야에서 이제 개인정보보호위원회를 중심으로 보건의료, 통신, 유통 등 일반 산업까지 확대되고 있다. 앞으로 마이데이터의 지속가능한 발전을 위해선 정보주체인 개인이 수단이 되는 것이 아니라 중심에 있어야 한다.”

27일 박정관 호서대학교 기술경영전문대학원 겸임교수는 스트레이트뉴스와의 인터뷰에서 마이데이터 2.0시대에 대한 소견을 밝혔다. 

박 교수는 방송통신위원회와 과학기술정보통신부 등에서 전파방송통신(ICT) 정책을 담당했다. 주요 경력으로는 ▲미래전파공학연구소 ICT 정책연구실장 ▲지능정보사회 이용자 보호 민관협의회 위원 등을 경험한 인물이다. 현재는 호서대 기술경영전문대학원 겸임교수와 법무법인 율촌 방송통신·ICT 전문위원을 겸직하고 있다.

마이데이터는 2022년 1월 본격적으로 시행된 제도이다. 다른 나라들에선 민간에서 산발적으로 시행하고 있던 것을 국내에선 정부가 주축이 되어 데이터 산업 활성화와 개인의 데이터 주권 강화를 목표로 야심차게 시행, 운영하고 있다. 

박 교수에 따르면, 마이데이터 제도는 금융 분야 혹은 다른 분야에서도 디지털전환 시 필연적으로 발생할 수밖에 없는 개인의 데이터를 어떻게 해야 할 것인가란 고민에서 출발했다.

그는 “마이데이터에 있어 가장 어려운 부분이 흩어져 있는 정보주체(개인 소비자)의 데이터를 내가 지정한 마이데이터 사업자에게 전달하는 것”이라며 “한국은 이를 ‘개인정보 전송요구권’이라는 이름으로 신용정보법과 개인정보보호법에 반영했다”고 말했다. 

하지만, 실제 마이데이터를 운영해 본 결과, 아직은 몇 가지 아쉬운 부분이 지적되어 왔다.

박 교는 “마이데이터 서비스 이용 시 자산 내역 등이 상세히 조회되지 않는 부분이 있다”며 “오프라인에서는 가입할 수 없다는 점 역시 이슈인 상황”이라고 말했다. 이어 “장기 미사용 계좌에 대해서는 조회가 어렵고, 이용자가 자신이 결제한 내역을 확인하려고 해도 일부 결제수단에서는 상세한 거래내역 정보가 제공되지 않는다”고 덧붙였다.

금융위원회는 이런 부분을 개선하고 다시 한번 마이데이터 서비스를 활성화하기 위한 목적으로 지난달 ‘마이데이터 2.0’이라는 이름으로 새로운 추진방안을 발표했다. 

주요 내용은 ▲전체 금융자산이 조회되면서 공공서비스와의 연계가 강화되어서 정보가 많아지는 것 ▲오프라인으로도 가입할 수 있게 되어서 더 많은 사람이 이 서비스를 이용할 수 있고, 마이데이터와 타 데이터와 결합을 허용하는 것 ▲정보주체의 동의 절차를 간소화하고, 가입 유효기간을 1년에서 5년으로 연장할 수 있게 하는 것 ▲제3자 제공 시 보안 강화 등의 내용이 있다.

핀란드를 중심으로 한 북유럽에선 개인 데이터 활용(마이데이터) 서비스에 대해 ▲사람이 중심이 되는 통제가 가능하게 하자는 것 ▲정보주체가 중심이 되어 배분할 수 있도록 하는 것 ▲정보주체인 개인에게 권한을 부여해야 한다는 것 ▲데이터를 이동시켜서 재사용 할 수 있도록 하자는 것 ▲투명하고 책임감 있게 다루자는 것 ▲상호운용성이 가능하도록 하자는 것 등 6가지 큰 원칙을 세웠다.

한국의 경우, 개인정보 전송요구권을 법으로 강제하고 있는데 이는 다른 나라에 없고 우리나라만 처음 시도하고 있다. 마이데이터 서비스를 활성화시켜서 데이터 산업이 돌아가게 하고, 개인도 자신의 흩어진 자산을 활용할 수 있게 하자는 취지다.

박 교수는 “북유럽의 원칙에 비춰본다면, 정부나 마이데이터 사업자들에 비해서 정보주체인 개인 소비자가 여전히 ‘중심’에 있지는 않다는 생각이 든다”며 “마이데이터 2.0 시기에 전송의무 사업자에 대한 비용 보전과 영업기밀 정보에 대한 전송 거부 등 다양한 이슈가 있지만, 근본적으로는 정보주체가 마이데이터에서도 소외되는 일이 없도록 더 균형을 잡아야 할 것”이라고 말했다.

한편 박 교수는 “최근 유럽연합 의회를 통과한 인공지능법(EU AI Act)에 대해 국내 금융사의 대비가 필요하다”는 제언도 했다.

EU는 해당 법에서 금융 서비스와 관련해 ▲개인 및 기업의 신용도를 평가하는 시스템 ▲금융 사기 탐지 및 예방 시스템 ▲금융 시장 인프라 관리 시스템 ▲보험 가입자의 위험을 평가하고 청구를 처리하는 시스템 등을 고위험으로 규정했다.

박 교수는 “EU가 과거 개인정보보호법(GDPR)에서 개인 데이터 보호를 위해 요구했던 사항이 이번 EU AI Act에도 그대로 적용됐다”며 “데이터 품질 보증 및 프라이버시 보증을 위해서 더욱 애를 써야 한다“고 설명했다.

이어 “EU AI Act에 따르면, 고위험 시스템에 속할 경우 엄격한 ‘적정성 평가’를 받게 되어 있는데, 국내 금융기관과 핀테크 사업자들은 이 평가를 통과하기 위해 비용을 들이고 절차를 밟아야 한다”며 “사전에 적정성 평가에 알맞은 기술을 개발하고 규제에 대응하고 있어야 할 뿐만 아니라 리스크 관리 및 인력 재교육을 해야 한다”고 말했다. 

박 교수는 건전한 디지털 금융 생태계 구축을 위한 정부의 역할도 강조했다. 

그는 “금융 분야의 디지털전환(DX)이 빠른 속도로 이루어지고 있다”며 “생성형 AI가 이를 더 가속화시킬 것”이라고 말했다. 이어 “특히 빅테크와 통신사업자가 금융 분야에 플레이어로 가세하다 보니 이전에 비해 금융분야의 경쟁이 훨씬 심해지고 있다”고 밝혔다.

박 교수는 “개인정보 주체가 중심이 되어 기업이 다양한 혜택을 제공해야 하지만, 단순히 상업적인 마케팅 용도로 활용되는 수준에 머무는 상황이 우려된다”며 “중장기적으로 금융사는 효율적인 수익창출을 목적으로만 소비자의 마이데이터를 운영할 가능성도 있다”고 설명했다.

그는 “본래 마이데이터 제도 도입 취지에 따라 금융사는 소비자 재산 및 투자정보와 같은 데이터를 안정적으로 유지해야 하는 역할을 해야 한다”며 “기업이 이러한 공적 역할을 제대로 수행할 수 있도록 결국 정부가 디지털전환 과정에서도 균형을 잡고 나가야 할 것”이라고 덧붙였다.

[스트레이트뉴스 조성진 기자]