"보안성 강화된다지만 해킹 등 데이터 보안 여전히 우려"
![내년부터 API방식을 이용한 마이데이터 서비스가 본격적으로 시행된다. [출처=연합뉴스]](/news/photo/202112/119364_101337_3050.jpg)
본인신용정보관리업(마이데이터) 전면시행이 한 달여 앞으로 다가오면서 소비자들로서는 개인정보의 유출을 걱정하지 않을 수 없는 현실이 됐다. 본인 동의가 필수적으로 요구되긴 하지만 ‘편의’를 위해 수락한 것이 원치 않는 3자에게 유출될 가능성은 여전히 남기 때문이다.
일각에서는 회사가 데이터를 직접 제공받는 것이 아니고 암호화된 형식으로 받아 유출우려가 낮고, 설사 해킹 등의 방법으로 유출이 되더라도 누군가를 특정할 순 없다고 하지만 현재 보안기술을 고려하면 완전한 개인정보 보호까진 갈 길이 멀어 보인다.
10일 금융권에 따르면 내년 1월부터 마이데이터 사업이 전면적으로 시행된다. 이달 1일부터 시범서비스 운영을 하고 있다.
마이데이터 사업은 흩어진 개인 금융정보를 취합해 활용하는 서비스로, 금융소비자가 사업자(금융회사)에게 권한을 위임해 개인정보를 취급할 수 있도록 하는 것이 핵심이다.
권한을 위임받은 사업자들은 개인데이터를 얻어 다양한 상품을 개발하거나 소비자에게 적합한 상품을 추천하는 용도 등에 사용할 수 있게 된다. 사전에 금융당국의 허가를 얻어야 함은 물론이다.
사실 마이데이터 서비스는 그동안 오픈뱅킹 등 자산관리, 맞춤형 대출정보 제공 등의 형식으로 제공돼 왔다. 내년부터 본격 시행되는 마이데이터 서비스는 정확히 말하면 ‘API방식 마이데이터 서비스’로 차이는 회사가 정보를 가져오는 방식에 있다.
기존에는 사업자가 권한을 얻고 필요한 금융소비자의 데이터를 가져오는 스크래핑(scrapping) 방식이었다면, 내년부터는 중계기관 등을 통해 데이터를 요청한 뒤 받는 API(응용프로그램 인터페이스) 방식이 적용된다. 셀프 식당(스크래핑)과 종업원 서빙 식당(API)의 차이를 떠올리면 이해가 쉽다.
현재 KB국민·NH농협·신한·우리·IBK기업·하나은행 등 6개 시중은행과 키움증권·하나금융투자·NH투자증권 등 3개 증권사, KB국민·신한·하나·BC·현대 등 5개 카드사와 농협중앙회 등 상호금융, 뱅크샐러드·핀크 등 2개 핀테크사가 지난 1일부터 마이데이터 사업 시범서비스에 참여 중이다. 이달 중 20여개의 금융사들이 추가로 참여할 예정이며, 본 서비스가 시행되는 내년에는 16개사가 미비된 시스템 개발작업 등을 마친 뒤 참여한다.
카드사는 사업에 가장 큰 관심을 보이는 곳 중 하나다.
그동안은 서비스만 제공해도 자사 고객들의 소비패턴과 규모 등 자체적으로 수집되는 데이터가 있었지만, 마이데이터 사업으로 타사 고객들의 정보까지 활용할 수 있게 되면 보다 효율적인 마케팅 전략을 펼칠 수 있기 때문이다.
금융당국에 따르면 마이데이터 제공에 동의한 소비자가 카드사에 제공하는 주요 정보는 △결제내역 △청구금액 △포인트현황 △현금서비스 및 카드론 내역 등이다.
◇ 보안 우려 여전…“해킹 위협 근본적 차단은 불가능”
이러한 개인정보는 사업자들이 가장 관심 있어 하면서도 주의해야 할 요소다. 제공되는 정보의 범위가 넓고, 필요에 따라 마케팅을 전략적으로 펼칠 수 있는 만큼 ‘구미가 당기는’ 장사임이 분명하지만 작은 정보 유출도 회사의 신뢰를 무너뜨리기 쉬워 금융권에서는 보안에도 각별한 주의를 기울이고 있다.
금융당국에 따르면 현재 금융회사들은 자체 API망을 구축하기도 하고 금융결제원, 신용정보원 등 중계기관을 이용하기도 한다. 카드업계에서는 롯데·하나·BC·신한·현대·KB국민·삼성카드 등이 자체 망을 구축했고, 현대백화점·한화갤러리아백화점카드는 금융결제원을 중계기관으로 이용 중이다.
업계에서는 각 데이터망을 관리하는 별도의 관리부서를 두면서 보안에 신경 쓰는 한편, 데이터 보안 부문은 금융당국에서 정하는 지침(규격)에 따르고 있다고 설명한다.
한 카드사 관계자는 “직접 API망을 구축한 곳과 중계기관을 이용하는 곳이 있다”라며 “자체 망이 있는 곳은 당연히 별도의 보안부서를 두고 데이터 관리에 힘쓰고 있고, 중계기관은 대부분 공공기관인 만큼 보안문제에 대해서는 민간보다 철저하지 않겠나”라고 말했다.
다른 관계자는 “현재 마이데이터 서비스는 금융위원회 총괄로 하고 있는데 보안 부분은 금융보안원이나 신용정보원 등 중계기관이 담당하고 있다고 한다”며 “기술가이드, 암호화, 소프트·하드웨어 보안 규격 등이 다 정해져 있어 참여 금융기관들은 이를 토대로 정보를 주고받는다”라고 말했다.
정부 또한 민·관영역에서 데이터를 활용하는 기술이 늘면서 자연스레 데이터 보안에 신경을 쓰고 있다.
![[출처=연합뉴스]](/news/photo/202112/119364_101338_3153.jpg)
지난달 과학기술정보통신부는 데이터 보호를 강화하고 활용성을 높이기 위해 개인정보·금융정보와 같은 민감정보를 가리는 개인정보 강화 기술을 고도화한다고 발표했다.
민감정보를 가명·익명으로 처리하는 비식별화 기술을 개발하고, 공개된 데이터에서 추론을 통해 민감한 정보를 알아내는 문제를 막기 위해 차등보호 정보기술 개발에 2년간 27억원을 투자한다는 계획이다.
업계에서는 보안부서와 더불어 제공받는 정보도 암호화된 형태로 제공되는 만큼 보안에 문제가 없을 것으로 파악하는 것으로 보인다.
한 카드사 관계자는 “API방식이 적용되면 개인정보가 암호화된 형태로 제공돼 회사가 개인을 식별할 수 없는 것으로 알고 있다”라며 “해킹이 불가능하다고 하는데, 설사 유출이 되더라도 조합이 사실상 불가능한 형태로 암호화된 것으로 안다”고 말했다.
다만 데이터 보안에 대한 우려를 불식시키기에는 아직 갈 길이 먼 상황으로 보인다. 기술적으로 해킹의 위협으로부터 자유로울 수 없고, 데이터가 과도하게 공유되거나 유출될 경우 사생활 침해에 대한 논란까지 야기시킬 수 있기 때문이다. 특히 제공되는 정보의 범위가 넓다보니 금융사고가 일어날 경우 그 피해의 규모 또한 커질 수밖에 없어 우려는 여전하다.
당국과 관계자들은 소비자들이 마이데이터 서비스를 안심하고 이용할 수 있도록 다양한 안전장치를 마련하고, API방식의 서비스는 스크래핑 방식에 비해 보안이 한층 강화된다고 설명하지만 전문가들은 해킹을 막는 건 물리적으로 불가능하다고 설명하고 있다.
고려대 정보보호대학원 김승주 교수는 “시스템이 완전하게 구현됐을 때 스크래핑에 비해 API방식이 기술적으로는 안전하다”면서도 “다만 어떤 시스템을 쓴다 해도 해킹 위협을 근본적으로 막는 것은 불가능하다”고 말했다.
[위키리크스한국=김수영 기자]
swimming6176@wikileaks-kr.org
