마이데이터코리아와 디지털데일리는 '뉴 노멀시대 마이데이터 비즈니스 성공전략'을 주제로 지난 9월 11일 좌담회를 개최했다. 마이데이터코리아 허브의 각 분과를 맡고 있는 고환경 변호사(법무법인 광장), 김인현 대표(투이컨설팅), 박주석 교수(경희대학교), 이영환 교수(고려대학교), 이상일 기자(디지털데일리, 사회)가 참여해 성공적인 마이데이터 기반 비즈니스 창출을 위한 의견교환의 시간을 마련했다.
마이데이터코리아허브는 글로벌 조직인 '마이데이터글로벌(MyData.org)'과 협업해 마이데이터 글로벌 스탠다드와 비즈니스모델을 도입하고, 우리나라 마이데이터 비즈니스의 글로벌 진출을 위한 사업을 추진하고 있는 비영리단체다. 이 날 진행된 좌담회 내용을 3회에 걸쳐 연재한다. <편집자>
[디지털데일리 이상일기자] 마이데이터 시대에 정보의 소유에 대한 논쟁은 꾸준히 이어질 전망이다. 이번 좌담회에서도 마이데이터에 있어 정보 소유에 대한 다각적인 접근이 이뤄졌다. 특히 우리나라는 신용정보법, 개인정보보호법 등 데이터의 소유에 대한 법체계가 분산되어 있다는 점이 문제로 지적됐다.
이와 함께 마이데이터 비즈니스의 기반인 오픈 API에 대한 기업들의 이해가 필요하다는 지적도 제기됐다. 오픈 API는 금융 마이데이터 사업을 시작으로 데이터가 오고가는 통로가 되고 있지만 타 산업권으로 마이데이터가 확대될 경우에는 일률적인 표준 적용이 쉽지 않다는 의견 등이 대두됐다.
복잡해진 데이터 오너십
개인정보보호법과 신용정보법, 그리고 마이데이터
정보이동권과 빅테크 쏠림 우려
▲고환경 변호사
우선 정보에 대해선 원칙적으로 전통적인 ‘소유권’은 성립되지 않는다. 지금까지 정보 자체에 대한 소유권을 인정한 판례도 없다. 그렇다면 왜 갑자기 데이터 오너십에 대해 논의가 이루어지고 있는가가 의문일 수 있다. 4차 산업혁명이 본격화되면서 데이터의 자유로운 흐름이 더욱 중요해 지는데 그와 더불어 개인정보 주체의 통제권 내지 결정권이 보다 강화될 필요가 있어 그와 관련한 논의가 본격화되고 있는 것으로 보인다.
데이터와 관련하여 데이터를 보유한 사업자는데이터 세트(Data set)에 대한 저작권 또는 편집저작권을 가진다. 그런데 데이터 유통이 활발해 지면 이러한 데이터 세트에 대한 이용 방식이 변화될 것으로 예상된다. 소프트웨어 분야를 보면, 이용자들이 저작권을 구매하던 방식에서 사스(SaaS, Software as a Service) 등과 같은 서비스 이용권을 취득하는 방식으로 이용 행태가 변화된바 있다. 데이터 분야에서도 데이터 오너십과 개인정보 자기결정권 사이의 갈등구조를 해소할 수 있는 법제도나 기술방식 등에 관한 논의가 본격화될 필요가 있다.
또한 데이터 경제 활성화 차원에서 인공지능 학습 데이터의 활용이나 빅데이터 분석 등을 위하여 저작자의 허락이 필요 없도록 하는 등의 저작권법 개정에 관한 논의 등을 주목할 필요가 있다.
▲박주석 교수
데이터 권리에 대해 명시적으로 법에 나와있나?
▲고환경 변호사
개정 신용정보법에서 개인신용정보 전송요구권으로 개인정보 이동권에 대해 규정하고 있다. 한편 개정 개인정보보호법은 개인정보 이동권에 관한 규정을 두고 있지 않다. 다만 개인정보보호법은 개인정보열람청구권을 규정하고 있다. EU 처럼 디지털화된 개인정보를 다운로드 받을 수 있는 권한에 대해서까지 규정하고 있지는 않지만 개인정보 처리자가 어떻게 처리하고 있는지 구체적으로 열람할 수 있는 권리가 인정된다.
개정 신용정보법은 정보주체가 제공하거나 서비스 이용과정에 생성한 정보는 이동권 대상으로 규정하고 있지만 기업이 노력하여 별도로 생성한 정보는 이동권의 대상이 아니라고 규정하고 있다. 신용평가정보 등은 전송요구권의 대상에서 배제된다.
마이데이터 사업은 본인 개인정보를 통합적으로 관리하는 한편 이를 활용해 금융, 의료 등 생활밀착형 서비스를 제공하는 사업을 말한다. 법적 측면에서 디지털 환경으로 전환하는 과정 중에 데이터 셋이 대규모화되고 컴퓨팅 파워가 발전하면서 개별 데이터 주체(개인 등)는 데이터 처리 과정에 소외되고 개인정보자기결정권이 제대로 보장되지 않을 가능성이 커지는데 마이데이터 개념이 도입되어 개인정보 자기결정권이 보다 강화되는 측면이 있다.
특히 마이데이터 사업 허가가 완료되면 고객 중심에서 실질적인 혜택을 제공하는 플랫폼 사업자들이 다수 등장할 것으로 예상된다. 금융 등의 분야에 플랫폼 서비스 생태계가 강조되고 있는데 마이데이터 사업자들의 사업이 본격화되면 그러한 패러다임의 변화를 주도할 것으로 예상된다.
▲김인현 대표
신용정보법 안에 마이데이터가 들어가 있는데 법체계로 보면 신정법 안에 들어가는 것이 맞을까?
▲고환경 변호사
개인정보 이동권이 일반법인 개인정보보호법에서 규정되어야 한다는 지적들이 있다. 다만 신용정보법에 먼저 도입된 이유를 살펴볼 필요가 있다.
EU GDPR은 디지털화된 개인정보를 다운로드할 권리와 기술적으로 가능하면 전송을 요구할 수 있는 권리를 개인정보 이동권으로 규정하고 있다. 디지털 데이터 처리가 보편화된 산업이 바로 금융 분야다. 모든 금융기관이 컴퓨터로 처리 가능한 디지털 정보를 가지고 서비스하고 있는데 디지털화하지 못한 산업 영역에서 개인정보이동권을 의무화하면 관련 시스템을 갖추기 위해 비용을 투자하여야 하는데 영세한 사업자들에게 상당한 부담이 될 수 있다.
EU에서도 기술적으로 가능하지 않은 부분에 대해선 개인정보 이동권을 의무로 도입하는 것에 대해 신중한 입장을 취하고 있다. 우리나라는 유통 등의 분야에서도 전자상거래가 활성화되어 있고, 의료에서도 전자적 데이터 처리가 보편화되어 있으므로 개인정보 이동권 도입이 EU 보다 빠를 수 있을 것으로 예상된다.
▲김인현 대표
우리나라 신용정보법에서 정보주체인 개인이 이동을 요구할 수 있는 데이터는 신용정보이다. 신용정보에는 계좌, 펀드, 보험, 전자결제의 거래내역, 국세 및 통신비 납부내역 등도 포함되어 있다. 이 범위는 상당히 큰 것으로 느껴진다. EU의 GDPR에서 규정한 데이터 이동권의 대상 범위는 우리나라와 비교하여 어떤가?
▲고환경 변호사
EU 역시 광범위하다. EU에서는 개인 신용판단 정보 뿐만 아니라 디지털로 처리되는 모든 정보를 개인정보 이동권의 대상으로 한다. 페이스북, 트위터 등도 GDPR에 개인정보이동권 규정이 도입되자 컴플라이언스 차원에서 플랫폼을 만들어서 이를 이행하고 있다.
개인정보 이동권은 이용 데이터가 서비스 전환시 장벽이 됨으로 인해 발생하는 이용자의 사업자에 대한 ‘고착 효과(lock-in effect)’ 해소를 위해 도입된 것으로 알려져 있는데, 오히려 사업 초기에 데이터 확보를 위해 노력한 스타트업 등에 부담이 될 수 있다는 비판도 있다. 실제 EU의 통계를 보더라도 정보 이동권 도입 이후 가입자들의 빅테크로 쏠리는 현상이 관찰되고 있다고 한다.
API와 오픈 API
금융권과 타 업권의 API 연동 가능성은?
스크래핑 규제, 영향은?
▲김인현 대표
마이데이터를 준비하는 대부분 금융사의 관심은 법규에 집중되어 있다. 법에서 허용했으니 인가를 받고 시작하려 하고 있다. 하지만 마이데이터는 기업이 기존에 하고 있는 비즈니스를 잘 하기 하는 것이 아니라 전혀 새로운 비즈니스라는 것을 생각해야 한다.
데이터를 다루는 비즈니스인 만큼 데이터를 가져오고 관리하는 라이프사이클 관점에서 기술, 정책, 프로세스를 만들어야 하는데 이에 고민이 부족해 보인다. 마이데이터 개념, 원칙, 등장 원인, 발전 전망 등에 대한 고민이 있어야 한다. 마이데이터 비즈니스 준비에는 다음 세가지 역량이 필요하다.
첫째는 데이터를 주고 받을 수 있는 기술 환경을 만들어야 한다. 데이터 연결을 안전하고, 빠르게 그리고, 비용효율적으로 운용할 수 있는 인프라를 갖추어야 한다. 이를 위해서는 오픈API 플랫폼을 도입해야 할 것으로 본다. 또한 데이터 연결 상대방을 인증하기 위한 기술로서 DID 기술도 주목받고 있다.
둘째는 데이터를 관리하는 기술이 필요하다. 많은 데이터를 모을 수 있다는 것은 축복으로 생각될 수 있다. 하지만, 데이터를 제대로 쌓고 관리하지 못하면 거대한 데이터 쓰레기산을 만드는 결과가 될 수 있다. 데이터 개념과 리니지. 역할과 책임 등을 규정한 데이터거버넌스와 데이터 통합플랫폼이 필요하다.
셋째는, 데이터를 수익화하는 방법을 배워야 한다. 이는 데이터를 자산으로 활용하여 어떻게 가치를 뽑아낼 것인가 하는 문제이다. 마이데이터 인가가 시작되면서, 보통은 비즈니스모델에 집중하는 경향이 있다. 비즈니스 모델은 물론 중요하다. 하지만 마이데이터 비즈니스 모델은 대부분 상상할 수 있는 범위 안에 있다. 비즈니스 모델에 의한 차별화는 쉽지 않다. 마이데이터 기업들은 서비스 디자인에 의해서 차별화가 될 것이다. 카카오뱅크와 시중은행의 비즈니스 모델은 거의 유사하다. 카카오뱅크가 고객들을 끌어 모으는데 성공할 수 있었던 것은 보다 빠르고, 편리하고, 유리한 조건으로 서비스를 제공했기 때문이다.
▲이영환 교수
API에 대한 정의에 있어서 기술적으로 정의된 협약으로 봐도 될 것인가? API에는 상대방과 연결할 때 조건, 서비스 유형, 목적, 대상, 기간 등을 사전에 정의하는데 이처럼 상대방과 합의하여 제한된 범위에서 데이터와 서비스를 연결한다. 우리가 실제 해보니 API를 기술적으로 정의된 협약으로 봐도 되지 않을까 궁금해졌다. API를 쓰게 되면 거기에는 계약 상대방이 제시하는 조건이 구체적으로 정의되어 있다. 물론 이에 동의하지 않으면 쓰지 못한다. 이런 부분들 때문에 API를 기술로만 보는 것이 아니라 양자간 협약으로 보고 거기에 공통된(표준) 요소들을 주목하게 되었다. 그래서 이 부분을 얘기하고 싶다.
▲김인현 대표
데이터를 주고 받기 위해서는 주는 쪽과 받는 쪽의 협약이 필요하다. 마이데이터 시대가 되면 연결해야 하는 대상 조직의 수는 개인 데이터를 보유하고 있는 대부분의 조직과 마이데이터서비스를 직접 수행하는 조직 등 상당히 큰 규모가 될 것이다. 이들 조직들이 양자간 협약 방식으로 데이터를 주고 받게 되면, 연결이 복잡해지고 비용과 시간이 많이 들게 된다.
이런 경우에는 양자 협약 보다는 표준을 적용하는 것이 바람직하다. 모든 거래 주체가 같은 방식으로 데이터를 주고 받을 수 있는 표준을 같이 사용한다. 표준을 지키면 누구나 데이터 연결을 쉽게 할 수 있다. 철로 폭의 국제 표준이 있어서, 여행객은 국경을 지날 때 마다 기차를 갈아타지 않아도 되는 것과 마찬가지이다.
API는 오픈 정도에 따라 파트너API와 오픈API로 구분한다. 파트너API는 양자간 협약에 의한 API라면, 오픈API는 데이터생태계 참여자들이 합의한 공통API이다. 본인신용정보를 주고 받는데 적용될 표준은 오픈API 표준이다. 현재 표준화 작업이 진행되고 있고, 곧 공개될 것으로 발표되어 있다.
▲박주석 교수
API는 연결을 위한 기술협약이라고 본다. 현재 마이데이터를 보유하고 있는 기업들이 오픈API에 얼마나 적극적인가에 대해서는 의문이 있다. API를 개발하는 회사들은 각자 개별적으로 표준을 정하고 운영하려는 경향이 있다. 이렇게 되면, 데이터의 원활한 흐름이 가능한 사회를 만드는데 불리한 환경이 될 수 밖에 없다. 데이터 생태계 차원에서 데이터 보유조직과 마이데이터 서비스 조직 등의 니즈를 충족시킬 수 있는 오픈API 표준을 설정해야 한다.
▲고환경 변호사
API 때문에 타 사업자가 접근 하지 못하는 경우가 있긴 하다. API는 데이터 오너십을 어디까지 인정할 지와 이동권 대상 정보 이슈와도 맞물려 있다. 정부는 스크린 스크래핑을 금지하고 2021년 8월 이후는 API로만 정보수집을 가능하겠다고 했는데 이는 보안상 문제가 없도록 하겠다는 것이다. 오픈 API처럼 기술적으로 정리된 협약에 따라 서로 데이터를 주고받게 하는 것이 생태계 건전한 초기 구축에 중요할 수 있다.
▲이상일 기자
마이데이터는 금융, 통신, 상거래, 헬스케어 등 여러 영역이 있다. 오픈API 표준은 전체 영역을 대상으로 해야 하는 것인가? 그러한 표준이 반드시 필요할까? 개별 대기업 그룹사 단위에선 자체적인 표준으로 가는 것이 경쟁력 확보에 도움이 될 수 도 있다.
▲김인현 대표
마이데이터는 데이터 주체인 개인의 데이터가 여기 저기 흩어져 있는 것을 모아서 개인에게 제공해주는 서비스이다. 개인의 데이터를 가져 와서 통합하는 것은 마이데이터 영역 내에서 이루어지기 보다는 영역 간에 이루어지는 것이 바람직하다. 예를 들어서 개인의 헬스케어 데이터와 금융거래 데이터를 융합하면 더 나은 서비스를 만들 수 있다. 따라서 오픈API표준은 전 마이데이터 영역을 대상으로 정해지는 것이 바람직하다. 하지만 표준 적용 대상의 범위가 커지면 커질수록 표준화 자체가 어렵게 된다.
마이데이터 사업자 입장에서는 모든 데이터를 가져오는 노력을 하는 것이 얼마나 효과적인가도 생각해봐야 한다. 예를 들어서 헬스케어가 중심인 마이데이터 서비스라면, 신용정보 마이데이터는 독자적으로 인가를 받고 데이터를 수집하기 보다는 신용정보 인가를 받은 기업과 협업하는 방안이 유리할 수도 있다.
▲박주석 교수
오픈 API에 대해선 금융위가 가이드라인을 만들고 마이데이터 사업자가 이에 맞춰 사용하는 것인데 비 금융권에선 금융위에서 만든 오픈 API를 기본으로 활용해 확장하겠다는 개념이 강해 실제 금융위 가이드라인이 중요해졌다. 행안부 공공마이데이터 포털도 금융위 가이드라인을 가지고 하겠다는 것이다. 근데 가이드라인은 일부 협약만 가이드를 주고 모든 것을 주는 가이드는 아닌 것 같아 걱정이 된다.
▲고환경 변호사
데이터 표준관련 금융위가 가이드라인을 제시하는 것은 가능하다. 금융권은 데이터가 정형화되어 있고 디지털화가 잘 되어 있다. 전송요구권 대상정보도 시행령 별표에 모두 열거돼 있다. 하지만 이를 비금융 오픈 API에 접목하려면 데이터 속성이 달라 쉽게 가능할지는 의문이다. 데이터 표준화 관련해 메타데이터 작업, 데이터 태깅(tagging) 작업이 필요하다. 비정형 데이터가 일반화된 산업영역에서 오픈 API 방식의 데이터 표준 설정이 가능할지 등이 궁금하다.
산업간 융합은 신뢰 구축이 전제되는데 시간이 걸릴 것으로 보이고 데이터 마이닝과 관련하여 실제 처리를 해 보아야 뒤늦게 가치를 발견하게 되는 특성이 있다. 이제 해보는 것이고 가명처리, 규제 샌드박스 등 안전한 놀이터에서 마이데이터 사업을 해보고 다른 사업으로 경험을 이전해도 된다고 본다.
▲김인현 대표
스크래핑을 이제 제한하게 되는데 기업 중 스크래핑 기반의 통합자산관리 플랫폼을 만들어 잘 서비스하는 경우가 있다. 그런데 이를 못하게 하면 새로 API로 만들어야 하는데 이는 기업이 투자한 내용이 보호가 안되는 셈이다. 은행영업점 자동화에 스크래핑 기반으로 투자된 부분이 있는데 이것도 문제다. 스크래핑을 허용하면 대상이 되는 기관이나 기업의 입장에서는 워크로드 증가, 데이터 보안 등의 문제가 발생하게 되지만, 일정한 기준을 정하고 이를 충족하면 스크래핑을 한시적으로 허용하는 것은 어떨까 싶다.
▲이영환 교수
API 방식은 쌍방간 합의에 의한 것이지만 스크래핑은 합의되지 않은 경우가 많다. 스크래핑의 경우는 데이터를 보유한 입장에서 누가 어떤 데이터를 얼마나 가져가는지 알 수 없다.
하나의 예로서 미국에서는 매크로를 금지하는 케이스가 있다. 이유는 매크로를 사용하는 사람은 매크로를 쓰지 않는 사람에 비해 짧은 시간에 더 많은 이벤트 참여 신청 클릭을 할 수 있는데 이것은 개인 입장에서 보면 다른 사람의 기회를 빼앗는 것으로 간주하여 이벤츠 신청 시 매크로 사용은 불법으로 간주하고 처벌하고 있다.
즉 기술 자체보다는 기술을 활용한 의도나 행위에 초점을 두는 것이다. 따라서 API만 허용하고 스크래핑은 금지하는 차원이라 아니라 더 효율적인 기술을 선택적으로 활용하도록 하되, 그 활용 목적을 철저히 규제하면 어떨까 한다.
▲고환경 변호사
오픈 API에선 사용한 만큼 IT리소스 비용에 대한 분담을 하는데 스크래핑 방식은 기업이 개인의 정보 취득을 대리하는 지 아니면 직접 하는건지 구분이 안되는 측면이 있다.