[데이터넷] 본인신용정보관리업, 요람에서 무덤까지 내 삶에서 발생한 신용정보를 모두 수집해 통합 관리해 주는 마이데이터 산업이다. 고객이 본인신용정보 전송요구권을 행사하는 그 순간 해당 정보제공자는 즉시 전송해야 하는 의무가 발생한다. 내 권리이자 금융기관의 의무가 생긴 것이다. 마이데이터 산업의 가장 기본이 되는 정보주체의 개인신용정보 전송요구권의 법적 효력이 2021년 2월 5일부터 발휘됐다. 바야흐로 2021년도는 마이데이터 산업의 원년이다. <편집자>

연재 순서 1. 마이데이터, 대한민국에 새로운 업(業)을 만들다 2. 마이데이터 서비스, 정보제공자 3. 마이데이터 서비스, 종합 포털 4. 마이데이터 서비스 (이번호)

정보주체가 마이데이터 서비스 앱에서 정보제공자를 선택하고 ‘개인신용정보 전송요구권’을 특정하는 순간 마이데이터 생태계는 그 즉시 작동을 시작한다. 정보주체로부터 선택받은 정보제공자는 정보주체에 대한 개별인증 또는 통합인증을 통해 강력한 본인인증을 수행한 후, 본인신용정보를 지정한 마이데이터사업자에게 안전하게 전송해야 한다.

정보주체 개별인증
금융보안원이 마이데이터 지원센터를 통해 공개한 ‘금융분야 마이데이터 표준API 규격’은 본인인증 절차를 규정하고 있다. 정보주체가 개별인증 방식을 통해 정보제공자로 하여금 본인의 개인신용정보를 마이데이터사업자에게 전송해 줄 것을 요구하면, 다음과 같은 절차를 거치게 된다.

① 인가코드 발급: 정보주체가 정보제공자에게 본인임을 개별인증을 통해 인증하고, 전송요구 자산을 선택해 전송요구권을 행사한다. 이를 위해 정보제공자는 개별인증 웹뷰(WebView) 및 자산내역선택·전송동의 웹뷰를 제공해야 한다. 정보제공자는 인증 및 전송요구가 성공적으로 완료되면 인가코드를 발급해 마이데이터사업자에게 전달한다.
② 접근토큰 발급: 마이데이터사업자는 인가코드를 이용해 정보제공자에게 접근토큰 발급을 요청하고, 정보제공자는 정보주체의 전송요구 내역을 기반으로 권한(scope)을 설정해 마이데이터사업자에게 접근토큰을 발급한다.
③ 개인신용정보 전송요구 내역 조회: 마이데이터사업자는 발급된 접근토큰을 이용해 전송요구 내역을 조회한다.

정보주체의 개별인증을 위해, 금보원의 표준API 규격에서 정의하고 있는 API는 [표 1]과 같다.

정보주체가 전송요구권을 행사하기 전에 정보제공자의 고객이 맞는지 확인하는 개별인증 절차를 살펴보면 [그림 1]과 같다.

① 정보주체가 마이데이터 서비스 앱에서 정보제공자(정보제공자)를 선택하면
② 마이데이터사업자의 API접근서버는 해당 정보제공자 G/W에게 인가코드 발급 API를 호출하고
③ 정보제공자 G/W는 개별인증 웹뷰 화면으로 리다이렉트해
④ 정보주체가 개별인증 및 자산내역·전송동의 웹뷰 화면을 통해 인증 및 전송요구를 완료하면
⑤ 정보제공자는 전송요구내역을 저장하고
⑥ 정보제공자는 마이데이터사업자가 인가코드 발급 요청시 함께 보내준 리다이렉트_uri로 인가코드(state)를 전달하면
⑦ 마이데이터사업자는 state 값을 검증한 후
⑧ 정보제공API 호출을 위한 접근토큰 발급 요청하고, 정보제공자는 접근토큰을 발급해 응답한다.

정보주체의 개인신용정보 전송요구, 정보제공자의 개별인증 및 인가코드 발급 등 절차는 [그림 2]와 같다.

정보주체 통합인증
금보원의 표준API 규격에서는 마이데이터사업자가 수행하는 정보주체에 대한 통합인증에 대해 다음과 같이 규정하고 있다.

• 통합인증방식: 정보주체가 마이데이터 서비스를 이용하기 위해, 통합인증 기관으로부터 발급받은 통합인증 수단을 이용해 1회 인증으로 다수 정보제공자에게 개인신용정보 전송요구권 행사 및 인증을 동시에 수행하는 방식
• 통합인증기관: 다수 정보제공자가 정보주체를 공통적으로 식별 및 인증하는데 필요한 식별정보(정보통신망법 하위 고시의 ‘연계정보(CI)’)를 적법하게 제공 가능한 기관 중에 충분한 보안 수준 등을 갖춰 통합인증기관으로 참여한 기관
• 통합인증수단, 통합인증서: 통합인증기관으로 참여한 인증서 본인확인기관이 발급한 인증서 본인확인수단(공동인증서(범용, 은행, 증권), 금융인증서 등)

금보원의 ‘금융분야 마이데이터 기술 가이드라인’에서 정의하고 있는 고객관점의 통합 본인인증 절차는 다음과 같다.

① 정보주체가 통합인증 메뉴를 선택하면, 마이데이터사업자는 정보제공자 선택화면을 제공
② 정보주체는 정보제공자 선택화면에서 개인신용정보 전송을 요구하고자 하는 정보제공자를 선택(여러 개 선택 가능)
③ 마이데이터사업자는 통합인증 표준창을 팝업으로 띄우고, 정보주체는 통합인증 수단 선택
④ 정보주체가 선택한 통합인증 앱이 실행되고, 정보제공자 선택 및 보유계좌/상품목록 메뉴를 선택한 후
⑤ 전송요구를 완료하기 위해 통합인증 인증서 비밀번호를 입력하면
⑥ 정보제공자별로 인증정보(전송요구내역 등에 대한 전자서명 값 1종, 본인확인 목적의 개인정보제공 및 활용 동의에 대한 전자서명 값 1종)를 생성
⑦ 마이데이터사업자는 인증정보를 이용해 각 정보제공자에게 ‘자산목록 조회 권한’을 갖는 접근토큰을 발급받아, 요청 발급된 접근토큰을 이용하여 각 정보제공자로부터 정보주체가 보유한 자산목록을 조회해 정보주체가 전송요구(또는 전송요구 변경)할 자산을 선택할 수 있도록 자산 선택화면을 제공
⑧ 정보주체는 자산을 선택하고 자산별 개인신용정보에 대한 전송요구권을 행사하기 위해 통합인증수단을 이용해 위에서 선택한 정보제공자별로 인증정보(전송요구내역 등에 대한 전자서명 값)를 생성
⑨, ⑩ 마이데이터사업자는 인증정보를 이용하여 각 정보제공자에게 접근토큰 발급을 요청하고, 정보제공자는 정보주체의 전송요구 내역을 기반으로 권한을 설정하고 마이데이터사업자에게 접근토큰을 발급

이와 같이 통합인증을 통한 정보주체의 개인신용정보 전송요구 및 접근토큰 발급 절차는 [그림 3]과 같다.

금보원의 표준API 규격에서 정의하고 있는 통합인증 API는 [표 2]와 같다.

한 가지 재미있는 점은 통합인증기관으로 CI를 적법하게 제공 가능한 기관으로 한정하고 있다는 것이다. 현재 CI를 적법하게 제공 가능한 기관은 정보통신망법상 인증서 본인확인기관(예: 舊 공인인증기관 등)이 해당한다. 이에 향후 적법하게 CI를 제공할 수 있는 전자서명법상 운영기준의 준수 사실을 인정받은 전자서명인증사업자 등으로 통합인증기관의 범위를 확대 예정이라고 한다.

개인정보 보호 규정 준수해야
지난 2월 22일 마이데이터 지원센터를 통해 공개된 금보원의 표준API 규격은 0.9버전으로 통합인증 절차, 보증보험업권(서울보증보험) API 추가, 통신업권 API 추가 등의 큰 변화가 있었다. 무엇보다도 ‘정보주체별 전송요구 내역 조회 API(지원-103)’의 API 제공자가 정보제공자에서 마이데이터사업자로 변경됐다.

이는 개별인증의 경우, 개별인증 및 자산내역·전송동의 웹뷰를 통해 정보제공자가 전송요구 전 과정을 처리하게 되는데, 이때 정보제공자가 API 제공 시 제3자 정보제공 동의 등의 이슈가 발생해 변경됐다. 왜냐하면 신용정보법에 다음과 같은 조문이 있기 때문이다.

제3조의2(다른 법률과의 관계) ① 신용정보의 이용 및 보호에 관하여 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다. ② 개인정보의 보호에 관하여 이 법에 특별한 규정이 있는 경우를 제외하고는 개인정보 보호법에서 정하는 바에 따른다.

마이데이터 생태계에 참여하는 모든 주체는 물론, 대한민국에 사는 모든 개인은 개인정보보호법을 먼저 준수하기를 바란다. 나의 개인정보가 중요하듯이 다른 사람들의 개인정보도 중요하다는 것을 잊지 말아야 할 것이다.