[데이터넷] 오는 8월 마이데이터 사업이 본격 시행된다. 마이데이터는 여러 금융기관, 통신사 등에 흩어진 개인정보를 통합 관리할 수 있는 서비스로, 자신의 데이터를 직접 관리할 수 있으며, 자신의 조건에 맞는 서비스를 이용할 수 있다는 장점이 있다. 서비스 기업들은 동의받은 개인정보를 활용해 더 경쟁력있는 서비스를 제공할 수 있어 새로운 시장을 열어가는데에도 도움이 된다.

과학기술정보통신부가 선정한 마이데이터 서비스 실증 과제 중 평화이즈 컨소시엄이 진행하는 사례는 서울·인천 성모병원, 경희의료원 등이 보유하고 있는 건강검진결과, 처방전 등을 개인이 통합관리하고, 맞춤형 운동이나 영양관리, 복약지도 등 건강관리 서비스와 연계할 수 있다. 마이데이터를 이용해 서비스하는 기업은 개인의 건강상태를 분석해 질환별 맞춤형 식단 개발과 서비스를 제공할 수 있다.

서울특별시 컨소시엄은 서울시내 버스, 지하철, 택시 등 개인 공공 교통 이용 내역을 서울시에 제공해 보상을 받고, 서울시는 이를 바탕으로 대중교통 혼잡도 관리, 방역관리 등 공공서비스 개선에 활용한다. 소상공인연합회 컨소시엄은 상가 임대료, 권리금 등 소상공인 데이터를 통합하고 대출 등에 활용할 수 있는 플랫폼을 구축한다.

금융권은 초개인화 마케팅에 마이데이터를 활용한다. 개인 금융·신용정보와 개인의 라이프스타일을 분석해 꼭 맞는 금융상품과 자산관리 서비스를 제공한다.

개인정보 보호가 핵심 요구사항

마이데이터는 데이터 경제를 일으킬 핵심 사업으로 주목되고 있지만, 한편에서는 우려의 시각도 있다. 마이데이터는 고객이 직접 제공한 정보만 사용할 수 있기 때문에 금융기관의 성장을 도울 수 있는 혁신 서비스나 맞춤형 서비스를 제공하는데 한계가 있다.

예를 들어 새로운 금융서비스를 개발할 때 고객의 연령, 성별, 가족구성, 소득수준, 주로 생활하는 지역 등에 따라 다른 라이프스타일을 파악하고 유사한 유형의 사람들에게 적합한 상품을 제안한다. 마이데이터 서비스는 보다 더 세밀한 개인정보를 이용할 수 있기 때문에 개인화 서비스를 개발하는데 최적이지만, 피어그룹 분석이 되지 않기 때문에 시장의 흐름과 동떨어진 결과를 도출할 수 있다.

마이데이터에 개인정보를 제공하는 소비자가 충분하지 않을 것이라는 시각도 있어 마이데이터 사업 의 미래를 불투명하게 보이게 한다. 수많은 개인정보 유출 사고로 피해를 입었거나 피해사례를 잘 알고 있는 금융소비자들은 자신의 정보를 제 3자에게 제공하는 것을 극히 꺼린다. 현재 자신의 정보를 제공하지 않고도 다양한 개인 맞춤화 서비스를 이용할 수 있어 마이데이터 사업이 얼마나 활황을 보일지 알 수 없다.

가장 중요한 문제는 개인정보를 어떻게 보호하느냐다. 마이데이터는 중요하고 민감한 개인정보와 금융·신용정보를 다루며, 사업이 확대되면 의료·건강 관련 정보나 개인의 라이프스타일과 관련된 다양한 정보가 공유되기 때문에 개인정보 보호는 핵심 중의 핵심이라고 할 수 있다.

마이데이터 개인정보와 관련된 내용은 신용정보법, 민원처리법, 전자정부법 등에 흩어져있는데 이를 개인정보보호법으로 일원화 해 적용된다. 개인정보보호위원회, 과학기술정보통신부, 금융위원회, 보건복지부, 행정안전부, 4차산업혁명위원회가 참여하는 범정부 거버넌스를 구축하고, 정책실무를 담당할 추진단도 구성·운영되며, 공공기관의 마이데이터 생태계 활성화 기반도 마련된다.

상황 맞는 비식별화 기술 필수

마이데이터 사업을 위한 법·제도 정비가 활발하게 진행되는 가운데, 사업자들도 안정적인 서비스 제공을 위한 플랫폼을 만들고 최종 점검을 진행하고 있다. 이 플랫폼은 ▲본인 인증, 신용정보 제공 동의 ▲데이터 제공사로부터 데이터 전송, 수집 ▲고객 맞춤형 서비스 생성을 위한 데이터 분석 등의 기능을 포함한다.

또 개인 동의를 받은 정보만 안전하게 전송하고, 적법하게 전송이 이뤄졌는지 인증하는 체계를 갖추고 있으며, 개인정보 암호화와 인증, API 보안 등을 마련하고 있다. 마이데이터 플랫폼과 서비스에 취약점이 있는지 점검하며, 외부와 단절된 내부망에서만 개인정보가 접근될 수 있도록 해야 한다.

특히 개인정보 보호에 각별히 신경써야 하는데, 본인이 정보제공에 동의했다는 사실이 분명히 확인되어야 하며, 동의받지 않은 데이터는 비식별 처리 후 사용할 수 있지만 다른 데이터와 결합 시 재식별되어서는 안 되기 때문에 안전한 비식별 처리 기술도 필요하다.

비식별 솔루션과 컨설팅을 제공해 온 파수는 데이터 결합 전문기관과 마이데이터 서비스 사업자, 빅데이터 센터를 대상으로 GDPR, HIPAA, CCPA 등 국내외 컴플라이언스를 충족하는 안전한 개인정보 가명처리 및 가명정보 결합 솔루션과 컨설팅을 제공한다.

한국인터넷진흥원(KISA), 금융보안원, 한국도로 공사 등 가명정보 결합과 관련된 전문기관 외에도 국립암센터, BC카드 등이 파수의 비식별 솔루션 및 컨설팅을 활용했다. 마이데이터 사업자의 여건과 주관 심사를 중심으로 세분화된 비식별화 컨설팅을 제공한다. 예를 들어 조직과 시스템이 갖춰진 마이데이터 사 업자에게는 ‘비식별화 마스터플랜 컨설팅’과 ‘비식별 적절성 진단 컨설팅’이 제안된다.

운영 조직 내 업무가 과도하거나 관련 전문성이 높지 않은 경우, 법적준거성을 유지하면서 안전하게 비식별 처리하는 ‘비식별 처리 위탁 서비스’를 제공한다. 마이데이터 서비스 사업자 외에도 데이터 결합 전 문 기관은 전문기관 마스터플랜 및 심사지원컨설팅을 받을 수 있다.

다양한 비식별 환경 지원 기능 제공

파수의 비식별화 솔루션 ‘애널리틱디아이디(Analy ticDID)’는 다양한 비식별 환경에 필요한 기능만을 선택해 유연하게 적용할 수 있도록 전체 솔루션이 기능별 모듈로 구성돼 있다. 결합 전문기관, 빅데이터 플 랫폼, 빅데이터 센터 등 다양한 규모와 사용환경을 지원한다. 또한 대용량 분산처리 구조를 통해 대용량 데이터를 빠르게 처리할 수 있으며, 다양한 API 제공을 통해 사용자 맞춤형 자동화 플랫폼을 구성할 수 있도록 지원한다.

고동현 파수 상무는 “비식별 처리는 가이드라인에서 정한 알고리즘을 적용하면 되는 쉬운 기술이라고 생각하기 쉬운데, 절대 그렇지 않다. 사업 목적에 따라, 상황에 따라 다른 알고리즘을 자동으로 적용해야 하며, 안전하게 관리할 수 있는 전문성이 있어야 한다. 비식별된 데이터가 잘못된 값을 도출한다고 판단되면 역분석해 비식별 알고리즘이 어떻게 왜곡됐는지 확인하는 것도 필요한데, 알고리즘만 적용한다 해서 이러한 요구를 만족할 수 있는 것은 아니다”고 말했다.

고동현 상무는 “파수는 국내에서 가장 많은 기관에 비식별 컨설팅과 솔루션을 공급해 온 시장의 리더로 서, 마이데이터 사업자, 서비스 제공 사업자 등에 안전 한 개인정보 보호와 비식별 컨설팅·솔루션을 제공해 시장을 확장해 나갈 것”이라고 말했다.