금융보안원 “데이터 주권 확보의 핵심은 보안…안전한 마이데이터 사업 정착 돕겠다”

[IT동아 김동진 기자] 올해 1월부터 마이데이터(본인신용정보관리업) 사업이 전면 시행됐다. 마이데이터 사업은 소비자 개인이 자신의 금융데이터에 관한 제공 범위나 접근 승인 여부 등을 직접 결정해 데이터 주권을 확립하겠다는 목적으로 추진됐다. 이에 따라 소비자가 동의할 경우, 여러 금융사에 흩어진 개인 금융정보를 통합, 분석해 다양한 맞춤형 서비스를 제공할 수 있게 됐다.

예컨대 정유사업자와 통신, 유통사업자가 보유한 데이터를 한곳에 모아 특정 차종의 소유주가 선호하는 스마트폰은 무엇이고, 백화점에서의 소비성향은 어떠한지를 분석해 맞춤형 금융 서비스를 제시하는 방식이다. 사업자 입장에서는 적재적소에 마케팅을 전개할 수 있어, 마케팅 비용 대비 효율을 높일 수 있다. 이러한 이해관계가 일치해 이종산업 간 데이터 동맹이 활발히 추진되고 있지만, 데이터 주체인 소비자는 방대한 데이터가 한곳에 모이는 만큼, 안전하게 내 정보가 지켜질지 우려를 표한다.

이같은 우려를 불식시키기 위해 마이데이터 보안을 전담하는 기관이 있다. 금융보안원이다. 박진석 금융보안원 디지털전략본부장은 마이데이터 전면 시행에 대비해 금융보안원이 전개한 다양한 보안강화 활동을 소개하며, 앞으로도 빈틈없는 보안을 유지하겠다고 강조했다.

―마이데이터 전면 시행 전 보안 강화를 위해 추진한 사항들을 소개해달라.

마이데이터 전면 시행에 앞서 안전한 방식으로 소비자가 개인신용정보를 전송할 수 있도록 관련 규격과 절차를 담은 ‘표준 API 규격’을 개발해 지난해 9월 배포했다.

기존에는 소비자의 인증 관련 정보를 미리 받아 쌓아놓고, 고객의 요청이 있을 때 사업자가 접근해 인증하는 방식이었기 때문에 유출 가능성이 컸다. 이를 개선해 서비스 개발 단계부터 금융보안원이 제시한 표준 규격을 사용하고, 개인의 요청이 있으면 정보제공자가 정보토큰을 발급하는 방식으로 보안을 강화했다. 해당 토큰에는 유효기간이 부여되기 때문에 사용 후 특정 시간이 지나면 사라져 데이터 유출 위험을 줄일 수 있다.

마이데이터 사업자가 보안 취약점을 개선했는지 여부도 점검하고 있다. 지난해 금융당국은 신용정보업 감독규정을 개정해 마이데이터 사업자에게 연 1회 보안 취약점을 점검하도록 의무를 부여했다. 이에 따라 보안전문 기업 등으로 구성한 27개 외부 평가전문기관이 점검에 나서 취약점을 발견하면 시정하도록 권고하고, 그 결과를 금융보안원이 확인한다.

이 규정에 따라 지난해 40개 마이데이터 사업자가 취약점 점검을 마쳤으며, 1월 사업 전면 시행 과정에서 서비스를 제공한 마이데이터 사업자 34개사도 점검을 완료했다.

이 밖에도 금융보안원은 지난 1월부터 2월까지 마이데이터 사업 전면 시행에 따라, 혹시 모를 해킹과 정보유출 상황에 대비해 신속 대응지원체계를 24시간 가동한 바 있다.

마이데이터 사업자를 대상으로 해킹 시도 모니터링과 취약점 분석 및 침해사고 대응 등의 내용을 담은 보안관제 서비스도 제공하고 있다.

―마이데이터 사업의 기반이 된 데이터 3법이 2020년 8월 시행됐다. 이후 금융보안원은 데이터전문기관으로 선정되기도 했는데, 어떤 역할을 하고 있나?

데이터전문기관은 기업 간 데이터 결합을 안전하고 효율적으로 지원하는 역할을 수행한다. 금융보안원은 2020년 8월, 데이터전문기관으로 선정된 이후 약 80건의 데이터결합을 지원했다.

지금까지 적게는 양자 간 데이터 결합부터 많게는 11자 간 데이터 결합을 지원했으며, 결합에 참여했던 기업이 재참여하는 비율도 높다. 최근에는 마이데이터 시행으로 은행과 보험, 핀테크, 유통, 통신, 공공 등 다양한 업권에서 데이터 결합을 신청하고 있다.

이종산업 간 데이터를 주고받는 과정에서 유출 또는 재식별로 인한 보안사고를 방지하기 위해, 결합 관련 사항을 기록해 관리하고 주기적으로 취약점을 분석, 평가하고 있다.

―이종산업 간 안전한 데이터 거래를 위해 금융데이터거래소도 직접 운영하고 있다고?

그렇다. 금융데이터거래소는 2018년 3월, 금융위원회가 제시한 금융분야 데이터 활용 및 정보보호 종합방안에 따라, 안전한 데이터 거래를 위해 금융보안원이 직접 구축해 운영하고 있다.

현재 106개 기업이 참여해 1174건의 데이터 상품을 거래했으며, 누적 거래액은 약 11억원이다.

국내 데이터 유통시장이 이제 막 형성되고 있는 초기 단계이기 때문에 거래소 활성화에 어려움이 있다.

따라서 올해 공급자와 수요자 간 매칭 기능을 강화하고, 금융부문 데이터 활용 사례를 적극 발굴해 공유할 예정이다. 금융데이터를 활용하는 방법에 대한 교육도 강화할 계획이다.

―올해 금융보안원의 중점 추진사항은 무엇인가

마이데이터 사업이 성공적으로 안착할 수 있도록 오는 9월, 마이데이터 통합인증 중계시스템을 운영할 예정이다.

해당 시스템이 본격 운영되면, 모든 연동 대상 기관(정보제공자, 중계기관, 인증기관)은 통합인증 중계시스템에 한 번만 연동하면 지속해서 이용할 수 있다.

이에 따라 정보제공자 또는 중계기관이 모든 인증기관과 개별적으로 연동하지 않아도 되기 때문에 연동, 관리 비용을 대폭 절감할 수 있을 것이다.

또 다양한 인증기관의 신규 인증수단 도입이 편리해지고, 소비자의 인증수단 선택권 확대와 이용 편의성 제고도 기대된다.

앞으로도 금융소비자가 보안이 확보된 상태에서 안전하고 편리하게 마이데이터 서비스를 이용할 수 있도록 전담기관으로서 다양한 지원책을 발굴하겠다.

글 / 김동진 (kdj@itdonga.com)