데이터 판매에 '화들짝' 놀란 이용자들... 마이데이터는 정말로 정보주권을 보장하나?

[IT동아 정연호 기자] 데이터 주권을 보장하는 마이데이터 서비스가 그 취지에서 벗어나고 있다는 비판이 나온다. 마이데이터는 금융회사에 흩어져 있는 개인정보를 마이데이터 사업자에게 전송하는 권리를 말한다. 하지만, 마이데이터 사업자가 이용자 정보를 제삼자에게 판매할 때 이용자에게 관련 내용을 충분히 고지하지 않는다는 문제가 발생하고 있다. 마이데이터 이용자는 자신의 데이터가 어떻게 사용되는지도 모르는 상황이다.

최근 모바일 금융 플랫폼 토스가 마이데이터 사업과 관련해, 이용자 정보를 제삼자인 보험설계사에게 판매한 것이 논란이 됐다. 설계사는 1인당 6만 9000원을 지불하고 데이터를 받은 것으로 알려졌다. 토스가 이용자 동의 없이 데이터를 판매한 것은 아니다. 이용자가 토스 앱에서 마이데이터 보험 상담을 신청한 경우에만 설계사에게 데이터를 제공했다. 보험 상담 신청 시 개인정보를 제삼자에게 제공하는 것과 관련된 동의도 받는다. 모든 설계사가 데이터를 받는 게 아니라, 사용자와 전문 설계사를 연결하는 유료 서비스를 구매한 설계사만 데이터에 접근할 수 있다.

토스의 ‘개인정보 제삼자제공 동의’ 약관을 보면, 보험 설계사가 받는 정보는 이름, 생년월일, 보험연령, 성별 등의 일반정보와 보험사정보, 상품명, 계약자와 피보험자의 성명, 납입여부, 보험료, 보험기간, 납입기간, 보장내용, 보장금액 등의 보험가입 정보다. 은행과 증권사 계좌 같은 민감한 금융정보는 포함되지 않는다. 개인정보가 제공되는 이유는 이용자 보험의 보장 내역을 분석하고, 맞춤형 금융 상품을 고도화하려면 개인정보와 보험 정보가 필요하기 때문이다.

토스는 지난 1월 마이데이터(본인신용정보관리업) 사업자 자격을 획득해, 관련 법령에 따라 ‘데이터 판매 및 중개 업무’를 수행할 수 있다. 마이데이터 사업자는 제삼자에게 데이터를 제공하는 대가로 수수료를 받는 게 가능하다. 제삼자 제공 동의만 받으면 개인정보를 판매하는 건 법적으로 합법이다.

토스를 운영하는 비바리퍼블리카는 제삼자 제공 약관에서 “정보 제공할 때 사용자의 전화번호를 직접 제공하지 않고 있다. 정보 보호를 위해서 일회용 안심번호를 제공한다”고 밝혔다. 토스를 통해 보험상담을 받아도 스팸문자를 받을 일은 없다고 한다. 마이데이터 서비스를 종료하고 싶다면 토스 앱에서 데이터를 철회하는 것도 가능하다.

“약관 핵심 내용을 이용자가 제대로 이해했는지가 중요”

마이데이터 사업자가 데이터를 제삼자에게 제공하는 상황의 문제는 '이용자는 누가 어떤 데이터를 받았는지 모른다’는 것이다. 그 과정에서 마이데이터 사업자가 돈을 벌고 있다는 점도 모르는 경우가 많다.

현재 개인정보 보호법상, 제삼자 정보 제공은 서비스 이용 시 명시적으로 동의를 받으면 합법적인 행위다. 마이데이터 사업자가 제삼자에게 데이터를 제공할 때 관련된 기록을 공개할 법적인 의무는 없다. 데이터를 판매해도 처음에 제삼자 제공 동의를 받았으면 거래 시 내용을 고지할 필요가 없다는 게 전문가들의 설명이다. 사업자의 선택에 따라 정보를 공개할지 말지가 달려있다.

전문가들은 약관과 관련해 “개인정보를 제삼자에게 제공할 때 유상으로 판매한다는 것도 명시적으로 고지하고 동의를 받는 게 중요하다”고 말한다. 토스 같은 경우엔 지난 6월 개인정보 유상판매 논란이 일자 앱 이용자 약관에 이용자 정보가 유상판매될 수 있다는 점을 추가했다. 또한, 약관 목적에 위배되는 개인정보 사용은 불법이며, 활용하는 정보의 범위, 목적 등이 달라지면 이 내용을 다시 동의를 받는 것도 필요하다.

물론, 마이데이터 서비스에 동의할 때 이용자는 약관을 통해서 어떠한 데이터가 제공되는지 확인할 수 있다. 또한, 이용자가 서비스를 이용하고서 철회를 할 수 있고, 사업자에게 관리를 허용할 데이터를 정할 수도 있다. 보험 서비스만 받고 싶다면 보험 데이터만 제공하면 되고, 은행 서비스를 받을 때 특정 은행의 데이터만 전달할 수도 있다.

다만, 이 정도로는 데이터 주권을 보장한다고 할 수 없다는 지적이 나온다. 마이데이터 사업자가 데이터를 어떻게 사용하는지 이용자가 제대로 알지 못한다면 데이터에 대해 주권을 가진 것이라고 할 수 없기 때문이다. 마이데이터 지원센터가 운영하는 ‘마이데이터 종합포털’에서도 마이데이터를 관리할 수는 있지만, 본인이 어느 마이데이터 사업자에게 마이데이터 서비스에 동의했는지 정도만 확인할 수 있다. 제삼자 데이터 거래기록은 알 수 없다.

개인정보 보호 전문가들은 이용자가 마이데이터 서비스를 이해하지 못하는 이유에 대해 “이용자가 핵심 내용을 충분히 이해할 수 있도록 약관이 설계되지 않기 때문”이라고 지적한다. 약관을 제대로 읽지 않고 넘기는 사람도 많아서 이들이 핵심 내용을 제대로 파악할 수 있도록 약관을 개선할 필요가 있다.

개인정보보호위원회와 행정안전부의 2019년 조사에 따르면, 전체 응답자 59.8%는 개인정보 제공 시 동의서를 확인하지 않는다고 답했다. 이유는 내용을 확인하는 게 번거롭고, 동의서엔 내용이 많으며 이를 이해하기 어려워서였다. 마이데이터뿐 아니라 금융상품은 약관에서 사용하는 단어가 어렵기 때문에, 특히 핵심 내용을 쉽게 이해할 수 있도록 약관을 작성하는 게 중요하다.

한국소비자원의 김재영 선임연구원은 “이용자가 마이데이터 서비스에 동의를 하고 약관 내용을 확인하는 건 어려운 편이다. 토스 같은 경우엔 데이터를 철회하는 과정, 서비스 이용에 동의하고서 약관 내용을 다시 찾아보는 과정 모두 쉽지 않다”고 말했다.

이어, “최근에 문제가 되는 다크패턴(이용자를 속여 의사결정을 방해하는 인터페이스)도 개선돼야 한다. 동의하지 않으면 이용자에게 불리한 것처럼 약관을 작성하는 것은 지양해야 할 부분”이라고 설명했다. ‘혜택을 받지 않고 기회를 놓치시겠습니까?’ 이런 식으로 동의를 받는 것들은 개선돼야 한다는 것이다.

약관 내용을 전부 나열하고 동의란에 체크를 받고서 끝내는 기존 방식에서 벗어나 이용자가 쉽게 이해할 수 있게끔 구성을 변경해야 한다는 의견도 나온다. 데이터를 유상 판매한다면 그 부분을 강조하는 것처럼 핵심 내용만이라도 이용자가 제대로 내용을 전달받도록 해야 한다는 것이다.

마이데이터 지원센터 관계자는 “마이데이터 사업자가 필수적으로 지켜야 하는 사안에 대해서는 가이드라인이 있다. 사업자가 서비스를 오픈하기 전에 보안 및 관련 가이드라인을 지켰는지 점검을 한다”고 전했다. 다만, 기본 서비스 외에는 가이드라인을 주지 않는다고 한다. 마이데이터 사업자가 어떤 서비스를 할지 알 수 없기 때문에, 모든 걸 다 가이드라인으로 관리하면 자유도가 떨어질 수 있기 때문이다.

개인정보 전문가들은 이용자가 원하지 않는 개인정보 유통을 제한하는 것이 필요하기 때문에, 노출된 자신의 정보를 한눈에 살펴보고 공개 여부를 통합적으로 관리하는 시스템이 필요하다고 말한다. 유럽연합은 개인이 자신의 정보를 저장하고 관리하는 개인정보 관리시스템(PIMS)을 마련해두고 있다. PIMS에선 개인이 자신의 데이터를 저장하고 관리할 수 있다. 이용자는 PIMS를 통해 어떠한 기관에서 정보를 받거나 보낼지 결정할 수 있다. 국내에선 PIMS와 관련된 기능을 제공하는 플랫폼이 없다.

마이데이터, 이용자도 제대로 된 혜택을 느껴야

업계에서는 마이데이터의 취지를 이해하는 것이 필요하다는 이야기가 나온다. 데이터 거래를 막는 건 애초에 마이데이터 취지를 무색하게 만들기 때문이다.

익명을 요청한 한 관계자는 “마이데이터는 개인의 금융 기록을 분석하기 위해서 데이터를 활용하자는 취지에서 시작됐다. 이를 위해 데이터를 제삼자에게 제공하는 것”이라면서 “맞춤형 서비스를 받기 위해선 전달해야 하는 정보가 있다는 걸 이용자들이 이해하는 것도 중요하다”고 말했다. 그는 “금융상품은 상품 자체가 복잡하다. 보통 오랜 기간에 걸쳐서 상품을 보유하게 되는데, 그렇기 때문에 더 정확하게 이용자를 파악하는 게 중요하다”고 했다.

다만, 기업들이 데이터를 통한 수익화에만 매진하는 걸 견제하는 장치도 필요하다는 지적이 나온다. 고려대학교의 이성엽 교수(마이데이터포럼 회장)는 “개인정보 데이터를 통해서 사업자가 이익을 보는 게 있다면, 그 이익에 대해서 일정 부분 이용자에게도 혜택이 돌아가야 하는 게 아니냐는 논의가 진행되고 있다. 이용자에게 돌려주는 건 없고 정보를 판매하겠다고만 하면 마이데이터에 동의할 이용자는 그렇게 많지 않을 것”이라고 말했다.

이어, 이성엽 교수는 “우선, 마이데이터를 통해서 발생할 수 있는 위험에 대해서 명확하게 전달하는 게 필요하다. 그리고, 마이데이터를 통해 저렴한 가격의 맞춤형 금융상품에 가입할 수 있게 하고, 이용자와 데이터 판매에 따른 수익을 공유하는 등의 실질적인 혜택이 나오는 것도 중요하다”고 말했다.

글 / IT동아 정연호 (hoho@itdonga.com)