마이데이터는 개인이 데이터 주권을 갖는 것이다
마이데이터는 인간중심적인 개인 데이터 생태계(Human-Centric Personal Data Ecosystem)를 의미한다. 마이데이터에서는 개인데이터에 대한 주권을 개인이 갖고 능동적으로 활용할 수 있어야 한다. 개인이 자신의 데이터에 대한 주권을 갖는 다는 것은 다음과 같은 뜻이다.
▶ 개인은 자신의 데이터를 완전하게 통제할 수 있어야 한다. 즉, 자신의 데이터에 접근할 수 있고, 갱신 또는 삭제할 수 있어야 한다. 또한 자신의 데이터를 다른 기업이 사용하는 것을 허가 하거나 제한할 수 있어야 한다.
▶ 개인은 자신의 데이터를 활용할 수 있어야 한다. 개인이 자신의 데이터를 관리, 가공 또는 분석 등의 서비스를 이용하기 위하여 데이터 보관 기업에게 자신의 데이터를 이동시키도록 요구할 수 있어야 한다.
▶ 개인은 자신의 데이터로부터 발생하는 수익을 차지할 수 있어야 한다. 예를 들어서, 제3자가 개인의 데이터를 판매하여 수익을 발생시켰다고 하면 해당 수익은 개인에게 돌아가야 한다.
선진국의 마이데이터 제도는 이미 정착단계이다
마이데이터 생태계의 육성을 추진하고 있는 선진 사례로 핀란드의 MyData Initiative, 싱가포르의 MyInfo, 프랑스의 MesInfos, 영국의 오픈뱅킹(Open Banking), 미국의 Smart Disclosure 등이 있다. 각국의 마이데이터 정책에서 OAuth2를 활용하여 개인의 동의 기반으로 개인데이터를 교류하도록 의무화하거나 권장하고 있다.
▶ 핀란드 - MyData Initiative
핀란드의 경우 MyData Initiative라는 명칭하에 OAuth2를 활용하여 개인데이터를 공유하도록 2014년부터 정부 주도 프로젝트를 시범 운영 중이다. OAuth2에서 권한 제공기관의 역할을 MyData Operator라고 하는 개인의 마이데이터 계정을 운영하는 기관에게 부여하고 있다. 핀란드를 중심으로 시작된 프로젝트이지만, 현재는 MyData Global이라는 비영리 단체를 형성하여 한국을 포함한 23개국으로 활동의 범위를 넓혀 가고 있다.
▶ 싱가포르 - MyInfo
싱가포르의 MyInfo는 2017년부터 정부 주도 하에 디지털화된 신원확인 체계를 수립하려는 NDI(National Digital Identity) 프로젝트의 일부이다. 싱가포르 NDI는 고객의 편의성 향상 및 신원정보 관리 업무 효율성 증대 등의 긍정적인 효과를 입증하고 있는 대표적인 해외 마이데이터의 선진 사례 중 하나다. 싱가포르 NDI는 API기반의 디지털화된 신원정보 서비스인 MyInfo를 금융, 의료 등의 분야까지 확대 이용할 수 있도록 서비스 중이며 싱가포르 정부기관의 온라인 서비스 SSO기능을 제공하는 SingPass와도 연계하고 있다. OAuth2의 권한 제공기관의 역할을 SingPass가 담당하고 MyInfo를 데이터 제공기관으로 하여 서비스 중이다.
▶ 프랑스 - MesInfos
프랑스의 MesInfos는 프랑스 기업인 Fing의 주도하에 개인중심적인 데이터 생태계의 가치를 연구 및 구현하기 위한 프로젝트로서 2016년부터 추진 중이다. Fing은 핀란드에서 시작된 MyData Global에서 MyData France 허브를 운영하고 있기도 하다. 프랑스의 경우 특정한 기관을 권한 제공기관으로 지정하지 않고, 개인정보 관리 시스템인 PIMS(Personal Information Management System) 또는 데이터 제공기관의 역할을 맡은Source Data Controller가 권한 제공기관의 역할을 맡도록 설계하고 있다.
▶ 영국 - Open Banking
영국의 오픈뱅킹(Open Banking)은 2017년 발표된 Retail Banking Market Investigation Order 2017(The CMA Order)를 토대로 2018년 1월부터 시행하고 있는 금융 산업에서의 대표적인 마이데이터 사례이다. 영국의 오픈뱅킹은 제3자가 API를 통해 은행이 보유하고 있는 고객의 금융정보에 안전하고 편리하게 접근할 수 있도록 허용하는 정책이다. 오픈뱅킹에서는 오픈뱅킹 디렉토리(Open Banking Directory)라는 기관을 설립하여OAuth2 프레임워크에서의 권한 제공기관의 역할을 부여하고 있다. 아울러, 데이터 제공기관의 역할은 개인의 금융정보를 보유한 은행들이 담당하고 있는 체제이다.
▶ 미국 – Smart Disclosure
미국은 2011년에 제정된 소비자 프라이버시 권리법(Consumer Privacy Bill of Rights)에 의하여 개인 데이터를 개인에게 돌려주는 스마트공시를 운영하고 있다. 스마트공시의 의미는 데이터를 표준화하고 기계가 읽을 수 있는(Machine readable) 형태로 제공함으로써 소비자가 자신의 의사결정에 도움을 받을 수 있는 형태로 제공해야 한다는 것이다.
스마트공시는 데이터 도메인에 따라 버튼의 색깔을 다르게 정하고 있다.
▶ 블루 버튼은 개인 의료데이터를 다운로드할 수 있는 서비스로서 재향군인청(Veterans Affairs), 국방부(Department of Defense), 보건후생부(Health and Human Services), 등이 참여하고 있다.
▶ 그린 버튼은 소비자들이 자신의 에너지 소비 내역을 알아볼 수 있는 서비스이다. 에너지부(Department of Energy)와 환경보호청(Environmental Protection Agency) 등이 서비스하고 있다.
▶ 마이 스튜던트 데이터 버튼은 미 교육부 주관으로 학생(또는 부모)에게 교육 자료 및 학자금 지원 데이터에 대한 접근권을 제공한다.
▶ 오렌지 버튼은 태양열 산업의 데이터를 표준화하여 태양광 설비 비용 절감 및 기술 개발을 촉진하기 위한 데이터 공유 정책이다. 오렌지 버튼은 마이데이터라기 보다는 오픈데이터에 가깝다고 할 수 있다.
[표 1] 각 사례별 Oauth2 역할
PIMS*: Personal Information Management System
ASPSP**: Account Servicing Payment Services Provider
OAuth2의 국내 활용과 마이데이터 제도 도입
공공기관에서 금융결제원의 은행권 공동 오픈플랫폼 개발자 사이트인 ‘Testbed Developers’ 사이트의 오픈 API소개 자료에 OAuth2를 설명하고 있다. 금융보안원에서 2016년에 발간한 ‘전자금융과 금융보안 제3호(2016-01)는 “핀테크 활성화의 일환으로 금융권의 오픈 API 제공을 위한 핀테크 오픈플랫폼 구축이 추진됨에 따라, 금융정보 제공 시 안전한 인증 방법으로 OAuth 2.0 및 관련 보안기술에 대한 관심”이 급증하고 있다고 밝혔다.
이처럼 안전성 및 보안성에 대해서는 국내 금융 공공기관도 인정하고 있지만, 마이데이터 생태계 육성에 초점을 두고 국민 개개인의 위임을 받아 권한 제공 기관의 역할을 담당하는 조직은 아직 없다. 현행법 상으로는 국내에서 데이터 이동권이 보장되지 않고 있어 권한 제공 기관의 역할을 주도적으로 담당할 기관 또는 기업이 아직 없는 것으로 판단된다.
우리나라에서도 마이데이터 관련 법규와 제도를 만들기 위한 노력이 진행되고 있지만 아직 마이데이터 법규 준비 수준까지는 이르지 못하고 있다. 한국데이터산업진흥원은 마이데이터 실증 서비스 구현 프로젝트 등을 진행하고 있다. 또한 본인정보 활용을 위한 가이드라인을 법제도, 기술, 보안 및 데이터 표준 측면에서 구성하고 있는 중이다.
공공기관의 노력과 더불어 민간기업들도 마이데이터를 위해 많은 노력을 하고 있는 중이다. 투이컨설팅은 MyData Global의 일원으로서 MyData Korea허브를 형성하기 위한 준비를 하고 있다. 2019년 7월에 MyData Korea허브 구성 지원서를 제출하였고, 8월에 심사를 거쳐 9월초에 MyData Global의 공식 승인을 받고 현재 서비스를 준비중이다.
마이데이터의 핵심 기술들은 이미 확보된 상황이고, 심지어 이미 많이 활용되고 있는 기술들이다. 우리나라에서 마이데이터 생태계 육성이 아직까지 미흡한 이유는 기술적 타당성이 부족해서가 아니라 정책과 제도가 준비되지 않았기 때문이다.
마이데이터 비즈니스를 준비하는 스타트업은 개인 데이터 확보를 위해 데이터 보관 기업들과 일일이 협의해야 하는 어려움을 겪고 있다. 사실 상 제도가 뒷받침되지 않은 상태에서 개인의 데이터를 개인 중심으로 확보해온다는 것은 불가능에 가깝다. 우리나라 마이데이터 산업이 세계적 수준에 뒤처지지 않기 위해서라도 관련 제도 도입이 시급하다.
-끝-
[참고자료]
▶ 금융결제원Testbed Developers의 OAuth2:
▶ 금융보안원, “전자금융과 금융보안”, 제3호, 2016-01:
▶ 한국정보통신기술협회/정보통신산업진흥원, ‘클라우드 상호운용성 확보 가이드라인’
▶ 네이버 API 공통 가이드의 네이버 아이디로 로그인:
