이동통신사·신용카드사 등 막대한 개인정보를 다루는 기업들이 잇따라 해킹당하자 ‘마이데이터’에 대한 불안감도 다시 고개를 들고 있다. 개인 정보를 한군데로 모아 보관하는 마이데이터 특성상 사이버 침해 발생 시 피해 규모가 확대될 수 있다는 우려다.
24일 정보기술(IT) 업계에 따르면 개인정보보호위원회는 최근 ‘본인전송요구권(개인정보이동권)’을 전체 업종으로 확대하는 내용의 개인정보보호법 시행령 개정안을 발의했다.
개정안의 핵심은 마이데이터 제도의 확대다. 마이데이터란, 은행·증권·보험 등 각종 기업에 흩어져 있는 정보를 개인이 취합할 수 있도록 하는 시스템이다. 종전에는 개인 소유의 정보를 기업이 홍보·마케팅 등에 활용하는 데 그쳤지만, 이제는 개인이 이를 자유롭게 이용할 수 있게 하자는 취지로 도입됐다.
2021년 시범사업을 거쳐 2022년 도입된 마이데이터 사업은 아직까지는 주로 금융 업종이나 일부 공공기관에만 적용됐다. 하지만 정부는 이를 전체 업종으로 확대해, 데이터를 총괄하는 중개기관을 만들고 이곳에서 한꺼번에 개인정보 데이터를 처리하도록 하겠다는 계획이다.
마이데이터는 지난 3년 동안 순항하며 체급을 키워왔다. 금융기관에서는 앱 이용률과 충성고객을 키우기 위해 공격적으로 예산을 쏟아부으며 마이데이터 가입자를 유치했다. 고객들도 한군데서 개인정보를 관리하기 편리해지자 마이데이터를 이용하기 시작했다.
하지만 마이데이터가 흩어져 있는 정보를 한 곳에 모은다는 점에서 해킹 사고 발생 시 더 치명적인 위험이 있을 수 있다는 우려가 최근 들어 다시 퍼지고 있다. 예를 들어 신용카드사에서 해킹 사건이 발생하면, 일반 회원의 피해는 해당 카드사 관련 데이터에만 국한된다. 반면 신용카드사에서 마이데이터를 관리하고 있다면 전 금융권에서 모아놓은 데이터 전체가 위험할 수 있다는 우려다.
여기에 스타트업과 중소기업 업계도 마이데이터 확대에 부정론을 펴고 있다. 코리아스타트업포럼은 지난 21일 디캠프 선릉점에서 연 ‘마이데이터 정책 스타트업 간담회’에서 마이데이터 인프라 투자비용 증대·영업비밀 유출 등 우려 사항을 이유로 제도 확대에 신중해야 한다고 토로했다.
다만 마이데이터가 종전 ‘스크래핑’ 방식과 달리 보안상 더 안전한 만큼 제도 자체를 후퇴시키긴 어렵다는 것도 반론도 있다. 보안 업계 관계자는 “마이데이터는 API연동이라는 공식 채널을 이용해 데이터를 전송받는다”며 “이전 관행이던 스크래핑은 이용자가 은행 ID·비밀번호 등을 직접 입력하도록 요구한다. 마이데이터가 보안성 측면에서는 진보를 이룬 게 사실”이라고 지적했다.
김지훈 기자 germany@kmib.co.kr