마이데이터 사업 논란, 내 정보가 나도 모르게 쓰인다면…

마이데이터 사각지대

‘내 정보를 금융회사가 활용하는’ 마이데이터 사업을 둘러싼 논란이 격화하고 있다. 개인정보의 제공 범위가 지나치게 넓은 데다, 처벌 규정은 약하다는 이유에서다. ‘내 개인정보가 나도 모르게 쓰일 수 있다’는 우려가 나오는 것도 같은 맥락이다. 마이데이터 사업, 이대로 괜찮은 걸까. 더스쿠프(The SCOOP)가 마이데이터 사업으로 발생할 수 있는 부작용을 취재했다.

마이데이터 사업 시행을 앞두고 있지만 개인정보를 보호하는 방안은 여전히 미흡하다는 지적이 나온다.[사진=게티이미지뱅크]

‘마이데이터’ 사업을 둘러싼 금융사와 대형 핀테크 업체(이하 빅테크)들의 논란이 계속되고 있다. 정보 제공 범위를 두고 금융사와 빅테크가 힘겨루기를 벌이고 있어서다. 마이데이터는 은행·카드사·증권사·보험사·핀테크사 등 여기저기 흩어져 있는 금융소비자의 신용정보를 모아 활용하는 것이다. 일례로 금융회사가 대출을 해줄 때 신용등급·소득 등 기본적 신용정보 외에 보험가입정보·투자정보를 확인하는 식이다. 2018년 7월 금융위원회가 ‘금융분야 마이데이터 산업 도입안’을 발표하면서 시장의 주목을 받았다.

핀테크 업계 관계자는 “금융소비자가 10개의 신용정보를 제공할 때보다 100개의 정보를 제공할 때 더 낮은 금리로 돈을 빌릴 수 있게 되는 것”이라면서 “신용정보가 늘어날수록 금융회사로선 금융이력정보가 부족한 사회초년생·전업주부·일용직 노동자·프리랜서 등에 최적화한 상품과 서비스를 제공할 수 있을 것”이라고 말했다.

그는 “현재 금융시스템으로는 금융서비스를 받을 수 없었던 금융 소외계층에게 양질의 서비스 제공이 가능해진다”며 “빅테크 기업뿐만 아니라 은행·증권·보험사 등 금융사에 새로운 수익원을 창출하는 기회가 될 것”이라고 밝혔다. 시장 선점 효과를 노리는 63개 기업이 마이데이터 사업자 예비허가 신청에 뛰어든 이유도 여기에 있다. [※참고 : 금융분야 마이데이터 사업에 진출하기 위해서는 금융당국의 허가를 받아야 한다. 2021년 2월까지 금융위의 허가를 받지 못하면 관련 서비스를 중단해야 한다.]

문제는 마이데이터의 순기능보단 부작용이 더 많을 수 있다는 점이다. 마이데이터 정보 제공 범위를 두곤 벌써부터 논란이 일고 있다. 금융당국이 신용정보법 시행령을 통해 공표한 마이데이터 제공 범위는 고객정보·은행계좌 자산정보·대출정보·카드정보·카드이용정보·금융투자정보·보험정보·증권계좌 정보·연금상품 정보·전자지급수단 관련 정보 등이다.

이중 논란이 되고 있는 것은 전자지급수단 관련 정보 중 주문내역 정보다. 핀테크 업체들은 ‘어떤 상품을 얼마나 구매했는지는 신용정보에 해당하지 않는다’고 주장한다. 금융당국과 금융사의 입장은 다르다. ‘주문내역도 신용정보에 해당한다’는 입장을 고수하고 있다.

이는 빙산의 일각이다. 사실 마이데이터 사업의 정보제공 범위가 은행·보험·증권·카드·핀테크 등을 망라하고 있다는 것 자체가 심각한 문제다. 결제계좌 정보만 공유하는 유럽과 비교하면 제공 범위가 너무 넓다. 호주는 다양한 금융정보를 공유하지만 자금이체 기능을 제한하고 있다. 하지만 마이데이터 사업은 금융조회·상품추천·자금이체 등이 모두 가능하다. 마이데이터 사업에서 개인정보가 유출되면 피해가 커질 수 있다는 우려가 나오는 이유다.

더구나 요건도 허술하다. 마이데이터 사업에 필요한 데이터3법 중 하나인 ‘개인정보보호법 시행령 개정안’에는 개인정보처리자(금융사·빅테크)가 일정한 요건을 갖추면 수집한 개인정보(신용정보)를 정보 주체의 동의를 받지 않고도 추가로 이용·제공할 수 있다. 가명 처리한 신용정보 역시 고객의 동의 없이 수집하고 재가공해 사용하는 게 가능하다. 내 데이터가 나도 모르게 사용될 수 있다는 얘기다.

서영수 키움증권 애널리스트는 “우리나라는 ‘보이스 피싱’ 등 금융 취약자의 금융사고 피해 규모가 절대적으로 많은 국가 중 하나”라며 “마이데이터 사업자에게 신용정보가 집중된다는 걸 감안하면 금융사고 발생 시 피해 규모가 클 수 있다”고 우려했다. 그는 “데이터의 공유가 과도하게 진행될 경우 사생활 침해, 정보 유출 등의 피해가 커질 수 있다”며 “관리 소홀·해킹 등으로 인한 고객정보 유출과 결제 관련 금융사고가 늘어날 가능성이 있다”고 강조했다.

문제는 또 있다. 마이데이터 기업이 신용정보를 유출했을 때 받는 처벌이 ‘솜방망이 수준’이라는 점이다. 마이데이터 진출 기업이 적용을 받는 ‘신용정보의 이용 및 보호에 관한 법률’에 따르면 신용정보를 분실·도난·누출했을 때 전체 매출액의 3%, 매출이 없거나 산정이 어려운 경우 200억원 이하의 과징금을 부과할 수 있다.

언뜻 엄한 처벌 같지만 해외 사례에 빗대면 그렇지 않다. 8700만명의 개인정보 유출 사고가 발생한 페이스북(Facebook)은 지난해 미 정부로부터 50억 달러(약 5조9500억원)에 이르는 과징금을 물었다. 이는 2018년 페이스북 전체 매출의 9%에 이르는 금액이다.

하지만 국내 개인정보 유출 사고의 처벌 수준은 매우 낮다. 실제로 2012년 8월~2019년 8월 유출된 개인정보 6234만건에 부과된 과징금은 81억8381만원에 불과했다(박광온 더불어민주당 의원). 1건당 고작 131원이 부과된 셈이다. 정보 유출 가능성에 대비해 처벌 규정을 강화해야 한다는 주장이 나오는 이유다.

김득의 금융정의연대 대표는 “마이데이터 사업자가 늘어나고, 거래되는 개인 정보량이 증가하면 정보 유출 위험성도 커질 수밖에 없다”며 “특히 여러 금융사를 거치는 가명처리 정보의 경우 유출 시 책임 소재가 불분명해질 가능성도 높다”고 말했다. 그는 “개인정보 유출을 방지하기 위해서는 처벌 규정을 강화할 필요가 있다”며 “징벌적 손해배상 제도와 집단 소송제도 등을 도입해 금융소비자의 피해 구제 방안을 마련할 필요가 있다”고 조언했다.

강서구 더스쿠프 기자
ksg@thescoop.co.kr