가치를같이읽다

개인정보를 관리해 주는 마이데이터 서비스가 빠른 속도로 성장하고 있습니다. 금융을 넘어 IT·통신·의료 등 마이데이터가 뿌리내리기 시작한 산업 분야도 늘고 있습니다. 문제는 마이데이터의 보안성입니다. 정보를 한데 모으는 특성상 단 한번의 정보 유출로도 돌이킬 수 없는 피해를 입을 수 있기 때문입니다. 더스쿠프(The SCOOP)가 한국 마이데이터 산업의 현주소를 짚어봤습니다.

메신저부터 SNS·포털·은행·OTT·구독 서비스까지…. 현대인은 자신의 개인정보를 온라인 세상 이곳저곳에 뿌리며 살고 있습니다. 그 수가 워낙 많은 탓에 어디에 어떤 개인정보가 담겨있는지 일일이 확인하기가 어렵죠. 이 때문에 ‘자신의 정보’인데도 스스로 관리하는 게 여간 어려운 일이 아닙니다.

이런 문제를 해결하기 위해 도입된 사업이 ‘마이데이터(MyData)’입니다. ‘정보 주체인 개인이 본인의 정보를 적극적으로 관리·통제하고 개인 생활에 능동적으로 활용하는 과정’이 마이데이터의 공식적인 정의입니다. ‘기업’이 아닌 ‘개인’에게 개인정보를 활용할 수 있는 주도권이 주어진다고 생각하면 이해가 쉬울 겁니다.

예를 들어보죠. A씨가 마이데이터 앱을 사용해 여기저기 퍼져 있는 자신의 개인정보를 가져온다고 가정해 봅시다. A씨는 은행에 있는 자신의 계좌 정보와 온라인 쇼핑몰에서의 최근 구매 이력을 마이데이터 앱으로 가져왔습니다. 일일이 서류를 떼거나 회사를 방문하지 않아도 앱에서 터치 몇번이면 작업이 끝납니다.

이렇게 모인 정보를 이용해 A씨는 많은 일을 할 수 있습니다. 두가지 이상의 개인정보를 조합하면 자신의 소비습관을 파악할 수 있습니다. 이 정보를 금융회사에 전송해 자신에게 맞는 저축·투자방식을 추천받는 것도 가능합니다.

정보를 주고받는 모든 과정은 앱을 통해 한눈에 파악할 수 있고, 자신이 원치 않는다면 정보를 제공하는 것을 중단할 수도 있습니다. ‘개인이 자신의 정보를 적극적으로 활용한다’는 게 어떤 건지 이제 파악이 될 겁니다.

이런 유용성 덕분인지 마이데이터 산업은 국내에서 빠른 속도로 성장하고 있습니다. 지난해 1월 정부 주도하에 금융 분야 위주로 사업이 시작됐는데, 금융위원회에 따르면 서비스를 시작한 지 8개월 만에 5480만명(2022년 9월·중복가입 포함)이 마이데이터 서비스에 가입했습니다. 하루 평균 정보 전송 건수는 무려 4억건에 달합니다. 인터넷뱅킹 월평균 이용 건수가 일평균 1730만건(한국은행)이란 점을 감안하면 어마어마한 수준입니다.

이런 인기에 힘입어 2022년 초 33곳이었던 참여 기업은 현재 64곳(2023년 2월 23일 기준)으로 크게 늘었습니다. 정부는 금융 분야를 넘어 의료계에도 마이데이터 서비스를 정착시키려는 움직임을 보이고 있습니다.

지난해 8월부터 서울·부산 240개 의료기관에서 시범 개통한 ‘마이헬스웨이’가 대표적입니다. 이 시스템을 이용하면 여러 병원에 분산된 개인 의료데이터를 손쉽게 확인하고, 본인이 제공하길 원하는 곳에 전송하는 게 가능해집니다.

이렇게만 보면 마이데이터가 장점만 있는 서비스인 것처럼 느껴집니다만, 그만큼 짊어져야 할 리스크도 꽤 큽니다. 가장 걱정해야 할 문제는 ‘개인정보 유출’입니다. 다양한 정보를 한데 모으는 마이데이터 서비스는 개인정보를 원하는 사이버 범죄자들에게 매력적인 ‘곳간’이나 다름없습니다. 이곳만 제대로 털면 개인의 모든 정보를 한번에 얻을 수 있기 때문입니다.

그럼 마이데이터의 보안은 얼마나 안전할까요? 마이데이터는 개인정보를 다룰 때 애플리케이션 프로그램 인터페이스(Applica tion Programming Interface·API)를 사용합니다. 이를 간단하게 말하면 운영체제와 프로그램이 서로 통신할 때 쓰는 ‘언어’라고 보면 됩니다. 이 API를 이용해 마이데이터는 다른 사이트나 앱에서 개인정보를 수집합니다. 이용자가 마이데이터를 통해 자신의 정보를 조회하거나, 타 서비스에 개인정보를 보낼 때도 API를 활용하죠.

API의 장점은 정보를 취합하고 보내는 등의 모든 과정이 암호화된 코드로 이뤄진다는 점입니다. 그 때문에 API로 정보를 수집하는 방식은 개인이 앱이나 사이트에 직접 접속해 정보를 가져가는 ‘스크래핑(Scrapi ng)’ 방식보다 보안성이 뛰어납니다.

그렇다곤 해도 API 방식에 맹점이 없는 것은 아닙니다. 하나씩 살펴보죠. 일단 API가 데이터를 수집하기 위한 권한을 부여받는 과정에서 개인정보가 유출될 가능성이 있습니다.

김승주 고려대(정보보호학) 교수는 “API를 통해 데이터에 접속하려면 마이데이터 앱이 그런 행위를 할 수 있도록 개인인증 정보를 활용해 권한을 등록해야 한다”면서 “이 과정은 일반 앱의 인증 절차와 별반 다를 게 없어 개인인증 정보가 해커에게 유출될 가능성이 있다”고 말했습니다.

데이터를 다른 업체에 공유할 때 이용자가 권한을 잘못 설정해 개인정보가 유출될 가능성도 있습니다. 김 교수는 “이런 경우 이용자에게만 책임을 물을 게 아니라 데이터를 수집·저장·공유하는 모든 단계에서 보안을 검토하고 안전성을 확인해야 한다”면서 “기존의 개인정보 보호와는 다른 시각의 접근 방법이 필요하다”고 지적했습니다.

이뿐만이 아닙니다. 마이데이터 앱 자체가 오작동을 일으키거나 해킹을 당할 우려도 있습니다. 아무리 API 보안성이 우수하다고 해도 이를 관리하는 앱 자체에 결함이 있다면 개인정보 유출을 피하기 어렵기 때문입니다.

실제로 앱이 오작동을 일으킨 사례가 있습니다. 2021년 12월 10일, 하나금융 계열사 서비스를 한데 모은 마이데이터 서비스 ‘하나 합’에서 타인의 개인정보가 조회되는 사고가 발생했습니다. 이 때문에 카드 사용 내력, 투자정보, 대출내역, 전화번호 등의 정보가 다른 사람에게 노출됐습니다. 다행히도 이를 인지한 하나은행이 곧바로 정보조회를 차단해 2차 피해로 이어지진 않았습니다.

같은 달 28일엔 네이버파이낸셜에선 본인 것이 아닌 타인의 개인정보가 보이는 사고가 벌어지기도 했습니다. 정보 유출 피해를 입은 고객만 100명에 달했습니다. 당시 네이버파이낸셜 측은 “기존의 개인정보를 마이데이터 서비스로 전환하는 과정에서 시스템 오류가 발생했다”며 책임이 자사에 있음을 인정했죠. 두 사건은 마이데이터의 보안이 완전무결하지 않음을 여실히 보여줬습니다.

이같은 유출 사건을 의식해서인지 마이데이터 사업에 참여한 업체들은 보안 수준을 높이기 위해 힘을 쏟고 있습니다. 지난해 3월 마이데이터 앱 ‘하루조각’을 출시한 LG CNS는 ▲실명 인증, 지문 등록 등 생체 인증 요구 ▲접속 시 백신프로그램 작동 등을 통해 앱을 관리하고 있습니다.

신한카드의 마이데이터 앱 ‘신한플레이’도 ARS 전화인증을 비롯해 지문·홍채·얼굴 인식 등 다양한 생체 인식을 동원하고 있습니다. 간편하되 보안성이 높은 생체 인증으로 앱을 철저히 관리하겠다는 겁니다. 이밖에 노출을 원하지 않을 때 정보를 숨기는 ‘스텔스 기능’을 도입해 다른 사람이 볼 우려를 최소화하는 데도 신경을 썼습니다.

정부에서도 마이데이터 사업에서 발생할 수 있는 피해 범위를 최소화하기 위한 노력을 펼치고 있습니다. 개인정보보호위원회는 올해 1월부터 개인정보를 고의 유출해 피해를 발생시킨 공무원을 공직에서 배제하는 강력한 규제 조치를 시행하고 있습니다.

아울러 주민등록 시스템 등 1515개의 집중관리 대상을 선정한 다음 접속관리 시스템을 설치해 접근 통제도 강화했습니다. 개인정보보호위 관계자는 “마이데이터 시대가 본격적으로 개막한 만큼 개인정보를 안심하고 활용할 수 있도록 예방·구제체계를 갖추는 데 노력하고 있다”며 규제 강화 이유를 설명했습니다.

이런 노력 덕분인지 아직까지 마이데이터 사업에선 사회적 파장을 일으킬 만한 개인정보 유출 사건은 발생하지 않았습니다. 그렇다고 긴장의 끈을 늦춰선 안 됩니다. 마이데이터는 개인정보를 제공하는 이용자들과의 신뢰를 담보로 하는 사업입니다. 그렇기에 단 한번의 개인 정보 유출로도 산업의 근간이 흔들릴 정도의 타격을 입을 수 있습니다. 과연 한국의 마이데이터 산업은 안전하게 흘러가고 있는 걸까요?

이혁기 더스쿠프 기자
lhk@thescoop.co.kr