[마이데이터 구축방안] 마이데이터, 대한민국에 새로운 업(業)을 만들다
본인신용정보 전송요구권 통해 개인 권리·금융기관 의무 생겨…다양한 관련 사업 기대
[데이터넷] 오는 2월 마이데이터 사업자 선정에 따라 마이데이터 사업이 본격화된다. 마이데이터 사업자들은 양사가 제공하는 오픈 API 플랫폼을 통해 자체 구축 대비 적은 개발 비용으로 단기간 내 시스템을 구축할 수 있으며, 이를 통해 마이데이터 사업자 간 안전하고 효율적인 데이터 유통이 이뤄질 것으로 기대된다. 마이데이터 서비스 구축 방안에 대해 살펴본다. <편집자>
- 연재 순서 - 1. 마이데이터, 대한민국에 새로운 업(業)을 만들다 (이번호) 2. 정보 제공자와 마이데이터 서비스 3. 지원서버와 마이데이터 서비스 |
2020년 2월 개정된 ‘신용정보 이용 및 보호에 관한 법률’(이하 신용정보법)이 지난해 8월 5일 본격 시행되면서 대한민국에 새로운 업(業)이 탄생했다. 이름하여 본인신용정보관리업으로, 요람에서 무덤까지 개인의 삶에서 발생한 신용 데이터(정보)를 모두 수집해 통합 관리해 주는 마이데이터 사업을 뜻한다. 마이데이터 사업은 개인의 모든 신용 거래 내역을 금융사의 작은 DB에 가둬두지 않고, 본인신용정보관리업을 영위하는 본인신용정보관리 사업자(이하 마이데이터 사업자)에게 전송해 데이터 댐을 구축하는 것이 골자다. 이를 위해 개인은 신용 데이터를 갖고 있는 금융기관에 본인신용정보를 마이데이터 사업자에게 전송해 달라고 요구하는 본인신용정보 전송요구권을 행사하기만 하면 된다. 쉽게 말해 고객(소비자)이 고객 정보를 다른 금융사나 기관에게 전송해 달라고 요구할 수 있다는 의미다. | 박용우 유니버셜리얼타임 대표 (yongwoo.park@universalrealtime.com) 前) 한국IT전문가협회 기술원장 前) JCO(JavaCommunity.Org) 초대회장 건국대학교 컴퓨터공학과 공학박사 |
마이데이터를 관리해주는 본인신용정보관리 사업자에게 본인신용정보를 전송하도록 요구하면 해당 금융기관은 이에 즉각 응해야 한다. 즉 개인의 권리이자 금융기관의 의무가 생긴 것이다.
본인신용정보 내역은 금융기관별로 다르다. 은행업권에서는 수신 계좌 정보, 투자상품 계좌 정보, 대출상품 계좌 정보를 보유하고 있으며, 카드업권에서는 카드 정보, 청구/승인 내역 정보, 대출 정보를 갖고 있다. 또 보험업권에서는 자동차보험 정보나 보험 정보가, 전자금융업권에서는 전자지급수단 정보와 선불거래/결재 내역 정보 등이 해당된다.
현재 등록된 국내 금융기관은 ▲국내은행(19개) ▲외은지점(31개) ▲중앙회(5개) ▲손해보험(16개) ▲생명보험(24개) ▲카드사(8개) ▲여신전문(64개) ▲증권사(34개) ▲저축은행(79개) ▲보증재단(17개) ▲자산운용(113개) ▲공제조합(7개) ▲CB(6개) ▲기타(31개) 등 총 454개사다.
핵심은 본인신용정보 전송요구권
마이데이터 산업의 핵심은 ‘본인신용정보 전송요구권’이다. 이를 위해 금융보안원에서 정의한 금융분야 마이데이터 서비스 가이드라인 및 규격서는 다음과 같다.
마이데이터 서비스 이용 가이드라인: 신용정보법의 내용을 기반으로 신용정보 주체가 개인신용정보 전송요구권 수행을 위한 참여자별 역할 및 절차 등에 관한 기준 안내 마이데이터 서비스 인증 가이드라인: 신용정보 주체와 데이터 보유자 간 본인인증 수행을 위한 강력한 본인인증 수단 및 인증 절차에 대해 기술 마이데이터 서비스 보안 가이드라인: 안전한 마이데이터 시스템 구축을 위해 신용정보제공·이용자, 마이데이터 사업자 등이 지켜야 할 보안 사항 안내 마이데이터 표준 데이터 규격: 업권별 전송 가능한 개인신용 정보의 표준 데이터 규격 마이데이터 API 명세: 자격증명, 접근토큰 및 개인신용정보 송·수신을 위한 기본 규격 및 API 명세 마이데이터 인증서 규격(작성 예정): 신용정보 주체의 본인인증을 위한 마이데이터 인증서의 발급 및 이용 절차와 규격 마이데이터 지원 포털 이용 안내서(작성 예정): 서비스 등록, 인증서 발급 등 마이데이터 지원포털 이용 안내 * 상기 가이드라인·규격서는 워킹그룹 추진 현황 및 시행령·감독규정 개정 따라 변동 가능 |
금융분야 마이데이터 서비스 이용 가이드라인은 신용정보법의 내용을 기반으로 신용정보회사 등 본인신용정보관리업 이용 사항에 관한 내용을 포함하고 있으며, 본 가이드라인의 기술 내용은 신용정보법의 내용을 기반으로 신용정보 주체가 개인신용정보 전송요구권 수행을 위한 참여자별 역할 및 절차 등에 관한 기준을 제시한다. 가이드라인에서 정의하는 용어는 다음과 같다.
개인신용정보: 금융거래 등 상거래에서 신용정보 주체의 신용, 거래내용, 거래능력 등을 판단할 수 있는 개인에 관한 정보 신용정보 주체: 처리된 신용정보로 알아볼 수 있는 자로서 그 신용정보의 주체가 되는 자를 말하며, 개인신용정보 전송요구권을 소유하고 있는 자(이하 정보 주체라 함) 마이데이터 사업자: 금융위원회로부터 허가를 받아 본인신용정보관리업을 영위하는 자 데이터 수신자: 정보 주체, 마이데이터 사업자, 신용정보제공·이용자 등으로 정보 주체의 개인신용정보 전송요구에 따라 개인신용정보를 수신할 수 있는 자 데이터 보유자: 정보 주체의 개인신용정보를 수집하고 처리하는 마이데이터 사업자, 신용정보제공·이용자 등 서비스: 데이터 수신자가 정보 주체의 개인신용정보 전송 요구에 대한 수행을 지원하기 위해 개발해 제공하는 서비스로 서비스 앱과 서비스 서버로 구성 마이데이터 지원서버(가칭): 정보 주체, 데이터 수신자, 데이터 보유자에게 마이데이터 서비스 제공·이용 및 관리에 필요한 기능을 지원하는 서버(이하 지원서버라 함) API: 서로 다른 프로그램 간 상호 작용을 용이하게 하기 위한 인터페이스로 서로 통신할 수 있는 소프트웨어 프로그램의 규칙과 규격의 집합 TLS 인증서: 데이터 보유자와 데이터 수신자 간 상호인증 및 암호화 채널 형성을 위한 인증서 자격증명: 마이데이터 서비스 참여자 간 API 호출 시, API를 호출한 참여자의 자격을 인증하기 위해 발급되는 값 접근토큰: 보호된 자원(예, 개인신용정보)에 접근하기 위한 키를 포함한 값 |
마이데이터 서비스는 정보 주체, 데이터 수신자, 데이터 보유자, 마이 데이터 지원서버 등 크게 4개의 참여자로 구성되며, 각 참여자의 주요 역할은 다음과 같다.
정보 주체: 자신의 개인신용정보를 수집·관리하고 있는 데이터 보유자에게 신용정보법 제33조의2에 의하여 자신의 개인신용정보를 희망하는 데이터 수신자에게 전송할 것을 요청 (자격요건: 하나 이상의 데이터 보유자에 본인의 개인신용정보를 보유한 자로 대한민국에 거주하는 만 14세 이상의 성인) 데이터 수신자: 정보 주체로부터 개인신용정보 전송 요구를 받아 데이터 보유자로부터 정보 주체의 개인신용정보를 전송받고 활용 (자격요건: 정보 주체의 개인신용정보를 전송받을 수 있는 해당 신용정보 주체 본인, 마이데이터 사업자, 신용정보제공·이용자, 개인신용평가가회사 등) 데이터 보유자: 정보 주체의 개인신용정보 전송요구의 정당성을 확인한 후 데이터 수신자에게 해당 정보 주체의 개인 신용정보를 전송 (자격요건: 신용정보제공·이용자, 공공기관 또는 마이데이터 사업자) 마이데이터 지원서버: 데이터 보유자와 데이터 수신자 간 상호인증을 위한 인증서 발급 및 정보 주체에 개인신용정보 전송 동의 내역 관리 등 효율적인 마이데이터 서비스를 위한 기능 지원 |
[그림 1] 마이데이터 서비스 구성(자료: 금융보안원)
마이데이터 사업자는 지원서버에 데이터 수신자로 가입하고, 데이터 보유자에게 API를 호출할 때 암호통신을 위한 TLS 인증서와 인가코드/접근토큰 발급 시 상호인증을 위한 자격증명(client-id, client-secret)을 발급받아, 자신의 마이데이터 시스템에 적용한다.
정보 제공자는 지원서버에 데이터 보유자로 가입하고, API를 호출할 때 암호통신을 위한 TLS 인증서와 인가코드/접근토큰 발급 시 상호인증을 위한 자격증명(client-id, client-secret)을 발급받아 자신의 마이데이터 시스템에 적용한다. 또한, 데이터 수신자에게 개인신용정보를 제공하기 위한 오픈 API를 개발해 지원서버에 등록한다.
정보 주체는 마이데이터 사업자 또는 정보 제공자가 제공하는 서비스 앱을 통해 본인신용정보 전송요구권을 행사한다. 이때부터 정보 제공자의 본인신용정보 전송 의무가 발생한다. 지원서버는 본인신용정보 전송요구에 대한 모든 동의 및 전송 내역을 종합하고 관리해야 한다.
이처럼 정보 주체가 본인신용정보 전송요구권을 행사하면서부터 마이데이터 서비스가 활성화 된다. 정보 제공자는 정보 주체에 대한 개별인증 또는 통합인증을 통해 강력한 본인인증을 수행한 후, 본인신용정보를 지정한 마이데이터 사업자에게 안전하게 전송해야 한다. 인증 가이드라인에서 정의하고 있는 정보 주체 본인인증 구성 및 절차는 [그림 2]와 같다.
[그림 2] 정보 주체 본인인증 구성과 절차(자료: 금융보안원)
정보 주체는 데이터 보유자에게 본인의 개인신용정보 전송을 요구하고 이를 위한 본인인증을 요청한다. 데이터 보유자는 개인신용정보 전송 요구자에 대한 정보 주체 본인 여부 확인을 위해 본인인증을 수행하고, 데이터 수신자는 개인신용정보 전송요구에 따라 정보 주체에게 통합조회 등 서비스를 제공하며, 서비스 앱을 통해 전송요구 및 인증에 관한 기능을 제공한다. 인증기관은 정보 주체 본인인증을 위한 인증 수단을 발급·관리한다.
본인신용정보 전송 의무를 갖는 정보 제공자(금융기관)는 API 시스템을 구축할 여력이 없다면 중계기관을 이용할 수 있다. 마이데이터 중계기관은 참여기관을 대신해 지원서버(가칭)에 가입해 자격증명과 TLS인증서를 받아 관리하고, 마이데이터 사업자에게 업권별로 제공해야 할 API를 통해 본인신용정보를 제공해야 한다.
그러나 다음의 경우 중계플랫폼을 이용할 수 없도록 제한하고 있다.
마이데이터 사업자로 선정된 기업은 중계기관을 이용할 수 없다. 금융투자회사만 예외적으로 허용한다.
지방은행이나 저축은행 등이 마이데이터 사업자를 신청해서 라이선스를 획득하면 모든 중계 인프라를 보유한 금융결제원을 이용할 수 없다.
자산 10조 원 이상, 시장점유율 합산 100분의 90 이하, 회사 단독 100분의 5 이상을 점유한 곳도 중계기관을 이용할 수 없다.
신용정보회사도 중계기관 이용을 금지했다.
한편, 정부는 2020년 5월 14일 마이데이터 중계기관으로 금융결제원, 한국신용정보원, 농협중앙회, 수협중앙회, 상호저축은행중앙회, 신협중앙회, 새마을금고중앙회, 코스콤, 행정정보공유센터 등 9개를 선정했다.
중계기관으로 선정된 한국신용정보원은 금융분야 마이데이터 서비스 이용 가이드라인에서 정의하고 있는 지원서버의 역할을 수행한다. 이를 위해 한국신용정보원은 지난해 11월 9일 ‘마이데이터 종합포털 및 중계플랫폼 구축 사업’ 입찰을 공고했고, 5개 업체가 입찰에 참여해 IBK시스템 컨소시엄이 우선협상 업체로 선정됐다.
한국신용정보원의 ‘마이데이터 종합포털 및 중계플랫폼 구축 사업’을 시작으로 나머지 중계기관들도 중계 플랫폼을 위한 인프라 개발 작업에 착수할 것으로 기대된다. 2021년 8월에 대한민국의 새로운 업이 시작됨에 따라 많은 관련 사업 기회가 창출되기를 바란다.
출처 : 데이터넷(http://www.datanet.co.kr)