본문영역

본문영역

FSS 금융가이드
전문가 리포트

  • 마이데이터 산업의 영향
    전망과 향후 과제

    • 글. 강경훈 동국대학교 경영학과 교수
  • 마이데이터(MyData) 사업은 ‘본인신용정보관리업’이라고도 불리는데 2020년 2월 신용정보법이 개정되면서 도입됐다. 마이데이터 사업자들은 정보 주체의 개인신용정보 전송요구권(이동권) 행사에 따라 정보를 모아 개인의 정보관리를 돕는다. 겸영 및 부수 업무로 로보어드바이저를 이용한 투자자문·투자일임, 금융상품자문, 대출중개·주선, 데이터 분석 및 컨설팅 등이 있다. 2021년 1월 28개 마이데이터 업체가 본허가를 받았는데 은행, 카드사 등 금융회사가 14개사이며 네이버파이낸셜, 비바리퍼블리카, 뱅크샐러드, SK플래닛 등 핀테크 업체도 14개사이다. 이들은 오는 8월 4일까지 표준 API를 구축하여 통합조회 서비스를 제공할 예정이다.
마이데이터의 수집 정보 범위와
개인정보보호

마이데이터 산업의 등장은 원래 정보 주체의 개인정보 이동권의 도입과 맞물려 있다. 개인정보 이동권은 EU에서 「일반개인정보보호규정」(General Data Protection Regulation, 이하 GDPR)을 통해 도입한 제도이다. 도입의 기본 취지는 온라인 서비스에 대한 정보 주체의 선택권을 확대하고, 데이터에 대한 독점을 완화하여 기업 간 공정한 경쟁을 촉진하기 위함이다. GDPR 제20조 ‘정보 이동성에 대한 권리(Right to data portability)’는 정보 주체가 정보관리자에게 제공한 본인의 개인정보를 체계적으로 구성하여, 기계 판독이 가능한 형식으로 제공받을 권리이다. 또한 정보 주체는 자신의 개인정보를 보유하고 있는 정보관리자로부터 다른 정보관리자에게로 직접 전송하도록 요구할 수도 있다. 개인정보가 구글, 페이스북, 애플, 아마존 등 거대 플랫폼 기업들과 경쟁 관계에 있는 다른 정보처리자에게 이전되는 경우 여러 기업의 정보 접근성이 제고되어 시장 경쟁이 촉진되는 효과가 있다.
우리나라도 비슷한 취지에서 마이데이터 사업 및 정보전송권을 도입했는데 EU의 경우와 다소 차이가 있다. 우리나라는 개인정보보호법에서 정보이동권이나 마이데이터 제도를 도입하지 않고 신용정보법에서 먼저 도입했다. 이에 따라 유럽과는 달리 개인신용정보에 대해서만 이동권을 인정하고 있다. 개정 「신용정보법」 제33조의2에 따르면 개인신용정보의 주체는 본인 및 마이데이터 사업자 등에게 개인신용정보를 이전하도록 요구할 수 있다. 이동권의 행사 대상 정보는 동법 제2조 제9호의2 및 시행령에 규정되어 있다.
그런데 정보이동권을 실제로 행사하는 경우에 이동권의 대상이 되는 신용정보와 그렇지 않은 개인정보의 구분이 명확하지 않을 수 있다. 특히 신용정보법 시행령에서 ‘주문내역정보’를 이동권의 대상 정보로 포함하면서 이에 대해 논란이 벌어진 바 있다. 마이데이터 산업에는 주로 금융회사나 전자상거래 업체들이 진출하고 있는데 전자상거래 주문 내역이 공유되는 경우 개인의 일거수일투족이 노출된다는 우려가 제기된 것이다. 요즘에는 단순한 물품 구매뿐 아니라 콘텐츠, 여행, 숙박, 선물 등 온갖 것들이 전자상거래의 대상이다. 어떤 책을 읽고, 어느 곳을 여행하고, 옷 사이즈는 얼마인지 등이 모이면 사생활이 그대로 노출될 수 있다. 이러한 우려와 논란이 지속되자 금융위원회는 관련 업계 등과의 논의를 거쳐 주문내역 정보를 범주화한 형태로 공유하는 방안을 제시했다. ‘270cm 사이즈의 A브랜드 운동화’ 같은 구체적인 정보 대신 ‘신발’로 범주화하여 제공하는 것이다.
그러나 얼마 전 국가인권위원회는 범주화된 주문내역정보도 여전히 사생활 노출 우려가 크다고 판단하였다. 이에 따라 주문내역정보를 통째로 마이데이터 사업자들의 수집·제공 범위에서 빼도록 권고한 바 있다. 반면 금융위는 이 권고를 수용하지 않을 것으로 보인다. 개인의 데이터 이동권이라는 권리가 더 크게 보장된다는 점을 자세히 설명한다는 방침이라는 언론 보도가 있다.
이처럼 관련 업계는 물론 국가기관 간에도 첨예하게 벌어지고 있는 의견 대립을 되도록 신속하게 해소할 필요가 있다. 마침 개인정보보호위원회는 개인정보보호법을 다시 개정하여 개인정보 이동권을 신설한다는 방침을 2020년 12월에 발표한 바 있다. 개인정보보호법의 개인정보 이동권은 분야별 개인정보 이동권을 포섭하기 때문에 개인신용정보의 포괄 범위를 둘러싼 논쟁은 조만간 가라앉을 것으로 보인다. 아울러 마이데이터업이 금융 부문을 넘어 전 산업 분야로 확산되는 계기가 될 전망이다. 이러한 방향의 개정은 개인정보 통제권을 더욱 강화할 것이라는 것이 개인정보보호위원회의 기본 입장인 것으로 보인다.

마이데이터의 등장이
금융산업에 미치는 영향

개인정보보호법이 개정되기 전에는 금융부문부터 마이데이터 사업이 출범하게 되는데 이에 따라 금융산업의 경쟁이 심화될 것으로 보인다. 또한 금융상품의 제·판 분리가 본격화되는 등 금융환경에 커다란 변화가 초래될 가능성이 높다. 먼저 기존 금융회사들의 고객기반이 새로운 위협에 직면할 것으로 예상된다. 빅테크와 핀테크 등 새로운 참가자들 중에는 플랫폼 경쟁력을 가지고 있는 업체들이 많다. 이들이 금융시장에 본격적으로 진입하는 경우 기존 금융회사들의 고객 장악력이 줄어들 가능성이 크다. 플랫폼 업체들은 금융거래 정보는 물론 상거래, 주문내역 정보 등을 결합하여 다양한 부문을 아우르는 고객 맞춤형 서비스를 제공할 수 있기 때문이다. 예를 들어 네이버파이낸셜은 마이데이터 플랫폼에 부동산 추천, 세무상담 등 다양한 서비스를 함께 제공한다는 계획을 발표한 바 있다.
금융회사의 리테일 영업환경도 급속히 변화할 것으로 보인다. 마이데이터 등을 통해 수집된 데이터를 인공지능 분석과 결합하여 맞춤형 자산관리 서비스가 수월해졌기 때문이다. 과거 푸쉬(push)형 금융상품 판매전략은 더 이상 유효하지 못할 가능성이 높다. 마이데이터뿐 아니라 오픈뱅킹이나 마이페이먼트 등도 이러한 경향을 가속화하는 데 일조할 것으로 보인다.
이와 같은 변화 양상은 금융업이 점차 플랫폼 사업화되는 것을 의미한다. 이미 중소형 금융회사들은 대형 플랫폼 사업자들과의 제휴, 연계 등을 통해 고객기반을 확충하고 있다. 외부 플랫폼을 이용한 성공사례뿐 아니라 대형 플랫폼으로 등장하는 사례도 접할 수 있다. 예를 들어 비바리퍼블리카의 토스, 뱅크샐러드 등은 여러 금융회사의 상품을 자체 앱에서 판매하고 있는데 수수료 수입을 얻는 것은 물론이며 네트워크를 확대하는 효과도 있다.
금융회사들은 이러한 흐름에 대응하여 비금융 플랫폼들과의 제휴 및 투자를 늘릴 것으로 보인다. 금융위원회는 이미 은행들이 음식 주문 등 플랫폼 사업을 병행할 수 있도록 허용하는 방안을 검토하고 있다. 금융업에 새로 진출하지 않는 비금융 플랫폼들도 많이 있는데 금융회사와의 제휴는 서로에게 좋은 전략이 될 수 있다. 결국 금융과 비금융 산업 간의 경계가 빠르게 허물어질 가능성이 높다.

마이데이터 기업,
금융회사 및 감독 당국의 과제

이처럼 금융환경의 심대한 변화가 예고되어 있는 가운데 신규 마이데이터 기업, 기존 금융회사 및 감독당국은 각자 중요한 역할과 과제를 부여받고 있다. 먼저 새로 마이데이터 산업에 진출하는 기업은 소비자들이 안정적으로 서비스를 이용할 수 있도록 최선을 다할 필요가 있다. 신규 마이데이터 기업 중에는 소비자 접근이 용이한 채널을 보유한 경우가 많은데 금융상품 판매와 관련한 원칙을 수립하는 한편 투명한 판매 과정을 마련하는 것이 바람직하다. 마이데이터 기업에 대한 소비자의 초기 평판이 향후 산업 전체의 성패에도 영향을 줄 수 있기 때문이다. 아울러 과도한 레버리지를 통한 투자를 경계하면서 장기적 관점에서 투자와 부채를 종합적으로 관리할 수 있도록 노력할 필요가 있다. 고위험 투자를 유도하거나 환매가 어려운 비유동자산을 포함한 펀드에 대한 과도한 마케팅은 지양해야 한다.
기존 금융회사들은 자산관리 전반의 신뢰 회복과 사업구조 변화를 모색할 필요가 있다. 최근 사모펀드 불완전판매 사례, 공모펀드의 낮은 수익성 등에 따라 여러 금융소비자들이 직접 투자에 뛰어드는 경우를 흔하게 볼 수 있다. 금융상품 판매사와 운용사는 투명한 금융상품 판매 체계를 마련하는 한편 소비자가 원하는 서비스를 제공함으로써 고객의 신뢰를 회복할 필요가 있다. 고객 신뢰를 회복하지 못한 상황에서 마이데이터 등을 통한 맞춤형 자산관리 서비스와 제대로 경쟁하기 어렵기 때문이다.
감독당국은 개인정보 보호, 금융소비자 보호 전반에 걸쳐 엄격한 감독을 지속할 필요가 있다. 먼저 마이데이터 서비스가 시행되면 소비자 혜택을 강조하면서 정보 주체 동의를 형식적으로 처리하는 경우가 발생할 우려가 있다. ‘알고 하는 동의’가 실질적으로 이뤄짐으로써 개인정보 이동권 제도 및 마이데이터 산업이 지속 가능성을 높여야 한다. 또한 인터넷전문은행의 감독 사례와 같이 개별 마이데이터 기업이 인허가 과정에서 제시한 사업 모델을 실제로 구현하고 있는지에 대해서도 주기적으로 점검할 필요가 있다. 특히 마이데이터 도입의 목적으로 거론되는 금융소외자 대상 금융포용 서비스의 이행 여부에 주목하여야 한다. 아울러 마이데이터의 경우 개인의 접근성이 높고 신용정보 전반을 취급한다는 점에서 높은 수준의 감독이 이루어지도록 할 필요가 있다.
한편 금융산업의 변화는 관련 리스크도 바뀌게 됨을 의미한다. 우선 빅테크, 핀테크 등 새로운 참가자들의 진입에 따라 금융산업의 경쟁이 격화될 수 있는데 자연스레 고위험 금융상품의 취급이 늘어날 가능성이 높다. 또한 개방형 혁신이 일상화되면서 새로운 유형의 리스크가 나타날 수 있다. 더욱이 금융회사와 플랫폼 기업 간의 연계가 확대되면서 금융리스크의 전파 경로가 복잡해질 것으로 보인다. 이처럼 리스크의 유형 및 경로가 달라지면서 기존의 내부통제 시스템으로 제어하기 어려운 상황에 처할 수 있다. 이 역시 금융감독당국의 면밀한 준비와 대처가 필요한 부분이다.