핀테크 시대의 정보보호

방 기 석 - 국민은행 정보보호부 수석차장
방 기 석국민은행 정보보호부 수석차장

페이스북에서 정보유출 사건이 발생했다. 데이터 분석업체인 캠브리지 애널리티카(CA)가 5천만 명의 페이스북 사용자 정보를 불법으로 수집해 2016년 美 대선에 사용한 것이다. 페이스북 서버가 해커의 공격에 뚫린 것은 아니지만 외부업체와의 개인정보 처리 과정에서 접근 통제가 미흡했고 제공 목적을 벗어나서 활용한 문제가 발생한 것이다. 더 큰 문제는 개인정보 관련 이슈를 인지하였음에도 불구하고 이를 방지하기 위한 조치를 취하지 못했다는 점이다. 세계 최고의 기업일지라도 개인정보 유출 문제 앞에서 예외일 수는 없다.

정보보호 없는 핀테크는 ‘팥 없는 진빵’

지난 3월 19일 금융위원회는 ‘금융분야 데이터활용 및 정보보호 종합방안’을 발표했다. 금융분야 빅데이터를 활성화하고, 금융분야 데이터 산업의 경쟁력을 강화하겠다는 것이다. 결국 핀테크 중심의 금융혁신을 추진하겠다는 것이다. 그러나 여기에 한 가지 더 포함되어 있다. 그것은 바로 정보보호의 내실화이다. 정보보호가 뒷받침되지 않는 기술의 혁신은 실현되기 어려운 것이다. 정보보호 없는 핀테크는 ‘팥 없는 진빵’과도 같다.

핀테크 시대, 놓칠 수 없는 ‘정보보호’

핀테크 시대가 왔다. 금융이 기술을 이용하던 시대에서 기술이 금융혁신을 주도하는 시대가 된 것이다. 은행만의 서비스가 아니라 기술과 아이디어가 있다면 누구에게나 기회가 제공되는 시대인 것이다.
이러한 핀테크 시대를 상징하는 4가지 기술이 있다. 바로 빅데이터, Open API, 클라우드, 블록체인이다. 불과 2년 전만해도 먼 미래의 이야기처럼 느껴졌지만, 이제는 우리 눈 앞에 펼쳐진 현실이 되고 있다. 핀테크는 모든 문제를 해결하는 만능열쇠인 것처럼 느껴진다. 핀테크라는 장밋빛이 펼쳐질 것만 같다.
하지만 핀테크 시대에 놓쳐서는 안 되는 것이 바로 ‘정보보호’다. 페이스북 사건처럼 정보 유출은 한순간에 우리가 쌓아온 신뢰를 모두 빼앗아 갈 수 있다. 그렇다면 핀테크 시대의 정보보호가 왜 중요한지 그 이유를 하나씩 살펴보기로 하자.

빅데이터–비식별 조치

은행마다 빅데이터 사업이 한창이다. 마치 빅데이터를 모르면 우리의 미래가 없는 것처럼 느껴진다. 전담 조직을 만들고 전문 인력을 육성하고 시스템 구축도 한창이다. 빅데이터는 4차산업 혁명의 핵심기술이고, 금융은 양질의 데이터를 가지고 있으니 당연한 결과다.
하지만 데이터를 보유하고 있다고 마음대로 사용할 수 있을까? 아쉽게도 현행 개인정보 보호 체계에서 그렇게 간단한 문제는 아니다. 빅데이터에서 개인정보를 이용하기 위해서는 ▲고객의 사전동의를 받아야 하며 ▲수집 목적 범위 내에서 이용하여야 하고 ▲데이터의 보유 기간까지만 이용할 수 있다. 이러한 기준을 엄격히 적용할 경우 은행이 보유하고 있는 개인정보를 빅데이터로 활용하는 것은 사실상 어려운 일이다.
이러한 문제를 해결하기 위해 나온 것이 바로 ‘개인정보 비식별 조치 가이드 라인’이다. 가이드라인에 의하면 ①개인정보에 해당하는지 여부를 사전검토 하고 ②개인을 식별할 수 있는 요소를 삭제 또는 대체하는 비식별 조치를 한 후 ③비식별 조치의 적정성 평가를 통해 적정한 경우에 한하여 활용할 수 있다.
비식별 조치만 한다고 해서 빅데이터 관련 모든 문제가 해결되는 것은 아니다. 비식별화된 정보는 개인을 식별할 수 없기 때문에 개인화된 서비스에 활용하기 어려우며, 보유 기간이 정해져 있기 때문에 시계열 자료로 활용이 제약될 수 있다. 또한 비식별 조치 평가를 받는데 걸리는 시간과 노력을 고려해야 하는 문제다. 외부에서 제공받는 데이터는 더욱 문제가 심각하다. 제공 목적 범위 내에서 이용해야 하고, 목적 이외의 이용도 제한되며 목적이 달성되면 삭제해야 한다. 따라서 빅데이터 활성화를 위해서는 정보보호 관련 법령이나 가이드 라인 관련 이슈 해결이 필요하다.

Open API–제3자 제공

최근 은행들이 핀테크 업체에 Open API(응용프로그램 인터페이스)를 개방하기 시작했다. 은행의 전산망과 외부 핀테크 업체가 연결되는 것이다. 고객들은 앱을 통해서 입금, 출금, 조회, 송금 등 뱅킹서비스를 이용할 수 있고, 은행 입장에서도 핀테크 업체와의 제휴를 통해서 새로운 비즈니스 모델을 개발할 수 있다는 장점이 있다.
하지만 핀테크 업체에 은행과의 거래를 허용하는 것이 그리 간단한 문제는 아니다. 바로 제3자 제공 이슈가 있기 때문이다. 신용정보법 및 외부제공 가이드 라인에 의하여 개인(신용)정보를 제공하기 위하여 고객의 동의를 받아야 하고 은행과 핀테크 업체 간 보안관리 약정을 체결해야 하며, 보유 기간 경과 후 파기 확인하도록 하고 있다.
만약 개인정보를 조회하는 API를 이용하는 핀테크 업체가 고객 동의를 받아 조회한 거래내역을 임의로 저장하여 제3자에게 제공했다고 가정해보자. 이 경우 개인정보 유출 이슈가 발생할 수 있을 것이다.
이때 체크항목으로는 ▲고객 동의는 받았는지 ▲보안 약정을 체결하였는지 ▲제공 목적 이외로 이용하였는지 ▲보유 기간 경과 후 삭제하였는지 ▲필요 최소한의 정보만 제공했는지 ▲동의 받은 고객 이외의 정보가 제공되었는지 등이 있을 것이다. 따라서 Open API 활성화를 위해서는 정보보호 관련 법령, 가이드 라인, 은행과 핀테크 업체 간 책임의 명확화 등이 필요하다.

클라우드–위수탁

4차 산업 혁명 시대 핵심 기술 중의 하나가 바로 클라우드다. 구글, 아마존과 같은 세계적인 기업들이 클라우드 서비스를 제공하고 있고, 국내 기업도 하나둘 클라우드 서비스를 이용하고 있다. 단, 은행은 아직 예외인 듯하다.
결국 클라우드도 업무처리위탁 이슈가 발생한다. 은행이 보관하는 개인신용정보를 다른 회사의 서버에 저장할 수 있을지, 은행이 클라우드 제공자의 전산시스템을 이용할 수 있는지 말이다. 또한 현행 법령이나 가이드라인에서 이를 허용하는지 등의 문제를 해결해야 한다.
얼마 전 클라우드 도입 관련 회의에 참여한 적이 있다. 은행의 사회공헌 사이트를 클라우드로 구축하는 내용이었다. 처음에는 클라우드와 개인정보가 어떤 관계가 있는지 궁금했으나, 이 회의를 통해서 알게 된 것이 ‘금융권 클라우드 서비스 이용 가이드라인’이다. 금융권에서 클라우드를 도입하기 위해서는 바로 이 가이드 라인을 넘어야 한다.
가이드 라인에 따르면 은행에서 클라우드를 이용하려면 우선 ‘비중요 정보처리 시스템 지정’을 해야 한다. 이를 위한 고려 요인으로는 처리 정보의 중요도, 유출 시 파급효과, 타 시스템과의 연계성, 정보처리 시스템의 업무 중요도 및 용도, 이용자 수 등이 있다. 그러나 여기서 끝이 아니다. 고유식별정보 또는 개인신용정보 처리(송신, 수신 또는 전달 포함)하는 경우 비중요 정보처리시스템 지정은 불가하다. 결국 개인신용정보와 중요 시스템을 제외하고, 그 이외의 비중요 시스템만 클라우드를 이용할 수 있다는 결론이다.
그렇다고 금융기관이 클라우드를 전혀 사용하지 못하는 것은 아니다. 본부 업무용 PC나 은행에서 운영하는 사회공헌 사이트 등은 이미 클라우드를 이용하고 있다. 이렇듯 클라우드는 이미 우리 앞에 현실로 다가와 있다. 다만 클라우드가 더욱 확산되기 위해서는 정보보호라는 어려운 숙제를 풀어야 할 것이다.

블록체인 –암호화와 삭제

블록체인 열풍이 지나고 있다. 금융권도 블록체인을 활용한 서비스 개발이 한창이다. 블록체인은 분산원장을 통해 위변조를 어렵게 하여 보안을 강화하는 기술이다. 즉 정보보호와 관련이 많은 기술인 것이다.
얼마 전 블록체인 관련 2개의 질문을 받았다. 첫 번째 질문은 블록체인에 주민등록번호를 저장할 수 있느냐 하는 것이었다. 현행 『개인정보보호법』상 주민등록번호는 암호화 대상이다. 전산 DB, 이미지 파일, 녹취 파일 등 어떤 형태든 주민등록번호는 암호화하여 보관해야 한다. 블록체인에 저장된 주민등록번호라고 예외일 수는 없다. 당연히 블록체인에 주민번호를 보관할 때는 암호화해야 한다.
두 번째 질문은 블록체인에 저장한 개인정보를 삭제할 수 있느냐는 것이다. 현행 『개인정보보호법』에서는 정보 주체가 본인의 개인정보 삭제를 요청할 수 있다. 그러나 블록체인은 삭제되지 않는 시스템이다. 만약 삭제하려면 모든 블록을 삭제해야 한다. 과연 블록체인 서비스를 제공하면서 블록체인에 저장된 개인정보를 삭제할 수 있을지 많은 고민이 필요하다.
이러한 문제를 해결해야 한다. 제도적이든 기술적이든, 블록체인이 금융서비스로 제공되기 위해서는 결국 정보보호 이슈를 풀어야 하는 것이다.
지금까지 핀테크 시대의 핵심 기술과 정보보호 이슈에 관하여 알아보았다. 4차 산업혁명이라는 시대의 흐름 속에서 핀테크는 분명 새로운 기회이자 경쟁력이 될 것이다. 미래의 금융은 디지털을 기반으로 개인화 서비스를 제공할 것이며, 모든 사물이 연결되어 데이터로 분석되고 AI가 솔루션을 제공하는 시대가 올 것이다. 클라우드와 블록체인 같은 기술이 새로운 혁신을 이룰 것이다.
하지만 결국 정보보호의 문제가 남는다. 신뢰할 수 없다면, 안전하지 않다면 성공할 수 없다. 그래서 핀테크 시대, 정보보호의 역할과 책임이 그 어느 때보다 중요한 것이다.
핀테크 시대를 상징하는 4가지 기술이 있다. 바로 빅데이터, Open API, 클라우드, 블록체인이다. 불과 2년 전만 해도 먼 미래의 이야기처럼 느껴졌지만, 이제는 우리 눈앞에 펼쳐진 현실이 되고 있다. 핀테크는 모든 문제를 해결하는 만능열쇠인 것처럼 느껴진다. 핀테크라는 장밋빛이 눈앞에 펼쳐질 것만 같다. 하지만 핀테크 시대에 놓쳐서는 안 되는 것이 바로 ‘정보보호’다.
클라우드를 상징하는 모형의 서람이 열려 있고, 그 안에는 다양한 정보를 상징하는 큐브 모형이 담겨 있다
위로
은행연합회 페이스북 바로가기[새창으로 열림]