금융보안원 주도로 만들어진 정부 마이데이터 종합 가이드라인은 크게 네 가지다. 인증 방식부터 보안 대책, 이용 방법, API 활용방안 등 마이데이터 사업 운영에 필요한 모든 내용을 담았다. 마이데이터 라이선스제가 시행되기에 앞서 신용정보법에서 명시한 모든 부분을 규격화하겠다는 취지다. 내용이 방대해 핵심 내용만을 뽑았다.
◇마이데이터 서비스 이용 가이드라인 무엇을 담았나
우선 마이데이터 서비스 이용 가이드라인이다. 마이데이터 서비스는 크게 4개 참여자로 구성된다. 정보주체, 데이터 수신자, 데이터 보유자, 마이데이터 지원서버다.
정보주체 자격요건은 하나 이상의 데이터 보유자에 본인 개인신용정보를 보유한 자로, 한국에 거주하는 만 19세 이상 성인이 모두 포함된다. 데이터 수신자는 정보주체로부터 개인신용정보 전송 요구를 받아 데이터 보유자로부터 개인신용정보를 전송받고 활용한다.
자격요건은 신용정보주체 본인, 마이데이터 사업자, 신용정보제공 이용자, 개인신용평가 회사 등이다. 데이터 보유자는 정보주체의 개인신용정보 전송요구 정당성을 확인한 후 데이터 수신자에게 개인신용정보를 전송하는 역할을 한다. 신용정보제공·이용자, 공공기관 또는 마이데이터 사업자가 이에 해당한다.
마이데이터 지원서버는 데이터 보유자-수신자간 상호인증을 위한 인증서 발급, 개인신용정보 전송 동의 내역 관리, 효율적인 마이데이터 서비스 기능을 지원하게 된다. 또 통합지원 포털도 운영한다. API 테스트베드 운영·지원과 사이버 위협 공유·대응 지원 체계도 수립하기로 했다.
◇데이터 등록, 어떻게 이뤄지나
마이데이터 사업을 위해 사전 준비사항 요건이 가이드라인에 담겼다.
우선 데이터 수신자 등록이다. 데이터 수신자는 API 호출을 위한 자격증명을 지원서버로부터 발급받아 이를 서버에 적용해야 한다. 데이터 보유자와 수신자간 상호인증, 암호통신을 위해 마이데이터 지원서버로부터 TLS 인증서를 발급받아야 한다.
데이터 보유자는 데이터 수신자에게 개인신용 전송을 하기 위한 공개 API를 개발해야 한다. 지원서버가 제공하는 테스트베드를 이용해 개발한 공개 API적합성 테스트를 의무적으로 수행해야 한다. 이후 API 호출을 위한 자격증명을 발급받고, 마찬가지로 TLS 인증서를 등록해야 한다.
정보주체는 본인인증이 필요하다. 데이터 수신자를 통해 데이터 보유자에게 개인신용정보 보유 여부 호가인과 안전한 개인신용정보 전송을 위해 강력한 본인인증을 적용받게 된다.
인증 방법은 통합 본인인증과 개별 본인인증 방식 중 하나 이상을 채택해야 한다. 개별 본인인증은 데이터 보유자가 제공하는 인증 방법을 이용해 데이터 보유자별로 인증을 수행하는 방식이다. 통합 본인인증은 정보주체가 공통된 인증수단(마이데이터 인증서 등)을 이용해 다수 데이터 보유자를 대상으로 한 번만 인증하면 된다.
정부는 통합본인인증을 위해 마이데이터 인증서 발급을 추진한다.
◇민감한 개인신용정보, 어떻게 유통되나
가이드라인은 민감한 개인신용정보 전송방식과 대행 요청, 대행 시 제약조건, 책임 소재 등을 자세히 명기했다.
정보주체가 데이터 보유자에게 본인 개인신용정보를 직접 전송할 것을 요구하는 경우, 동의 확인과 관리책임을 반드시 고지해야 한다. 또 정보를 안전하게 처리·전달할 수 있는 기능과 방법을 제공해야 한다. 예를 들어 개인신용정보는 사람이 읽을 수 있는 형태 등의 포맷으로 제공이 가능하도록 했다. 데이터 보유자는 마이데이터 서비스 인증 가이드라인에서 요구하는 인증 요구사항을 준수해 자체적으로 강력한 본인인증을 수행해야 한다.
정보주체가 데이터 보유자에게 본인 개인신용정보를 직접 전송요구시, 데이터 수신자는 전송요구 대행권한을 갖게 된다.
다만 정부는 정보주체가 요청한 사항을 열람·변조해서는 안되며 개인신용정보는 데이터 소유자를 경유해 전달하는 것을 금지했다.
데이터 수신자와 보유자간 개인신용정보 전송방법도 명문화했다. 데이터 수신자는 정보주체 동의가 있으면, 데이터 보유자로부터 개인신용정보 조회권한을 가질 수 있다. 다만 개인신용정보의 종류, 활용목적, 전송기간, 전송동의 철회 권리 등을 의무적으로 고지하고 정보주체의 명시적 동의를 확인해야 한다.
사전 고지사항에는 △수집하고자 하는 개인신용정보 유형과 용도 △수집한 데이터를 목적 범위 외에 사용하지 않는다는 것에 대한 명시 △아웃소싱 업체 이용 시 해당 정보 △동의 철회 권리 고지 △수집한 데이터 삭제 시기 및 방법 △데이터 전송에 따른 수수료 발생 여부 및 금액 △수집하고자 하는 개인신용정보의 기간 △개인신용정보 전송기간 등이 포함된다.
한편 데이터 보유자는 개인신용정보 전송요청 인증을 위해 정보주체 본인인증을 수행하고 데이터 수신자에게 접근토큰을 발급해야 한다. 개인신용정보 전송 거절도 할 수 있다. 데이터보유자는 정보주체의 본인 여부가 확인되지 않을 경우, 개인신용정보 전송 요구를 거절하고 이를 요청한 정보주체에게 고지하면 된다.
◇데이터 관리체계 구체화
관리 체계도 나왔다. 데이터수신자는 정보주체에게 개인정보 전송 동의 내역을 제공해야 한다. 제공 정보는 △개인신용정보를 전송하는 데이터 보유자 정보 △전송에 동의한 개인신용정보 세부항목 △실제 전송된 개인신용정보 세부 항목 및 전송 기간 △개인신용정보 수집 목적 및 용도 △개인신용정보 전송 동의 일시 및 만료일시 등이다.
아울러 동의 내역 통합조회 서비스도 만들 계획이다.
개인정보 전송 동의 철회가 이뤄질 경우 주의사항을 사전에 고지해야 한다.
예를 들어 B사업자가 A금융회사로부터 전송받은 정보주체의 개인신용정보를 동의를 받은 후 C사업자에게 2차로 전송한다고 가정해보자. 그런데 정보주체가 A금융회사에서 B사업자로의 개인신용정보 전송 동의를 철회했다. 그럴 경우 C사업자는 개인신용정보를 확보할 수 없다.
길재식기자 osolgil@etnews.com