"SK텔레콤(78,700원 ▲2,300 +3.01%), KT(61,700원 ▲1,300 +2.15%), 롯데카드 등 대기업도 해킹당하는데 개인정보관리 전문기관은 안전하겠냐는 우려가 있습니다. 그들과 달리 암호화, 접근 제어 등 지속적인 사후관리를 하겠습니다."
하승철 개인정보위원회(이하 개인정보위) 범정부 마이데이터 추진단장은 25일 서울 종로구 정부서울청사에서 열린 기자설명회에서 이같이 말하며 개인정보관리 전문기관 해킹 우려를 해명했다.
마이데이터는 기업·기관의 온라인 서비스에 축적된 이용·구매내역 등 개인정보를 정보 주체(소비자)가 원하는 곳으로 복제·이전해주는 제도로 △정보 주체 스스로 개인정보를 내려받겠다고 요구하는 '본인전송요구권'과 △다른 기업·기관에 넘겨줄 것을 지시하는 '제3자 전송요구권'으로 구성된다.
개인정보위가 지난 6월 입법 예고한 개인정보보호법 시행령 개정안이 이달 말 규제개혁위원회 본심사를 받을 예정이다. △금융 △의료 △통신 등으로 한정됐던 본인전송요구권 적용 분야를 전 분야로 확장하는 것이 골자다. 대상은 연 매출이 1500억원 이상이면서 정보 주체가 100만명 이상인 기업이다.
개인정보관리 전문기관은 정보 주체와 별도 위임계약을 맺어 마이데이터 활용을 지원할 수 있다. 개인정보관리 전문기관에 개인정보가 몰리면 해킹에 취약해진다는 우려가 제기된다. 하 단장은 "높은 수준의 보안 관련 지정 요건을 둘 것"이라고 했다.
중소기업과 스타트업은 인프라 구축 비용이 걱정이다. 하 단장은 "전체 약 3만개 홈페이지 중 680개만이 이번 시행령 개정안 적용 대상"이라며 "대기업만 대상일뿐더러, 단순 다운로드를 위한 인프라 구축은 비용이 많이 들지도 않을 것"이라고 설명했다.
산업계는 정보 주체가 내려받는 개인정보에 기업의 영업비밀이 포함될 것이라고 걱정한다. 이에 대해 하 단장은 "기업 등 개인정보처리자가 수집한 개인정보를 기초로 분석·가공해 생성한 정보는 대상에서 제외된다"며 "타인의 권리나 정당한 이익 침해 등은 전송 거절 사유"라고 설명했다.
개정안은 개인정보관리 전문기관 등 대리인이 스크래핑 등 자동화된 도구로 본인전송요구를 대리할 경우 안전한 전송방식을 사전 협의하도록 규정한다. 스크래핑은 적은 비용으로 광범위한 정보를 수집할 수 있어 효율적이지만 정보 유출, 오남용 가능성 등 안전성 우려가 있다. 하 단장은 "스크래핑은 금지하더라도 당장 멈출 수 없을 만큼 업계에 만연한 상태"라면서 "보다 안전한 API(응용 프로그래밍 인터페이스) 전환을 유도하는 것이 방침이나 그전까지는 협의를 거쳐 스크래핑하라는 뜻"이라고 설명했다.
각계 전문가와 직접 서비스를 운영하는 기업들은 기대감을 보였다. 박영수 법무법인 민후 변호사는 "이번 개정안에는 PDS(개인데이터저장소)라는 개인만 접근할 수 있는 개인정보 저장소가 도입됐다"며 "정보 주체가 온디바이스로 개인정보를 저장할 수 있고 기업이나 기관이 기획해 놓은 서비스 외에도 개별 개인이 AI 에이전트 빌더 등을 활용해 서비스를 이용할 수 있다"고 했다.
독자들의 PICK!
온디바이스 PDS 앱 '에이트'(aeit)를 서비스하는 솔티랩의 정승기 대표도 "기존에는 스타트업이 개별 제휴나 공개 데이터에만 의존해야 했는데 고품질 데이터에 접근할 수 있는 적법한 경로가 확보됐다"며 "정보 주체만 접근 가능한 저장소에 데이터를 보관하도록 해 오남용 리스크가 줄었다"고 말했다.
맞춤형 정책 플랫폼 웰로는 소상공인 대상 정책 추천 서비스에 마이데이터를 연계할 계획이다. 김유리안나 웰로 대표는 "개정안이 시행돼 마이데이터를 연동하면 이용자는 직업, 가족 구성원 등을 입력하는 수고를 덜게 될 것"이라며 "직접 입력하는 것보다 오류도 줄어 정확하게 정책을 추천받을 수 있다"고 했다.
양수정 메디에이지 헬스케어연구소 전략기획팀장은 "개인정보 전송 요구권이 제도권으로 편입되면 기존 스크래핑 방식에서 안전한 API 방식으로 전환될 것"이라고 설명했다.
두 회사는 "현재 개인정보관리 전문기관 심사를 받고 있는데 안정성, 전문성, 신뢰성 등 평가 지표가 까다롭고 검증이 꼼꼼하다"며 입을 모았다.
