[2019 금융넛지] (2) 토스 ‘마이데이터 시장의 오해와 진실’

금융사들은 이제 ‘금융=신뢰’라는 고정관념을 깨뜨릴 때가 왔다. 2019년 금융소비자들은 내 돈을 지켜주는 회사가 아닌 내 돈을 불려주는 서비스를 적극적으로 찾아나서고 있다. 그리고 새롭게 등장한 플레이어들이 ‘금융의 넛지(nudge)’가 되어 소비자에게 더 좋은 선택을 할 수 있는 장을 마음껏 열어주고 있다.

가계부앱, 간편송금에서 출발한 ‘뱅크샐러드’, ‘토스’, ‘카카오페이’는 지금 금융사들이 가장 협업을 원하는 동반자이자 위협을 느끼는 금융플랫폼이 됐다. 각자의 색깔은 뚜렷하지만 공통점은 하나의 플랫폼 안에서 세상의 모든 금융을 아주 쉽고 빠르고 편리하게 이용할 수 있다는데 있다.

기존 금융회사를 비웃듯 ‘이렇게 빠르고 편리하고 세련된 금융서비스를 사용하지 않는다면 당신은 당장 시대의 속도에 뒤쳐질 것’이라고 느끼게 만드는 장본인들. 본지는 2019 금융넛지 특집으로 국내 금융데이터 시장에서 가장 주목받고 있는 '뱅크샐러드(레이니스트)', '토스(비바리퍼블리카)', '카카오페이' 세 회사를 만나 그들이 생각하는 금융서비스의 미래와 가치에 대해 깊은 대화를 나누어 보았다.

▲ 토스(비바리퍼블리카) 이규림 법무이사 (前 김앤장 법률사무소 변호사)

Q. 토스는 1천만 가입자를 둔 국내 대표 금융중개플랫폼으로 지난 3년여 동안 수많은 고객들의 데이터를 축적해왔다. 토스가 금융서비스의 혁신은 가져다 준 것은 인정하지만, 규제가 닿지 않는 스크래핑 방식으로 고객 데이터를 너무 쉽게 수집한 것 아니냐는 비아냥도 받고 있다. 앞으로 마이데이터 시장이 열리며 이 문제는 더욱 첨예한 이슈가 될 것 같은데 토스의 입장이 궁금하다.

핀테크 업체들이 규제가 없어서 정보를 함부로 수집해왔다는 건 완전히 잘못된 생각이다. 우리나라의 개인정보법은 전세계적으로도 보호레벨이 가장 높은 수준이며 정보의 수집과 이용, 제공에 관한 법은 과거부터 엄격한 규제를 받아 왔다. 토스가 모은 정보 또한 이러한 개인정보법, 정보통신망법, 신용정보법을 모두 준수해 수집한 정보들이다.

이번에 발표된 신용정보법 개정안이나 마이데이터 산업 도입으로 과거에 없었던 정보보호 규제가 새롭게 추가 혹은 완화된다고 생각할 수 있는데 이것 또한 잘못된 생각이다. 우리나라에서는 정보 수집과 유통에 있어서 목적 외에 사용하거나 정보유출을 하는 행위에 대해서는 언제나 강도 높은 처벌을 받아왔고 앞으로도 그럴 것이다.

Q. 신용정보법은 토스, 뱅크샐러드, 카카오페이 등 고객데이터를 활용해 서비스를 제공해야 하는 금융플랫폼 회사에 있어서 가장 중요한 법안 중 하나다. 신용정보법 개정안을 통해 정보보호 규제가 새롭게 만들어지는 것은 아니라고 했는데, 그렇다면 무엇이 과거와 달라지는 것인가?

이번 개정안의 핵심은 정보보호 수준이 아닌 ‘정보의 주권’이 달라지는 것이다. 현재의 법령구조에서는 개인정보를 보유한 기관이 모든걸 주도하게 돼 있다. 예를 들어 은행이 어떤 서비스를 제공하기 위해서는 고객 정보가 필요하니 정보수집에 동의해달라고 요구하고 정보를 수집한다. 동의를 구하고 정보를 수집하는 전 과정이 기관의 필요에 의해서 움직여지는 것이다.

하지만 이번 개정안을 통해 개인이 정보주권자가 되어, 본인의 필요에 의해, 금융기관이 보유하고 있는 정보를 이동하게 만드는 제도가 도입된다. 지금까지 없었던 내 정보를 이동시키게 만들 수 있는 권리가 이번 신용정보법 개정안의 핵심이다.

Q. 토스와 같은 금융중개서비스를 제공하는 핀테크 기업들에겐 이번 신용정보법 개정안이 앞으로 사업하는데 긍정적이라고 보는가? 제도권으로 편입되면서 오히려 규제가 강화돼 핀테크기업 입장에선 긍정적이라고만 보기엔 무리가 있을 것 같다.

개인의 금융정보를 이용한 서비스가 제도권에 편입된다는 것은 규제가 들어간다는 의미다. 공식적인 서비스로 자리매김하며 소비자의 신뢰도는 높아질 수 있겠지만 사업자에 대한 규제는 엄청나게 들어올 것이다.

여기서 규제라는 것은 정보를 전달하는 과정에서 ‘어떤 식으로 정보를 전달할 것인가’에 대한 규제다. 예를 들어 A고객이 토스나 뱅크샐러드와 같은 써드파티 플랫폼을 통해 은행에 있는 정보를 가지고 오라고 지시하면 토스가 인식하는 A고객과 은행이 인식하는 A고객이 같은 사람인지부터 검증이 돼야 한다. 또 이렇게 제공받는 정보를 고객이 열람할 때 보안을 강화할 수 있는 방법에 대해서도 고민해야 하며 이러한 부분에 규제가 촘촘히 만들어질 것이다.

Q. 정부에서 정책적으로 마이데이터 산업 육성에 박차를 가하고 있다. 마이데이터 산업의 핵심은 정보수집인데 핀테크 업계는 스크래핑 수집방식과 API 연동방식을 놓고 갑론을박 중이다. 정부의 기본적인 방침은 스크래핑 방식을 점진적으로 금지하겠다는 것인데, 스크래핑 방식을 주장하는 이유가 있나?

핀테크 업계에서 우려하는 점은 금융기관의 API를 통해서만 고객 데이터를 받게 된다면 금융기관들이 이를 악용해 공개대상 정보를 임의로 축소할 수 있기 때문이다. 개인이 생성한 다양한 정보를 어떤 은행은 적극적으로 개발 리소스를 투입해 마이데이터 사업자에게 열어주고, 어떤 은행은 개발 일정이 밀려 고객 데이터를 나중에 주겠다고 말할 수 있다.

신용정보법 개정안에 따라 금융기관은 고객정보를 마이데이터 사업자에게 제공할 의무가 있지만 어느 범위까지 제공해야 하는지에 대해서는 아직 법으로 정의되지 않았다. 금융기관이 공개대상 정보에 대해서는 API로 제공할 의무가 있는데 이걸 태만하게 했을 경우 스크래핑 방식으로라도 가져와야 하는 것이 맞지 않냐는 것이 핀테크 업계의 입장이다.

토스는 API로 개방하는 고객정보를 금융기관이 좌지우지 할 수 없는 제도적 장치가 마련된다면 API 방식으로 가는 것이 맞다고 본다. 공개대상 정보를 가지고 금융회사와 계속 싸워야 하는 상황이 오는 것은 원치 않는다.

Q. 내년 본격적인 마이데이터 산업이 도입되면 금융소비자가 더 현명하게 서비스를 선택할 수 있는 길이 열릴 것으로 보인다. 데이터 활용이 좀 더 자유로워짐으로써 금융서비스의 최종목표인 맞춤형 서비스가 가능해질까?

마이데이터가 도입된다고 정보의 사용성이나 정보 활용의 패러다임이 바뀌는 것은 아니다. 마이데이터 산업은 정보가 흘러가는 채널이 기관 주도였던 것을 개인이 주도할 수 있도록 하나의 옵션을 더 넣은 것에 불과하다.

맞춤형 서비스가 활성화되기 위해서는 마이데이터가 아닌 빅데이터 활용에 대한 규제가 바뀌어야 한다. 마이데이터 산업이 도입된다고 해도 수집된 정보를 맞춤형으로 서비스하기 위해서는 목적별로 개인에게 정보사용 동의를 모두 다시 받아야 한다. 우리나라 개인정보법은 전세계적으로도 보호레벨이 상당히 높은편인데 이걸 완화해주는 법은 아직 나오지 않았다.

맞춤형 서비스와는 별개로 마이데이터 시대가 열리며 정보주체가 보다 적극적으로 자신의 정보에 대한 권리를 행사하게 됨으로써 토스와 같은 핀테크 기업들에겐 고객의 상황과 필요에 맞는, 더 나은 금융서비스를 제공할 수 있는 길이 만들어졌다고 생각한다.