<대한금융신문=박영준 기자> “향후 마이데이터사업자는 개인의 모든 재무현황을 보유할 수 있다. 그렇다면 국민이 마이데이터사업자에게 요구하는 보안 수준이 무엇인지 생각해볼 필요가 있다”

대한금융신문이 지난 23일 개최한 ‘[핀테크 2019] 대한민국 핀테크의 비상’ 포럼의 세션 발표를 맡은 금융보안원 조규민 금융데이터전략부장은 금융분야에 도입될 마이데이터 서비스를 소개했다.

지난해 11월 발의된 신용정보법 개정안이 통과될 경우 신용조회업과 구분되는 ‘본인신용정보관리업(마이데이터사업자)’이 별도 신설된다.

자본금 요건 등은 최소화해 다양한 업체의 진입을 허용하되, 정보보호·보안·산업생태계 등의 측면을 감안해 진입규제가 만들어질 예정이다.

금융분야에 마이데이터 서비스가 도입되면 신용정보 통합조회가 가능해진다. 개인의 금융거래 등의 정보를 수집해 알기 쉽게 통합 제공하고, 수집된 개인의 금융정보 등을 기초로 금융상품을 추천하고 재무위험을 분석해주는 등 다양한 서비스 활성화가 기대되고 있다.

조 부장은 “마이데이터사업의 근거는 국민의 개인신용정보 이동권을 보장해 금융사의 고객정보 제공을 의무화하는데 있다”며 “개인의 정보이용권한을 보장하는 측면일 뿐 (마이데이터사업자) 마음대로 데이터를 활용하는 업무가 아니다. 그래서 자본요건 등 진입장벽만 조금 낮춰 활성화시키겠다는 것”이라고 말했다.

이어서 그는 마이데이터 산업의 기반이 될 데이터 표준 API를 소개하는 시간을 가졌다. API란 특정 기능이나 데이터를 다른 애플리케이션이 접근하고 사용할 수 있도록 하는 연결규격을 의미한다.

API는 개인, 금융사, 마이데이터사업자를 연결하는 역할을 한다. 예를 들어 고객이 마이데이터사업자에게 개인신용정보를 넘기려면 먼저 은행부터 등록해야 한다.

이후 마이데이터사업자의 정보조회가 가능하도록 요청하고, 마이데이터 사업자는 조회기간 제한 등의 인증토큰을 붙인 뒤 금융사의 정보조회 API를 요청하게 된다. 이 과정이 끝나야 은행은 마이데이터사업자에게 예금, 대출, 거래내역 등이 담긴 정보를 제공할 수 있다.

조 부장은 “마이데이터사업자가 되면 기존보다 은행에 요구할 수 있는 데이터 범위가 크게 달라진다. 보안이나 인증체계 등 상호간 주고받는 API에 어떤 식으로 보안이 적용돼야 할지가 향후 마이데이터사업에서 논의돼야할 사항”이라며 “단위규격이나 기술규격에 따라 어디까지 신용정보를 제공할 것이냐에 대한 API규격이 결정될 것”이라고 말했다.

향후 금융분야에 적용될 오픈API에 대한 보안 이슈도 다뤄졌다. 현재 국내에서는 금융보안원이 금융분야의 오픈API의 보안요구사항에 대한 가이드를 제공 중이다. 여기에는 이용자 단말 및 이용자에 대한 보호, 오픈API 보안, 이용기관 보호, 이상거래 보안 등의 대책이 담겨있다.

조 부장은 “해외 및 국내 금융분야 API 보안요구사항을 종합적으로 고려해 마이데이터 API 보안을 강화할 필요가 있다”며 “정보주체의 개인신용정보 취급, 개인정보이동권 대행 등 마이데이터 서비스 특성을 고려해 보안 요구사항의 추가 확대도 고려하고 있다”고 말했다.