한국 핀테크 환경의 데이터 개인정보 보호법

← 색인으로 돌아가기

한국 금융 부문이 빠른 디지털 전환을 겪고 있는 가운데, 정부는 혁신과 소비자 보호의 균형을 맞추는 정책을 통해 데이터 활용을 우선시해왔다. 이러한 노력의 핵심은 개정된 신용정보의 이용 및 보호에 관한 법률(신용정보법) 하에 시행되는 마이데이터(MyData) 허가 제도와 AI 및 클라우드 기술을 수용하기 위한 망분리 정책 개편이다. 본 기고문에서는 개인 신용정보 보호, 마이데이터 시스템, 그리고 망분리 개편에 대한 주요 법률 및 정책 동향을 살펴볼 예정이다.

주요 정책

개인정보 보호 강화

신용정보법은 개인정보보호법을 보완하는 특별법으로 금융 거래에서의 신용정보 이용과 관련된 사항에 대해 우선하여 적용된다. 별도로 규정되지 않은 경우에는 개인정보보호법의 일반 규정이 적용된다.

신용정보법은 데이터 주체를 보호하기 위해 신용정보 수집 시 사전 동의를 요구하고, 명확한 목적 명시를 의무화하며, 데이터 사용을 필요한 범위로 제한한다. 제3자와의 정보 공유에는 별도의 구체적인 동의가 필요하다.

이 법은 또한 금융기관이 동의 절차를 간소화하고 시각화하여 잠재적인 개인정보 보호 위험과 소비자 혜택을 설명하는 ‘데이터 활용 동의 등급’을 제공하도록 요구한다. 이는 금융 소비자가 ‘정보에 기반한 동의’를 할 수 있도록 지원하는 것을 목적으로 한다.

이 법은 AI 기반 신용 평가 및 보험 계산 등 자동화되니 데이터 처리의 증가를 인식하고, 소비자에게 이에 대한 설명을 요구하거나 프로파일링에 이의를 제기할 권리를 부여한다. 또한, 개인이 기관 간 신용 정보 이전을 요청할 수 있도록 허용했으며 데이터 보안 강화를 위해 데이터 관행에 대한 지속적인 검토를 요구하고, 데이터 유출 시 실제 손실액의 최대 5배까지 징벌적 손해배상을 허용한다.

마이데이터 정책 개선 사항. 2020년 개정된 신용정보법 개정안은 마이데이터 사업체를 위한 허가 제도를 마련했다. 이 제도는 개인의 금융 데이터를 통합해 상품 추천 및 금융 자문과 같은 서비스를 제공한다.

중소 핀테크 기업의 참여를 독려하기 위해, 이 법은 자본 요건을 5억원(약 352,399달러)으로 낮췄고 금융기관에 적용되는 자본금 출장 규정에서 면제했다. 다만, 운영자는 금융위원회(FSC)의 승인을 받기 위해 인력, 인프라 및 사업계획 기준을 충족해야 한다.

한국에서 마이데이터 사업을 운영하기 위해서는 외국 법인은 국내 자회사를 설립해야 하며, 해당 자회사가 마이데이터 사업 허가를 받아야 한다. 또한, 주요 주주로서 외국 법인은 재무 건전성, 신뢰성, 운영 건전성 및 자본금 등 시행령상의 요건도 충족해야 한다.

2022년 1월 5일에 시작된 금융 마이데이터 서비스는 이후 업계 성장을 지원하고 소비자 보호를 강화하기 위해 규제를 강화했다. 2022년 말까지 금융 마이데이터를 통해 제공되는 정보의 범위는 은행, 보험, 신용카드, 금융 투자 및 공공기관 등 모든 부문에 걸쳐 492개 항목에서 720개 항목으로 크게 확대됐다.

2025년 1월 21일, 정부는 법의 하위 규정인 신용정보업 감독규정을 추가로 개정했다. 이 개정을 통해 다음과 같은 사항이 변경됐다: (1) 마이데이터 사업자는 대면 판매 활동을 할 수 있게 됐다. (2) 미성년자의 마이데이터 서비스 이용 방식이 개선됐다. (3) 마이데이터 사업자의 데이터 결합 기준이 명확해졌다. (4) 마이데이터 사업자가 정보주체의 동의를 받아 제3자에게 정보를 판매하는 경우 금융보안원에 구축된 ‘마이데이터 안전 제공 시스템’을 이용하게 됐다.

망분리

전자금융거래법의 하위 규정인 전자금융거래감독규정은 해킹과 외부 위협으로부터 시스템을 보호하기 위해 물리적 망분리를 요구하고 있다. 내부 업무 시스템은 인터넷 및 데이터센터 시스템과 같은 외부망으로부터 차단되어야 하며, 운영, 개발 또는 보안에 사용되는 단말기 또한 물리적으로 분리되어야 한다.

한국의 물리적 망분리 규정은 초기에는 효과적이었지만, 오늘날 빠르게 진화하는 IT 환경에는 적합하지 않게 됐다. 인터넷과의 엄격한 분리로 인해 SaaS, 인공지능 및 보안 도구 사용이 제한되어 업데이트가 지연되고 방어 체계 또한 약화됐다. 금융 부문에서는 이러한 비효율성이 혁신과 연구개발(R&D)에 미치는 영향, 그리고 글로벌 표준과의 격차 심화에 대해 우려를 표명하며 지속적으로 개혁을 촉구해 왔다.

이에 따라 정부는 2024년 8월에 3단계 망분리 개혁 계획을 발표하고 1단계 추진에 들어갔다. 그 내용은 다음과 같다:

(1) 생성형 AI(GenAI) 사용 허용

대부분의 GenAI 서비스는 클라우드 기반 인터넷 환경에서 운영되지만, 망분리 규제로 인해 이용이 크게 제한되어 왔다. 또한, 현재 해외에 서버가 위치한 AI 모델을 통해 개인 신용정보를 처리하거나 저장하는 것은 불가능하다. 이를 극복하기 위해 정부는 규제 샌드박스를 통해 예외를 허용하여 금융기관이 GenAI를 활용하여 가명화된 개인 신용정보까지 처리할 수 있도록 할 계획이다. FSC는 이러한 프레임워크에 따라 샌드박스 지정을 승인하기 전에 AI 활용 목적, 데이터 범위, 보안 조치 등 다양한 요소를 평가하여 사례별로 신청을 검토할 예정이다.

(2) 클라우드 기반 애플리케이션(SaaS) 사용 확대

2023년 9월 규제 샌드박스를 통해 내부망 내 SaaS 사용이 승인됐으며, 최근 개혁으로 그 범위가 확대되어 가명 처리된 신용 데이터도 포함되게 됐다. 또한, 협업 도구 및 ERP 시스템을 넘어서 보안, 고객 관리 및 비즈니스 자동화 프로그램까지 SaaS 사용이 허용됐다. SaaS 접근이 승인된 기기 또한 유선 PC뿐만 아니라 모바일 기기까지 확대됐다.

FSC는 각 신청서를 SaaS 사용 범위, 사업 운영의 성격 및 보안 조치 수준을 기준으로 검토한 후 샌드박스 지정을 승인한다. SaaS 사용 범위가 확대됨에 따라 FSC는 강화된 보안 조치의 이행도 요구하고 있다.

R&D를 위한 망분리 완화. 2022년 11월에 R&D 망에 대한 예외 조치가 도입됐지만, R&D 망과 사업 망을 물리적으로 분리하는 데 어려움이 있어 그 효과는 제한적이었다. 또한, 개인 신용정보 사용 금지로 인해 서비스 개발이 저해됐다. 정부는 이제 R&D 망의 논리적 분리와 가명 처리된 신용 데이터의 R&D 활용을 허용하는 개혁을 추진하고 있으며, 이를 통해 고객 데이터 분석을 기반으로 한 새로운 서비스 개발을 촉진하고 있다.

개혁 전망

망분리 개혁이 시행됨에 따라 많은 기업이 클라우드 솔루션을 통해 내부망에서 GenAI와 SaaS를 이용할 수 있도록 샌드박스 승인을 받았다. 규제 샌드박스 지정은 국내 자본으로 설립된 금융 기관이나 전자 금융사업자에만 한정되지 않으며, 한국법에 따라 설립된 외국 회사의 자회사도 적용 대상에 포함된다.

2025년 2월 3일, 망분리 정책 개혁 추진의 일환으로 전자금융거래감독규정이 개정됐다. 그 결과, 금융 기관 및 전자 금융사업자는 R&D 망 내에서 가명 처리된 개인 신용정보를 사용할 수 있게 됐다.

금융 부문의 망분리 정책 개혁은 계속될 것으로 예상된다. FSC는 현재 규제 샌드박스에서 허용되는 내부망 내에서 GenAI와 SaaS를 사용하는 경우의 성능 및 보안 영향을 평가할 계획이다. 이러한 조치들이 매우 효과적이고 중대한 보안 위험 또한 없는 것으로 평가될 경우, FSC는 기존 규정을 개정하여 이러한 조치를 영구적으로 제도화할 예정이다. 또한 FSC는 R&D 망에서 허용되는 데이터를 가명 처리된 정보에 국한하지 않고 실제 개인 신용정보까지 포함하도록 확대하는 방안도 검토 중이다.

한편, 클라우드 서비스와 데이터 센터 의존도가 높아짐에 따라 제3자 위험 관리 미흡에 대한 우려도 지속되고 있다. 이에 정부는 망분리 규제 완화 이후 SaaS, GenAI 및 관련 기술 사용 확대와 관련된 리스크를 해결하기 위해 규제 체계를 강화할 계획이다.

FSC는 자율적 보호와 성과 기반 책임에 따른 새로운 보안 체계 구축을 위해 단계적으로 망분리 개혁을 추진하겠다는 의지를 밝혔다. 장기적으로는 규칙 기반 규제에서 원칙 기반 규제로 전환하기 위해 ‘디지털 금융보안법’(가칭)이라는 새로운 법률도 도입할 계획이다.

요약

한국 정부는 데이터 경제를 육성하고 개인정보를 보호하기 위해 노력하고 있다. 그러나 해킹 및 데이터 유출과 같은 문제는 지속적으로 기술을 개선할 것을 요구하고 있다. 서비스 제공업체의 책임을 명확히 하고, 소비자 피해에 대한 구제책을 개선하며, 취약계층에 대한 보호를 강화하는 것은 여전히 중요한 과제다. 데이터가 가치 창출에 차지하는 역할이 더욱 중요해짐에 따라 데이터 정책에 관한 공론화 또한 활발해질 것으로 예상되며, 정부는 이에 발맞춰 정책을 지속적으로 개선해 나갈 것이다.