법무법인 디엘지 세미나, ‘마이데이터 제도 도입에 따른 변화와 혁신’ 개최

의료·통신 분야를 시작으로 산업 전분야 단계적 확대되는 개인정보 전송요구권

김대현 한국인터넷진흥원 팀장, “정보 주체의 필요에 따라 데이터 전송 구조 마련됐다”

마이데이터 제도 시행 이후 기존 일부 영역에 국한됐던 개인정보 전송요구권이 이제 의료·통신 분야를 시작으로 향후 에너지, 고용, 교육, 여가, 복지 등 전 산업 분야로 단계적으로 확대될 예정이다. 개인정보처리자 중에서는 ▲연 매출 1500억원 이상이면서 100만명 이상의 정보주체를 보유한 사업자 ▲민감정보 또는 고유식별정보를 5만명 이상 보유한 기관 ▲2만명 이상의 학생을 둔 대학 ▲공공시스템 운영 기관 등이 전송 대상자로 포함된다.

정보 주체가 자신의 개인정보를 제3자 또는 본인에게 전송 요구할 수 있도록 한 이번 제도 개편은 ‘국민이 주도하는 정보 활용 기반’을 실현하는 데 중점을 두고 있다. 정보는 단순히 열람하거나 조회하는 수준을 넘어 암호화된 파일 형태로 다운로드가 가능해졌고, 대리 전송 시 안전성을 확보할 수 있는 기술적 조치들도 함께 제시됐다.

특히 중계 전문기관이 도입됨으로써, 정보 전송자와 수신자 사이의 효율적 연계가 가능해졌다는 점도 주목할 만하다. 정보주체가 언제, 어떤 기관에, 어떤 정보를 전송했는지를 확인할 수 있는 통합조회 플랫폼 역시 구축돼 전송 내역의 체계적 관리가 가능해진다.

이에 지난 15일, 법무법인 디엘지는 ‘마이데이터 제도 도입에 따른 변화와 혁신’을 주제로 한 세미나를 개최했다. 이번 행사는 올해 3월부터 시행된 ‘개인정보 보호법’ 개정에 따라 본격화된 개인정보 전송요구권 제도의 핵심 내용, 그리고 이에 뒤 따르는 산업 전반의 변화 방향을 진단하고자 마련됐다.

테크42는 이날 ’전 분야 마이데이터 제도와 전송요구권에 따른 전송체계’를 주제로 한 김대현 한국인터넷진흥원 마이데이터운영팀장의 발표를 통해 좀 더 자세한 내용을 알아봤다.  

정보 주체의 필요에 따라 전송요구… 데이터 유통 여건 마련됐다

이날 첫 발표에 나선 김대현 팀장은 “정보 주체의 필요에 따라 데이터가 전송될 수 있는 구조가 마련됨으로써, 데이터 유통 기반이 형성되고 산업 전반의 융합과 혁신이 본격화될 것”이라며 이번 제도의 의의를 강조했다.

앞서 마이데이터 제도 시행 이전, 기존의 개인정보 활용 방식은 대부분 기업의 필요에 따라 이뤄졌다. 마케팅이나 제휴 서비스를 위한 정보 제공 동의가 대표적 사례다. 기업들은 자신이 보유한 데이터를 경쟁력으로 인식했기 때문에, 외부와의 공유는 꺼려왔다. 그 결과 정보는 폐쇄적으로 운영됐고, 기업 간 데이터 유통이 막히면서 서비스 혁신도 제한됐다.

이와 관련, 김 팀장은 “기존의 개인정보 활용은 정보 주체가 아닌 기업이 제3자 제공에 대한 수동적 동의를 진행하는 방식이었다”고 지적하며 “마이데이터 제도의 도입으로 정보 주체가 전송 주체로 나서면서 데이터 이동의 주도권이 완전히 전환됐다”고 설명했다.

이러한 변화는 다양한 분야 간 데이터 융합을 가능케 하고, 기업은 기존에 확보하지 못했던 데이터를 통해 새로운 비즈니스 모델을 창출할 수 있는 기반이 됐다. 특히 정보 주체의 의지에 따라 여러 기관 간 데이터 공유가 가능해지면서, 맞춤형 서비스 개발과 사회적 난제 해결(고령화, 일자리 창출 등)에도 긍정적인 파급 효과가 기대됐다.

이러한 마이데이터 제도의 기술적 토대는 ‘중계 전문기관’ 도입과 ‘전송지원 플랫폼’ 구축이었다. 정보 전송자와 수신자가 다수 존재하는 상황에서 일대일 방식의 정보 전달은 비효율적이고 확장성이 떨어진다는 것은 문제였다. 이를 해소하기 위해 중계 전문기관이 양자 간 전송을 대신하며 효율성과 안전성을 높인 것이다.

김 팀장은 “전송자가 수백 개, 수신자도 수천 개로 확장될 수 있기 때문에 중계 전문기관이 없으면 전송체계가 거미줄처럼 복잡해진다”며, “중계를 통해 n x n의 구조를 n + n으로 단순화할 수 있다”고 설명했다.

또한 정보 주체는 자신이 언제, 어디에 어떤 정보를 전송했는지를 확인할 수 있는 ‘통합조회 플랫폼’을 통해 자신의 데이터 흐름을 직관적으로 파악할 수 있다. 김 팀장에 따르면 이는 개인정보 보호 관점에서도 중요한 진전이다.

식별체계와 전자서명… 안전한 데이터 이동 위한 기반 마련

정보 주체와 정보 전송자·수신자 간 정확한 사용자 매칭은 마이데이터 제도의 핵심 요건 중 하나다. 이를 위해 개인정보 전송 시, 이용자의 식별 체계를 정교화하고 전자서명 기반의 검증 체계를 도입했다.

김 팀장에 따르면 우리나라의 대표적인 식별 체계는 ‘연계정보(CI)’로, 온라인 본인 확인 과정에서 생성된 고유한 식별자다. 수신자와 전송자 모두 이 연계정보를 보유하고 있다면 정확한 식별이 가능하지만, 일부 기관은 주민등록번호나 자체 식별자를 사용하는 경우도 있어 이질적 정보를 연계하기 위한 기술적 보완이 요구된다.

김 팀장은 “정보 수신자 앱에서 전송 요구서를 작성하고 전자서명을 추가하면, 중계기관과 전송자가 이를 검증해 정보 주체의 요청임을 확인할 수 있다”며 “이러한 구조가 데이터 이동의 보안성과 신뢰성을 높인다”고 설명했다.

이 밖에도 의료 분야에서는 SDK(소프트웨어 개발 도구) 기반 연동 시스템이 개발 중이고, 통신 분야는 개인정보위가 배포한 표준 API를 기반으로 전송체계를 구축하고 있다. 다양한 분야로의 확대가 진행되면서, 각 산업군의 특성에 맞춘 전송 체계 정립이 지속적으로 이뤄질 예정이다.