들어가며 — 2020년 1월 9일, 금융이 바뀌던 날
2020년 1월 9일 목요일.
금융 데이터의 흐름이 바뀌기 시작한 날입니다.
국회 본회의에서 데이터 3법이 통과됐습니다.
개인정보보호법·신용정보법·정보통신망법 개정안이 한꺼번에 처리된 날이었어요.
그날 저는 금융 컨설턴트로서 은행 고객사와 미팅을 하고 있었습니다.
법안 통과 뉴스가 전해지자 회의실 분위기가 순식간에 바뀌었어요.
제 옆에 앉아 있던 차장님이
“이제 진짜 시작이네요.”
라고 말했습니다.
그러면서 얼굴이 심각하게 변했어요.
그 한마디가 그날의 분위기를 정확하게 표현했습니다.
법 개정안을 수용하려면 은행 IT와 현업부서는 막대한 예산을 확보하고,
크고 작은 프로젝트를 수행해야 했거든요.
게다가 고객 정보를 분석·활용하는 데 새로운 제약이 생기고,
고객에게 일일이 동의를 받아야 하는 은행원 입장에서는 가장 어려운 새로운 일이 시작된 거였죠.
오늘은 데이터 3법이 왜 만들어졌는지,
독자 여러분의 금융 생활에 어떤 변화를 가져왔는지,
그리고 그날 은행 현장에서는 어떤 일이 있었는지 이야기해드리겠습니다.
2년의 긴 여정 — 법안 통과까지 무슨 일이 있었나
데이터 3법 개정은 하루아침에 이루어진 게 아닙니다.
무려 2년이 걸렸어요.
2018년 2월, 대통령 직속 4차산업혁명위원회 주관으로
산업계·학계·시민단체가 모여 가명정보 활용범위와 개인정보보호에 대한 사회적 합의를 시작했습니다.
그 과정에서 두 입장이 팽팽하게 맞섰어요.
데이터 활용 측 →
“4차 산업혁명 시대에 데이터를 활용하지 못하면 한국 경제가 뒤처진다.
규제를 풀어야 한다.”
개인정보 보호 측 →
“개인정보가 기업의 이익을 위해 무분별하게 활용되면 국민 프라이버시가 침해된다.”
당시 최종구 금융위원장은 이렇게 강조했습니다.
“EU-일본이 GDPR을 매개로 세계 최대의 개인정보 안전지대를 형성하는 상황에서,
지금이 데이터 경제를 둘러싼 전 세계적 경쟁에 참여할 수 있는 마지막 기회다.”
(2019년 2월 신용정보법 입법공청회, 출처: 금융위원회)
결국 2020년 1월 9일, 2년간의 논의 끝에 법안이 최종 통과됐습니다.
데이터 3법, 독자에게 중요한 것만 골라 설명합니다
법률 용어는 어렵습니다.
실질적으로 중요한 내용만 쉽게 풀어드릴게요. (출처: 금융위원회 보도자료 2020.01.09.)
① 내 금융 데이터를 내가 통제할 수 있게 됐어요 — 데이터 이동권
가장 중요한 변화입니다.
이전에는 내 금융 정보가 은행·카드사·보험사에 흩어져 있어도 통합할 방법이 없었어요.
이제는 달라졌습니다.
법적으로 개인신용정보 이동권이 생겼어요.
내가 원하는 금융사나 마이데이터 사업자에게 내 정보를 보내달라고 요청할 수 있는 권리입니다.
A은행에 쌓인 내 거래 이력을 B은행이나 토스에 그대로 가져갈 수 있게 됐어요.
오래 거래한 은행을 바꿀 때 “거래 실적이 없다”는 이유로 불이익 받는 일이 줄어들게 됩니다.
② 내 동의 없이는 아무도 내 데이터를 못 써요 — 동의 제도 강화
기존에는 금융사가 제공하는 두껍고 복잡한 동의서에 그냥 서명하는 경우가 많았어요.
뭘 동의하는지도 모르고요.
법 개정으로 정보활용 동의서가 단순화·시각화됩니다.
내가 어떤 정보를 어디에 동의하는지 한눈에 알 수 있게 되고,
마이데이터 동의는 언제든 철회할 수 있어요.
③ 신용점수가 없어서 대출이 안 됐던 분들에게 희소식
청년·주부·소상공인처럼 금융 거래 이력이 부족한 분들은 신용점수가 낮아 대출이 어려웠습니다.
데이터 3법으로 통신요금·전기요금·가스요금 같은 비금융 정보도 신용평가에 활용할 수 있게 됐어요.
금융위원회는 이 변화로 청년·주부 등 1,100만 명의 금융이력 부족자와 660만 명의 자영업자의 신용도가 개선될 것으로 기대했습니다.
④ 개인정보 유출 시 피해 보상이 대폭 강화됐어요
기존에는 개인정보 유출 피해가 발생해도 손해액의 3배만 배상받을 수 있었어요.
법 개정으로 손해액의 5배까지 징벌적 손해배상을 받을 수 있게 됐습니다.
그날 은행에서는 무슨 일이 있었나
법안 통과 소식이 전해지자 은행권은 즉시 움직이기 시작했습니다.
제가 당시 컨설팅하던 은행에서도 긴급 태스크포스(TF)가 꾸려졌어요.
IT본부·법무팀·리테일사업본부·디지털채널팀이 한자리에 모였죠.
첫 회의에서 나온 질문은 이것이었어요.
“우리 은행, 마이데이터 사업자 허가 신청할 건가요?”
허가 받아야 한다는 쪽 →
“토스·뱅크샐러드가 이미 준비 중이다.
우리가 마이데이터 사업자가 안 되면 고객 데이터를 핀테크에 빼앗긴다.”
신중해야 한다는 쪽 →
“시스템 구축 비용과 시간이 만만치 않다.
허가 요건이 엄격한데 준비가 됐나?”
결국 대부분의 시중은행은 마이데이터 사업자 허가를 받기로 결정했습니다.
고객 데이터 주도권을 핀테크에 넘길 수 없다는 판단이었어요.
은행이 직면한 현실적인 네 가지 과제
막상 준비를 시작하니 생각보다 훨씬 복잡한 문제들이 쌓여있었습니다.
현장에서 직접 부딪힌 문제들을 솔직하게 말씀드릴게요.
첫째, 레거시 시스템 문제였습니다.
은행 핵심 시스템은 20~30년 된 것들이 많아요.
새로운 표준 API 규격에 맞춰 데이터를 내보내려면 이 오래된 시스템을 건드려야 했는데,
잘못 건드리면 은행 전체 업무가 마비될 수 있었습니다.
마치 달리는 자동차의 엔진을 교체하는 것과 같았어요.
둘째, 데이터 표준화 문제였습니다.
각 은행마다 데이터를 저장하는 방식이 달랐어요.
A은행의 계좌번호 형식과 B은행의 형식이 다르고, 거래 내역 분류 기준도 제각각이었죠.
이걸 하나의 표준 API로 통일하는 작업이 엄청난 양이었습니다.
셋째, 일정 압박이었습니다.
금융위원회가 정한 시행 일정이 있었기 때문에,
수십 개 은행과 카드사·보험사·증권사가 동시에 준비해야 했습니다.
밤샘 작업이 이어졌고,
시행 직전까지 오류 수정이 계속됐어요.
넷째, 보안 기준 충족이었습니다.
마이데이터 사업자가 되려면 엄격한 보안 요건을 충족해야 했어요.
신용정보의 전송은 반드시 표준 API 방식으로만 가능하고,
강력한 본인 인증과 배상책임보험 가입이 의무화됐습니다.
법 통과 이후 — 실제로 어떻게 달라졌나
데이터 3법은 2020년 1월 통과 후 같은 해 7월부터 시행됐습니다.
이후 금융위원회는 마이데이터 Working Group을 통해 세부 기준을 마련하고,
2021년 12월 1일 마이데이터 서비스가 시범 시행됐어요.
그리고 2022년 1월 5일, 드디어 본사업이 정식으로 시작됐습니다.
법 통과부터 정식 시행까지 꼬박 2년이 걸렸어요.
그만큼 시스템 구축과 제도 정비에 많은 준비가 필요했다는 뜻입니다.
마치며 — 법이 바뀌면 내 권리가 바뀐다
데이터 3법 개정은 단순한 법률 수정이 아니었습니다.
은행이 독점하던 고객 데이터 권력이,
소비자에게 넘어오기 시작한 것입니다.
내 금융 정보를 내가 통제하고, 내가 원하는 곳에 활용하고, 유출 시 강력한 보상을 받을 수 있는 권리.
이것이 데이터 3법이 우리에게 준 가장 큰 선물입니다.
물론 법이 만들어졌다고 해서 현장이 바로 바뀌는 건 아니에요.
시스템을 구축하고, 소비자가 서비스를 이해하고, 문화가 바뀌는 데는 시간이 걸립니다.
저는 그 변화의 과정을 현장에서 직접 목격하고 참여했습니다.
다음 편에서는 마이데이터 사업자 허가를 받기 위한 요건과 과정,
그리고 어떤 회사들이 허가를 받았는지 자세히 이야기해드리겠습니다.
뱅커노트 (Banker’s Note)
30년 금융 현장의 경험을 바탕으로 디지털 금융과 마이데이터 이야기를 쉽게 풀어갑니다.