“건강검진 결과, 위와 간에 문제가 있습니다. 병원 치료를 대비해 실손보험에 가입하면 어떨까요?”

“자주 이용하는 커피전문점 쿠폰이 도착했어요. 30% 할인 혜택을 누려보세요.”

“당신은 안정적인 투자자입니다. 주식 투자보다는 이자가 쏠쏠한 적금에 투자하세요.”

직장인 A씨는 곧 이처럼 정교화된 맞춤형 서비스를 받을지 모른다. 계좌 입출금 내역, 카드 사용 실적, 보험 가입 현황 등 금융 데이터를 한곳에 모아 관리해주는 ‘마이데이터(MyData·본인신용정보관리업)’ 덕분이다. 생활 패턴에 맞게 보험을 리모델링해주고 지출관리를 도맡는다. 여윳돈을 활용할 수 있는 최적의 금융상품도 추천해준다. 지난 1월 9일 ‘데이터 3법(개인정보보호법·신용정보법·정보통신망법)’ 개정안이 국회를 통과한 이후 그려질 미래상이다.

그간 국내 IT 기업들은 “데이터 3법 개정이 늦어져 한국 기업이 역차별을 받는다”고 주장해왔다. 고객정보를 이용해 타깃 마케팅하는 구글·페이스북 등 글로벌 기업에 비해 국내 기업이 법 테두리 안에서 할 수 있는 개인정보 활용이 적다는 주장이었다. 데이터 3법은 데이터를 ‘가명 처리’하면 본인 동의 없이도 통계 작성, 연구, 공익 목적 등에 활용할 수 있도록 했다. 빅데이터라는 원유(原油)를 본격적으로 활용해 소비자 맞춤형 서비스를 선보일 길이 열린 셈이다. 산업계 숙원사업이었던 데이터 3법 통과 이후 기업 움직임이 활발하다. 올 7월 시행을 앞두고 마이데이터 산업이 가장 먼저 탄력받을 것으로 보인다. 마이데이터 사업자는 개인 동의 아래 은행, 보험사, 카드사 등 각 금융기관에 흩어진 개인정보를 모아 맞춤형 자산관리 서비스 등을 제공한다. 가입자 선호에 맞춰 콘텐츠를 추려 보여주는 넷플릭스처럼 최적의 금융상품 추천이 가능해진다.

주부, 학생 등 금융 이력 부족자나 자영업자 대출 문턱도 낮아진다. 통신요금이나 수도·전기요금 납부 이력 등 비(非)금융정보를 활용해 개인 신용을 평가하는 비금융 신용조회업자(CB)가 생길 수 있는 기반이 마련되는 덕분이다. 금융위원회는 이를 통해 금융 이력 부족자 1100만명, 자영업자 660만명 신용도가 올라가리라 기대한다.

카드사는 고객 결제정보 데이터를 이용한 새 먹거리 발굴에 나설 듯 보인다. 예를 들어 외식 프랜차이즈 매장을 내려고 할 때, 카드사는 개인 고객 결제 빅데이터를 이용해 창업자에게 최적의 입지를 제안할 수 있다.

보험사는 헬스케어 사업을 강화하려는 움직임을 보인다. 지금까지는 계약자가 건강관리를 위해 노력한 것이 인정되면 보험료를 깎아주는, ‘건강 증진형’ 상품으로 헬스케어 산업에 발을 담가왔다. 앞으로는 방대한 데이터를 통해 동일 연령대 생체 나이 평균값, 보험 가입자 위치 등을 이전보다 더 정확하게 파악할 수 있어 보험료와 보험금을 더 세분화해 책정할 수 있다. 보험사 입장에서는 지금까지 몰랐던 고위험군 가입자에게 보험료를 더 받아 손해율을 낮추고, 소비자는 실제 위험률보다 더 냈던 보험료를 줄일 수 있어 ‘일거양득’이라는 평가다.

이미 해외에서는 빅데이터를 보험업에 적용해왔다. 예를 들어 남아프리카공화국 올라이프 보험사는 빅데이터로 에이즈나 당뇨병을 가진 사람 중 꾸준히 건강검진과 치료를 받는 사람에 한해 사망·장애 보장보험을 제공한다. 유병자를 위한 건강 증진형 상품인 셈이다.

정부도 후속 작업에 박차를 가하고 있다. 과학기술정보통신부는 데이터 3법 통과를 계기로 데이터 개방과 유통, 데이터 간 융합과 활용 수준을 높인다는 계획을 세웠다. 구체적으로 의료·금융 분야는 물론 스마트시티, 로봇 등 융합 사업을 확대한다. 안전한 데이터 활용을 뒷받침할 하위 법령, 유관 법령 등을 조속히 정비하고 유럽연합(EU) ‘개인정보 보호 일반규칙(GDPR)’ 적정성 평가 승인에 나선다. 산업통상자원부는 최근 ‘인공지능(AI)·빅데이터 산업 지능화 포럼’을 발족하기도 했다. AI·빅데이터를 산업 가치사슬 전반에 걸쳐 적용해 경제 활력을 높이기 위한 방안을 논의한다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

▶법이 못 다룬 공백 채워야

개인정보 국외 유출 우려도

국내 빅데이터 산업 발전 물꼬가 트였지만 만만찮은 과제가 남았다.

첫째, 가명정보 활용 범위를 구체적으로 정해야 한다. 가명정보는 개인을 식별할 수 없는 수준의 정보다. 실명이나 주민등록번호같이 신원이 다 드러나는 개인정보를 암호화 처리로 가린 것이다. 가명정보는 ‘40대 기혼 남성’ 같은 익명정보보다 구체적이다. 소득·나이·결제금액 같은 개인 신상정보를 포함한다. 건강·금융·유통 같은 다른 영역 정보를 모아 볼 수 있다. 개인을 식별할 수는 없지만 정보를 통합적으로 활용할 수 있어 빅데이터로서 가치가 높다. 공익적 기록 보존 목적은 물론이고, 시장조사 같은 상업적 목적과 과학적 연구에도 사용할 수 있다. 그런데 가명정보 활용의 구체적인 범위는 여전히 모호하다. 예를 들어 개인정보법 개정안에서 과학적 연구를 ‘기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등’이라고 정의한다. 이 문구만 봤을 때 기업이 상업적 목적으로 어디까지 써도 되는지 불명확하다. 하위 법령인 시행령 제정 과정에서 구체화가 절실한 이유다.

둘째, 가명정보의 2차 활용을 담당하는 전문기관 성격도 불분명한 상태다. 데이터 3법은 개인정보를 가명정보로 처리해 쓰는 것을 허용하면서도 서로 다른 이용자끼리 정보를 빼내 결합 활용하는 것을 제한한다. 별도로 지정된 전문기관 검증 작업을 거쳤을 때만 2차 활용이 가능하도록 예외를 뒀다. 이를 맡을 전문기관 선정과 결합·반출 기준, 절차를 모두 대통령령에 위임한다.

셋째, ‘개인 재식별화’도 이슈다. 법안은 가명정보 암호화를 되돌려 개인 신원을 식별하는 것을 금지한다. 이를 어기는 기업은 전체 매출 3% 이하에 해당하는 과징금, 개인은 5년 이하의 징역 또는 5000만원 이하의 벌금에 처한다. 암호화 처리를 되돌리지 않더라도, 추가 정보들을 결합해 가명정보가 더 이상 ‘가명’이 아닐 수 있다는 우려가 나온다. 동의 없이 가져간 가명정보로 내가 누구인지 노출될 수 있다는 의미다.

넷째, 빅데이터 산업 컨트롤타워 역할을 하게 될 개인정보보호위원회(개보위)의 안착이 중요한 과제다. 지난 2018년 5월 EU는 GDPR을 시행했다. EU 소속 시민권자 개인정보를 다루는 기업에 정보 보호 의무를 강화했다. 이를 어길 때는 최소 1000만유로(약 129억원) 과징금을 내게 했다. GDPR 이후 국내 기업을 포함한 모든 외국 기업은 EU에 지사가 있건 없건, 개별적으로 EU 심사를 거쳐야만 EU 내 거주자 개인정보를 EU 밖으로 가져갈 수 있다. 이 같은 불편함을 피하려면 국가 차원에서 EU 적정성 심사를 받아야 한다. 개인정보 보호 수준이 EU와 동등한 나라와 EU가 맺는, 일종의 ‘개인정보 FTA(자유무역협정)’다. 한국은 그간 심사에 통과하지 못했다. 이번 법개정을 통해 새롭게 변신한 개보위가 위상을 제대로 확립한다면 EU GDPR 적정성 평가를 통과할 것이라 기대한다.

[명순영 기자 msy@mk.co.kr]

[본 기사는 매경이코노미 제 2043·설합본호 (2020.1.23~2020.2.04일자) 기사입니다]



[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]