금융 마이데이터의 현황과 향후 과제 > News Insight

2020년 「신용정보법」 개정으로 정보 주체가 마이데이터 사업자를 통해 여러 금융회사에 분산된 개인신용정보를 통합하여 조회할 수 있게 되었다. 이와 같은 서비스 제공자를 통칭하는 본인신용정보관리업 또는 마이데이터 사업은 2022년 1월부터 전면적으로 시행되어 2023년 2월 기준 64개사가 본허가를 받았다. 이 중 은행 · 저축은행 · 상호금융(농협중앙회) 등 금융업권이 13개사, 핀테크 업계가 23개사로 다수를 차지하고 있고, 이들의 상당수는 정보제공자로서의 역할도 수행하고 있다. 

2018년 유럽연합의 개인정보보호법(GDPR)1) 및 개정된 지급서비스 지침(PSD2 : the second Payment Service Directive)2)에서 ‘데이터 이동권’의 개념이 선제적으로 등장했음에도 불구하고 타 국가에서 실질적인 데이터 이동이 활발하게 구현되지 않았던 것은 데이터를 상호 운용 가능한 방식으로 통일하고 교류 체계를 만드는 것이 어려웠기 때문이다. 반면, 우리나라는 신용정보법 개정 후 데이터 교류 체계를 설계하고 데이터 표준화를 진행하여 빠른 속도로 ‘데이터 이동권’을 구현하였다. 우선 신용정보원, 금융결제원, 행정안전부, 코스콤, 한국정보통신진흥협회(KAIT) 등 업권별 집적기관이라 할 수있는 중계기관을 통해 허브-앤-스포크 방식3)으로 데이터를 교류하는 시스템을 구축하였다. 또한, 마이데이터 종합 포털 플랫폼을 만들어 개인신용정보 전송 요구내역 통합조회, 마이데이터 서비스 자격증명 발급 · 관리 등의 여러 지원서비스를 제공하도록 하여 정보주체의 실질적인 전송요구권 행사가 가능해졌다. 

그 결과 금융 마이데이터 산업은 빠른 속도로 성장하고 있다. 가입자 수는 2022년 9월 기준 총 5,480만명으로 2022년 1월 1,418만명 대비 약 4배 수준으로 증가하였고 API 일평균 전송건수 역시 2022년 초 2.74억건에서 2022년 9월말 3.84억건으로 가입자의 사용도 더 활발해졌다. 한편, 제공되는 정보의 범위도 개인연금, 퇴직연금, 예금, 대출, 투자상품, 카드, 보험 등 기존 492개 항목에서 2022년 말부터 순차적으로 공적연금 및 건강보험 납부 내역 등 720개로 늘어날 예정이다.4)

도입 후 1년이 지난 지금, 마이데이터 사업은 금융권의 적극적인 투자와 금융당국의 추진력을 바탕으로 전 세계적으로 유례없이 빠른 정착을 하였지만 향후 수익성에 대한 한계와 마이데이터 사업자의 서비스 간 차별성 부족 등을 지적하는 비판도 제기되고 있다. 본 고에서는 마이데이터 산업의 도입이 금융산업을 어떻게 변화시켰는지를 살펴보고 산업 전반의 리스크 요인들과 향후 과제들을 검토하고자 한다

마이데이터의 금융산업에 대한 영향 

우선, 마이데이터의 도입으로 금융서비스를 제공하는 채널의 중요성이 높아졌고 더 나은 서비스를제공하는 핀테크 및 빅테크의 금융산업 내의 입지가 커졌다. 하나의 앱으로 개인금융정보를 조회를 하는 것이 가능해지면서 금융소비자들의 정보탐색 비용이 감소하고 더 나은 서비스를 제공하는 업체로 조회수요가 쏠리는 경향이 관찰되었다. 마이데이터 서비스를 제공하는 특정 앱을 많은 소비자가 사용할수록 플랫폼은 더 많은 정보에 접근할 수 있고 이에 비례하여 기존 서비스를 강화하는 이른바 데이터-네트워크 순환구조(DNA: Data-Network-Activities)가 작동하게 되었다. 이에 따라 특정 업체로 마이데이터 수요가 몰릴 때 더 좋은 질의 서비스로 연결되는 선순환 효과가 발생하지만 반대로 진입장벽을 높일 수도 있다. 이로 인해 많은 이용자를 확보한 핀테크 및 빅테크 업체들의 시장 선도자로서의 위치가 공고해지는 결과가 초래되었다. 

또한, 금융회사들이 보유하고 있던 금융정보를 마이데이터 사업자와 공유할 수 있게 됨에 따라 핀테크의 아이디어와 금융데이터를 활용한 새로운 금융 서비스가 출시되었다. 예를 들어 한 핀테크사의 경우 앱을 통해 통합 자산관리 서비스를 제공하면서 다른 사람들의 자산 투자현황을 엿볼 수 있도록 하여 일종의 소셜게임과 유사하게 자산관리를 접할 수 있게 하였다. 비단 핀테크 회사뿐만 아니라, 마이데이터 사업 허가를 받은 금융투자사들 역시 소비자들이 자사 앱을 이용해 본인의 금융자산 현황을 조회할 수 있도록 만들고, 앱을 통해 종목 · 펀드 추천 등 종합 자산관리 서비스를 제공하고 있다. 

마이데이터를 교두보로 활용한 핀테크 및 빅테크의 다양한 금융업권으로의 진출도 확대되었다. 마이데이터 본 허가를 받은 전체 64개의 업체 중 핀테크 업체의 비중이 35.9%에 달해 가장 큰 규모이며 핀테크 채널을 통한 가입자 수도 2022년 1월부터 9월까지 월평균 18.91% 증가해, 금융회사보다 빠른 확장세를 보이고 있다. 핀테크 업체들은 마이데이터를 활용해 은행 중심의 금융거래정보를 제공하는 것에서 카드· 보험 · 증권 등 정보제공의 범위를 확장시켰고, 부가적으로 제공하는 서비스도 확대하였다. 마이데이터는 여러 확장된 사업영역으로 소비자들이 유입될 수 있도록 교두보가 되는 한편, 사업상 판단과 결정에 활용될 수 있는 데이터를 축적하는 데 큰 도움을 주었을 것으로 생각된다.

마이데이터의 잠재적 리스크 

시장 참여자들의 적극적인 노력과 정보 주체들의 활발한 이용으로 마이데이터 산업이 단기간에 성장하였지만, 이 과정에서 다양한 위험요인들을 만들어 내기도 하였다. 

우선 마이데이터의 데이터 교류체계가 중계기관을 통해 송 · 수신되는 중앙화된 시스템으로 디자인되면서 운영리스크 및 정보 유출리스크가 커졌다. 예를 들면 도입 초기에 특정 업체의 마이데이터 서비스 앱에서 타인 정보가 조회되거나 마이데이터 사업자가 사전 고지없이 개인정보를 제3자에게 판매한 정황도 있어 문제가 된 적도 있었다. 또한, 마이데이터 사업자로 개인의 정보가 집중됨에 따라 보안시스템에 문제가 생기면 해킹,서비스 방해 등 여러 침해사고가 발생할 여지가 있다. 이는 사업자가 향후 대출 중개 및 주선업, 투자자문 · 투자일임업, 데이터 판매 및 중개 업무 등 다양한 겸영 · 부수 업무를 할 경우에 더 큰 문제가 될 수 있을 것이다. 

두 번째로는 오픈뱅킹과 함께 마이데이터가 도입되어 유동성 이동의 속도가 높아지고 이 과정에서 은행의 유동성 리스크가 발생할 가능성이 커졌다는 점이다. 최근 실리콘 밸리 은행 사태를 살펴보면 증자계획을 3월 8일에 발표한 후 이틀 뒤 지급불능 상태에 빠졌고, 크레딧스위스는 최대 주주의 우려 발표 단 하루 만에 스위스 중앙은행으로부터의 차입 계획을 발표하였다. 이는 모바일 뱅킹 등 디지털금융의 확대와 SNS의 발달로 은행 위기가 진행되는 속도가 이전보다 빨라졌음을 시사한다. 여기에다 마이데이터를 통해 금융자산 및 거래내역을 하나의 채널로 조회하고 오픈뱅킹으로 손쉽게 거래를 할 수 있게 됨에 따라 시장에 충격 발생 시 과거보다 유동성 이동속도가 더욱 빨라지고 작은 충격도 증폭시킬 가능성이 높아질 것으로 생각된다.

세 번째로, 중장기적으로는 마이데이터를 통해 축적된 자료가 금융소비자들에 대한 가격차별의 수단으로 사용될 가능성이 있다. 이는 궁극적으로 소비자가 부담하는 가격을 높여 소비자 후생 감소로 귀결될 수 있다.5) 낮은 신용도를 보유한 주체는 자신의 신용정보를 제3자와 공유하기를 꺼릴 가능성이 크고, 더 높은 신용도를 지닌 주체는 제3자로의 데이터 공유를 승낙함으로 마이데이터 서비스 이용여부가 개인신용에 대한 신호(signaling)로 작용할 가능성이 크다. 이에 따라 정보공유를 승낙한 주체에 대해서는 제공한 정보를 바탕으로 더 정교하게 가격차별을 하는 한편, 공유하지 않은 주체들에 대해서는 신용도에 대한 불확실성 및 비참여에 대한 페널티로 높은 가격을 책정할 수 있다. 그 결과 금융상품의 판매자는 더 높은 이윤을 얻지만 소비자는 높아진 가격 부담으로 후생이 감소하게 될 것이다. 마이데이터 사업자의 겸영 업무로 금융상품자문업 및 대출 중개 및 주선업무, 금융상품 판매 대리· 중개업이 가능하다는 점에서 소비자에게 제공하는 금융상품의 옵션이 고객의 특성별로 달라지거나 제공하는 가격도 달라질 수 있는 여지가 있다. 

마지막으로는 데이터 사용에 대한 과금이 마이데이터 산업의 지각변동과 수익성 감소를 초래할 가능성이 있다. 데이터 공유를 위해서는 송 · 수신 채널 등 인프라를 구축하는 비용이 필요한데 우리나라의 경우 2022년 시범운영기간 동안 정보제공자인 금융회사들이 시스템 구축 비용으로 약 1,293억 원 정도를 지출한 것으로 추산된다. 신용정보법 제22조의 9의 6항은 개인신용정보를 정기적으로 전송할 경우 본인신용정보 관리회사인 마이데이터 사업자가 비용을 부담할 수 있도록 규정하고 있다. 2024년부터 본인신용정보관리업자인 마이데이터 사업자들에게 과금이 본격적으로 시행되면 중소형 마이데이터 사업자들의 수익성이 악화되고 일부는 시장 퇴출로도 연결될 가능성이 있다. 이 과정에서 퇴출되는 마이데이터 사업자들은 제3자에 데이터를 판매하거나 개인정보 유출 등을 통해 불법적인 수익을 확보하려는 유인을 가질 수 있다. 특히 통화 긴축으로 인한 투자금 감소와 차입 여력 약화, 데이터 사용에 따른 과금 시행 등으로 마이데이터 사업자 대다수의 수익성이 악화될 경우에는 전체 산업이 침체에 빠질 가능성도 있다.

마이데이터 산업과 당면 과제 

앞서 설명한 리스크 요인들을 관리하고 마이데이터 산업이 중장기적으로 발전하기 위해서는 우선 마이데이터 시스템의 운영리스크를 줄이기 위한 보안 기준을 높이고 마이데이터 사업자의 책임을 강화할 필요성이 있다. 이는 마이데이터 사업자의 IT 인프라 해킹 등 침해 사고가 발생하지 않도록 매뉴얼을 마련하고 본인인증 절차를 강화하는 방식으로 접근할 수 있을 것이다. 또한, 마이데이터 사업자의 보안 사고에 대한 과징금을 높이고 사업자를 허가하는 과정에서 보안기준을 강화함으로써 마이데이터 사업자의 책임을 높일 수 있을 것이다. 추가적으로는 IT 리스크 합동 훈련 등 침해사고 및 장애사고에 대한 대비를 정기적으로 시행하는 것도 도움이 될 수 있을 것이다

두 번째 과제로, 오픈뱅킹과 마이데이터 도입 이후 예금의 성격 변화와 이로 인해 발생할 수 있는 유동성 리스크에도 대비해야 한다. 최근 오픈뱅킹을 도입 중인 국가들의 금융규제 당국은 외부 충격 발생 시 빠른 속도로 은행 예금 인출이 이뤄져 유동성 리스크로 이어지는 경로를 주목하고 있다. 미국 통화감독청(OCC)은 최근 오픈뱅킹으로 인한 예금 인출 속도의 증가로 예금의 지속성(stickiness)이 과거와 같지 않고 현행 예금의 유동성 커버리지 비율(LCR)이 적정하지 않을 가능성 등을 언급한 바 있다.6) 추후 은행의 LCR 기준 및 유동성 리스크 측정방식, 스트레스테스트 등 은행 유동성 리스크 관리과정에서 변화한 예금의 성격을 반영할 필요성도 있을 것으로 보인다. 

세 번째 과제로는 광범위한 데이터를 활용한 금융상품 추천 · 중개 과정에서 가격차별이 발생하거나 금융상품이 차별적으로 제공되지 않도록 감시 · 감독하는 것이 필요하다. 상품의 추천과정에서 개별소비자들의 정보를 반영하여 다양한 금융상품을 제공하는 것은 장려하는 한편, 가격의 불합리한 상승은 발생하지 않도록 감시해야 할 것이다. 금융소비자보호법 제15조에서도 규정된 바와 같이 정당한 사유 없이 성별, 학력 등을 이유로 부당한 차별을 하는 것은 금지되어 있기에 마이데이터 채널을 통한 금융상품 접근성이 소비자의 개인적인 특성들로 인해 다르게 디자인되는 경우 당국의 적극적인 개입이 필요하다. 

네 번째로는 정보제공자와 수요자 간 합리적인 인센티브 체계를 구축해야 한다. EU의 PSD2 개정을 통해 유럽과 영국에는 2018년도부터, 호주의 경우 2020년도부터 오픈뱅킹을 도입하였으나 정보제공자인 금융회사가 신뢰성이 낮거나 시차가 존재하는 데이터를 제공하는 등 데이터 질과 관련된 이슈가 지속해서 제기되고 있다. 이는 정보제공자가 금융정보를 제공할 의무만 법적으로 규정되어 있고 양질의 정보제공에 대한 인센티브가 부재하기 때문이다. 이런 점에서 정보제공에 대한 대가 지급을 검토하는 것은 합리적일 것이다. 다만 특정 금융회사가 보유한 개별 주체의 금융정보는 타 금융회사에서 받아올 수 없는 고유한 정보이다. 그런 점에서 정보수요자는 상대적으로 가격에 비탄력적일 수밖에 없고 정보제공자는 높은 가격을 책정할 소지가 크다. 이른바 자원 독점에 따른 가치사슬의 상단에 위치하는 정보제공자들이 높은 가격을 책정하는 것이다. 이에 따라 생태계의 존립이 가능하도록 개별 마이데이터 사업자들이 지불 가능한 수준으로 과금 체계를 디자인하는 것이 필요하고 이는 정부가 일정부분 개입함으로써 가능할 것으로 생각된다.

마지막으로 마이데이터 사업자의 향후 비즈니스 모델에 대한 보다 진지한 검토가 필요하다. 현재 대부분의 마이데이터 사업자들이 개인을 대상으로 한 금융거래 내역 및 자산 현황에 대한 조회 서비스를제공하고 있다. 현재까지는 사업자 간 서비스의 차별화가 어려워 소비자의 선택은 대부분 얼마나 더 편리한 인터페이스(UI)를 구현하였느냐에 결정된다. 또한, 많은 마이데이터 사업자들은 데이터 판매중개 등과 같은 부수 업무, 금융상품 판매 및 중개 대리업 등을 겸영 업무로 할 수 있음에도 불구하고 여러 현실적인 장벽 상 광고 수익 외의 뚜렷한 금전적인 이득을 거두고 있지 못하다. 장기적인 산업의 발전을 위해서는 단순 조회 이외의 데이터라는 자원을 바탕으로 혁신적인 서비스의 개발과 더불어 수익성 확보를 위한 투자와 고민이 필요한 시점이다. 예를 들어, 최근 개인정보보호법의 개정안이 국회를 통과하여 마이데이터의 전 범위 확장에 대한 법률적 근거가 마련되었다. 이에 따라 의료, 관광 등 다양한 영역으로 마이데이터가 향후 확장될 것으로 예상된다. 금융 마이데이터 사업자는 금융산업의 경험을 바탕으로 개인정보수집(aggregate)기능을 가진 플랫폼 구축 등 데이터 관리 솔루션 및 인프라를 제공하는 B2B 비즈니스 모델로의 진출도 검토해 볼 수 있을 것이다. 

오픈뱅킹과 마이데이터가 시행된 후 금융소비자의 이용 행태가 변화하고 금융산업 역시 기존의 금융회사 외의 다양한 플레이어가 참여하는 경쟁적인 환경으로 변모하고 있다. 유례없이 빠른 속도로 마이데이터와 오픈뱅킹이 정착되는 가운데 내년부터 마이데이터 산업의 과금이 시행되면 우리나라는 데이터 이동권의 실질적 보장을 이행하는 선도국으로 자리매김할 것이다. 마이데이터 산업이 소비자 후생을 증진하고 금융산업의 혁신동력으로 작동하기 위해서는 합리적인 과금 체계를 만들고 향후 비즈니스 모델에 대한 진지한 검토를 통해 지속 가능한 생태계를 디자인하는 것이 필요하다. 이와 더불어 보안 리스크 및 유동성 리스크 등 잠재적인 리스크 요인들도 잘 관리해나가야 할 것이다. <KIF>

------------------------------------------------------------------

1) 유럽연합 개인정보보호법(General Data Protection Regulation) 제20조에 개인정보 이동권(Right to data portability)이 규정되어 있고, 이

는 정보 주체자의 요청에 따라 컨트롤러에게 제공된 개인정보를 체계적이고, 기계판독이 가능한 형식으로 수령하고 이전할 권리를 의미함. 

2) 유럽연합의 통합된 지급결제시장을 규율하는 지급서비스지침의 개정안으로 2018년도 1월부터 시행하였음.

3) 각 업권별 중심 거점인 중계기관을 중심으로 업권에 속한 금융회사들이 정보를 송수신하고 업권간 정보 교류에 있어서는 중계기관을 중심으

로 교류하는 형태를 의미함.

4) 금융위원회 보도자료(2022.10), 「금융 마이데이터 정보제공 항목 대폭 확대」

5) He, Z., Huang, J., & Zhou, J. (2023). Open banking: Credit market competition when borrowers own the data. Journal of Financial

Economics, 147(2), 449-474

6) Hsu(2023.4), Remarks at FDX Global Summit: Open Banking and the OCC, Office of Comptroller of the Currency

​