금융보안원, 금융분야 데이터전문기관 업무 본격 실시

금융(신한카드)과 통신(SK텔레콤) 간 데이터 결합 포함 3건 진행
미래에셋대우와 미래에셋생명 신청 금융빅데이터 페스티벌 사용 데이터의 익명 처리 적정성 평가 완료
금융분야 첫 데이터전문기관으로서 한국판 디지털 뉴딜 성공과 데이터 경제 활성화에 기여

[보안뉴스 원병철 기자] 금융보안원은 개정 신용정보법 시행(2020.8.5)에 따라 8월 6일 금융위원회로부터 금융분야 첫 데이터전문기관으로 지정받아 데이터(정보집합물) 결합, 개인정보의 익명 처리 적정성 평가 등 데이터전문기관 업무를 본격 실시했다고 밝혔다.

▲데이터전문기관 업무 개요[자료=금융보안원]

데이터(정보집합물) 결합 첫 사례 진행
금융보안원은 대용량 데이터 결합, 가명·익명처리, 안전한 파일 송·수신 등을 수행할 수 있는 데이터전문기관 시스템 구축을 완료하고, 신용정보회사 등의 데이터(정보집합물)와 통신, 유통 등 제3자의 데이터(정보집합물) 간 결합을 수행했다. 현재 금융권 데이터 결합 첫 사례로 관광전략 고도화를 위한 ‘부산시 관광객 특성 분석’을 목적으로 금융회사인 신한카드와 통신사인 SK텔레콤 간 데이터(정보집합물) 결합을 포함한 총 3건을 진행하고 있다.

▲데이터(정보집합물) 결합 업무 과정 개요[자료=금융보안원]

① 다수의 결합의뢰기관은 상호합의하에 결합키를 생성하고 정보집합물을 가명 처리 후 안전한 방식으로 전문기관에 전달하여 결합을 요청
② 전문기관은 결합키에 기반을 두어 정보집합물을 결합하고 결합키를 삭제
③ 전문기관은 결합 결과물을 가명 또는 익명처리하고 처리결과에 대해 외부 전문가로 구성된 적정성평가위원회가 적정성을 평가를 수행 (미흡시 가명 및 익명 추가조치)
④ 전문기관은 결합 의뢰기관에 결합이 완료된 정보집합물을 제공하고 관련 데이터는 즉시 삭제

데이터 익명 처리 적정성 평가 첫 완료
금융보안원은 적정성 평가의 객관성·신뢰성 확보를 위해 법률·기술 분야 외부전문가로 적정성 평가위원회 구성을 완료하고, 신용정보회사 등의 개인정보 익명 처리가 적절하게 되었는지에 대한 적정성 평가를 수행한다. 미래에셋대우와 미래에셋생명의 ‘금융빅데이터 페스티벌(공모전)’에서 사용할 데이터 익명 처리에 대해 데이터전문기관의 사전컨설팅 및 적정성 평가위원회의 평가를 거쳐 금융분야 처음으로 데이터 익명 처리에 대한 적정성 평가를 완료했다.

▲데이터 익명처리에 대한 적정성 평가 업무 과정 개요[자료=금융보안원]

① 적정성 평가 의뢰기관은 자체적으로 자신이 가진 데이터를 익명처리하고 해당 익명처리에 대한 적정성 평가를 신청
② 전문기관은 적정성평가위원회 등을 통해 익명처리에 대한 적정성 평가 수행
③ 적정성 평가 결과가 부적정일 경우, 의뢰기관은 추가 익명처리 수행
④ 적정하게 익명처리 되었다고 평가 된 경우 전문기관은 적정성평가 결과서 교부

데이터전문기관으로서의 향후 계획
금융보안원은 금융회사, 통신사, 유통사 등 결합의뢰기관이 결합 신청, 진행현황 및 이력 조회, 데이터 송·수신 등을 보다 편리하고 안전하게 이용할 수 있도록 데이터전문기관 시스템 고도화를 ‘20년 말까지 완료할 예정이다. ‘21년부터는 데이터를 결합한 후 결합 데이터를 안전하고 편리하게 분석하고 그 분석 결과만을 제공할 수 있는 원격분석 환경을 마련할 계획이며, 또한 데이터전문기관과 금융보안원이 운영하는 금융데이터거래소를 연계하여 데이터 결합과 결합 데이터 구매 또는 데이터 구매와 구매 데이터 결합을 원스톱(one-stop) 서비스로 제공할 예정이다.

금융보안원 김영기 원장은 “금융회사, 통신사, 유통회사 등 데이터 공급자와 수요자들이 데이터전문기관을 통해 결합 데이터를 안전하게 보호하면서도 편리하게 분석·활용하고 금융데이터거래소를 통해 신속하게 유통함으로써 새로운 고부가가치의 데이터 사업과 서비스를 창출해 나가기를 기대한다”면서, “금융보안원은 금융분야 첫 데이터전문기관으로서 금융보안과 데이터 활용·보호의 전문성을 바탕으로 데이터를 안전하게 보호하면서도 데이터 활용을 활성화할 수 있는 생태계를 조성해 나가는데 기여할 것”이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)