금융분야 마이데이터 소개

#마이데이터 #Mydata #개인신용정보 전송요구권

안녕하세요. 여의도개발자 입니다.

오늘은 마이데이터 관련 강의를 수강하고 지난번까지 작성했던 내용들과 일부 겹치더라도 정리하는 차원에서 금융분야 마이데이터를 한번 정리해보려고 합니다. 보안과 취약점쪽은 제 주 관심대상은 아닌지라 그냥 참조만 했습니다.
그러면 마이데이터에 대해 정리차원에서 한번 적어봅시다. 

---

금융분야 마이데이터

기업 중심에서 정보주체(개인) 중심으로 개인정보 관리/통제/활용 패러다임이 변화되었습니다.

개인신용정보 전송요구권 도입 (제33조의2)

신용정보주체가 신용정보제공 및 이용자 등(이하 정보제공자)이 보유하고 있는 본인의 개인신용정보를 본인, 본인신용정보관리회사, 금융회사 등 (=정보수신자)에게 전송을 요구할 수 있도록 보장합니다.

정보제공자는 지체 없이 컴퓨터 등과 같은 정보처리장치로 처리가 가능한 상태로 전송합니다. (=API, DATA 등)

[금융회사, 마이데이터사업자, 공공기관] 에게 본인에 관한 개인 신용정보를 [신용정보주체 본인, 본인신용정보 관리회사, 신용정보 제공 및 이용자, 개인 신용평가회사] 로 전송하도록 요구할 수 있는 권리

요청방법

1. 정보주체가 개인신용정보 전송요구권을 행사
2. 금융회사는 A씨의 정보를 마이데이터 사업자로 전달
3. A씨가 마이데이터 사업자를 통해 본인정보를 일괄조회

제외대상

1. 민감정보
2. 영업비밀
3. 가공정보

---

고객데이터 제공방법

정보주체의 접근매체 사용 제한(스크래핑 금지) (제22조의9 제3항)

아마 가장 큰 이슈가 아닐까 생각되는데 마이데이터 사업자가 정보주체의 접근매체(ID/패스워드, 인증서, 생체정보 등)를 사용하여 개인신용정보를 수집하는 것을 제한하는 것입니다.

이는 사고났을 경우 책임소재가 애매하고, 무분별하게 스크래핑을 해서 정보를 모두 가져가기 때문에 고객정보 침해와 더불어 금융회사의 시스템에 상당한 부하를 주었기에 법으로써 제한한 것입니다.

언제부턴가 토스와 같은 앱에서 내 전체자산 조회 등이 막혔었을텐데(아마 2021년 말 쯔음?) 이때 해당 법으로 인해 기존 방법이 아닌 권장되는 방법으로 시스템을 신규 개발하느라 조회가 불가한 기간이 일부 있었습니다.

위반시 효과

위반 시 6개월 이내 업무정지 가능, 5천만원 이하 과태료 부과 가능합니다.

마이데이터 표준

신뢰할 수 있는 방식(표준 API)를 이용한 수집 방법입니다.

이는 고객의 개인신용정보 전송 요청에 따라 정보제공자가 발급한 접근토근을 이용하여 개인신용정보를 수집합니다.

문제점 보완

• 인증정보가 아닌 접근토근을 저장 및 관리
• 고객이 부여한 권한 내에 정보 수집
• 정보제공자와 협의하여 별도 보안대책 마련 가능 

용어정리

• 정보주체(고객) : 하나 이상의 정보제공자에 개인 신용정보를 보유한 자
• 정보제공자(금융회사 등) : 고객의 신용정보를 보유하고 있는 자로 신용정보법상 신용정보 제공 및 이용자 등
• 마이데이터 사업자 : 금융위로부터 본인신용정보관리업 허가를 받은 자
• 통합인증기관 : CI활용이 가능한 인증수단 제공

정보보호측면

• 안전하고 편리한 인증체계 마련
• 마이데이터 표준 API
• 마이데이터 사업자 정보보호
• 기능 적합성 심사 및 보안취약점 점검

실제 사례 (핀크)

통합인증 방식인 통합인증 수단(PKI 기반)을 이용하여 다수의 정보제공자에 본인신용정보 수행하는 사례입니다.

1. 기본 화면 접속
2. 정보제공자 선택.
3. 전송요구 내용 확인 및 동의
4. 인증서 선택
5. 인증(지문 등)
6. 가입된 정보제공자 확인
7. 계좌 및 상품 선택
8. 인증 완료

이렇게 마이데이터에 대한 내용을 정리해보았습니다.

---

※ 해당 정보들은 금융보안원의 '금융분야 마이데이터' 교육을 수강한 내용을 참고하였습니다.