마이데이터 사용자 인증 요건 - 사설인증서 논란 분석

금융분야 관계 법령

신용정보법 시행령 제28조의3(개인신용정보의 전송요구) ① 법 제33조의2제1항제3호에서 “대통령령으로 정하는 신용정보제공ㆍ이용자”란 제5조제2항제1호부터 제20호까지의 자 및 제21조제2항 각 호의 자를 말한다.

② 법 제33조의2제1항제5호에서 “대통령령으로 정하는 자”란 다음 각 호의 자를 말한다.

1. 개인사업자신용평가회사

2. 그 밖에 금융위원회가 정하여 고시하는 자

③ 개인인 신용정보주체는 법 제33조의2제1항 및 제4항에 따라 개인신용정보의 전송요구권을 행사하는 경우에는 법 제32조제1항 각 호의 어느 하나에 해당하는 방법으로 해야 한다. 다만, 개인인 신용정보주체의 요청으로 특약사항을 기재하거나 약정하여 해당 정보의 제3자 제공을 금지한 경우 또는 비대면 정보 조회를 금지한 경우에는 해당 정보에 대하여 대면으로 전송요구권을 행사해야 한다.

 

신용정보법 제32조(개인신용정보의 제공ㆍ활용에 대한 동의) ① 신용정보제공ㆍ이용자가 개인신용정보를 타인에게 제공하려는 경우에는 대통령령으로 정하는 바에 따라 해당 신용정보주체로부터 다음 각 호의 어느 하나에 해당하는 방식으로 개인신용정보를 제공할 때마다 미리 개별적으로 동의를 받아야 한다. 다만, 기존에 동의한 목적 또는 이용 범위에서 개인신용정보의 정확성ㆍ최신성을 유지하기 위한 경우에는 그러하지 아니하다.

1. 서면

2. 「전자서명법」 제2조제2호에 따른 전자서명(서명자의 실지명의를 확인할 수 있는 것을 말한다)이 있는 전자문서(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 말한다)

3. 개인신용정보의 제공 내용 및 제공 목적 등을 고려하여 정보 제공 동의의 안정성과 신뢰성이 확보될 수 있는 유무선 통신으로 개인비밀번호를 입력하는 방식

4. 유무선 통신으로 동의 내용을 해당 개인에게 알리고 동의를 받는 방법. 이 경우 본인 여부 및 동의 내용, 그에 대한 해당 개인의 답변을 음성녹음하는 등 증거자료를 확보ㆍ유지하여야 하며, 대통령령으로 정하는 바에 따른 사후 고지절차를 거친다.

5. 그 밖에 대통령령으로 정하는 방식

 ④ 제1항에 따라 신용정보주체 본인이 개인신용정보의 전송을 요구하는 경우 신용정보제공ㆍ이용자등에 대하여 해당 개인신용정보의 정확성 및 최신성이 유지될 수 있도록 정기적으로 같은 내역의 개인신용정보를 전송하여 줄 것을 요구할 수 있다.

 

해석

전자서명 외에도 서면, 비밀번호 입력, 유무선 통신을 통한 녹취 등의 다양한 방법들이 있지만 현실적으로 마이데이터에선 사용이 어렵다. 1호, 4호는 오프라인이나 전화 통화 등을 통해 금융서비스 가입 등 한정된 서비스를 위해 사용되는 방식으로, 모바일 클릭 몇번으로 뚝딱 서비스가 전개되는 방식에는 어울리지 않는다. 3호는 온라인에서 쓰기 좋은 방식이지만 내 서비스에 가입된 고객에게 내가 본인인증을 하는 방식이 아니라 A서비스(마이데이터 사업자)를 통해서 B서비스(금융기관 등)에 대한 인증이 이루어져야 하므로, 마이데이터 사업자가 금융기관에서 사용되는 비밀번호 등을 알고 있지 않는 한 사용이 어렵다.

 

그래서 유일하게 논의되고 있는 방식이 전자서명인 것이다.

 

근데 왜 하필 공동인증서? (feat. 구 공인인증서)

그런데 전자서명을 꼭 써야한다고 한들 왜 구시대적인 공동인증서만 가능하고 사설인증서는 사용이 안되는 것인가? 

 

1. CI 활용 필요성

기본적으로 마이데이터 인증은 금융회사에서 나의 식별자를 이용해 정보를 조회하고 가져와야 하므로, 나의 '식별자'까지 얻을 수 있는 '본인확인'을 이용한 방식이어야 한다. 내가 카카오 아이디·비밀번호를 통해 인증을 한들, 카카오에서 '1980년생 홍길동에 대한 정보를 주세요.'라고만 요청할 순 없을 것이다. 1980년생 홍길동이 한둘이겠는가? 거기 성별, 휴대폰 번호 등의 정보를 덧붙인다고 하더라도 이는 매우 불확실한 방법이다. 전산 시스템을 통한 개인정보 제공에는 보다 확실한 식별자가 필요하다.

이를테면 주민등록번호가 가장 확실한 식별자인데, 주민등록번호는 법에 따라 사용이 제한되어 있고 최대한 사용이 지양되고 있어서 금융당국이나 금융보안원 입장에서도 주민등록번호를 식별자로 사용하라고 할 순 없었을 것이다.

 

그래서 대안으로 사용되는 것이 CI 값이다. CI 값은 주민등록번호에 어떤 암호값을 덧붙여(salt) 일방향으로 해싱한 것이다. 긴 문자열 형태의 값인데 이는 주민등록번호와 1:1 매핑된다. 주민등록번호 보다는 안전하여 비즈니스간 개인 연계가 필요할 때 많이 사용되는 값이다. CI에 대해선 별도 글에서 다시 다루겠다.

 

여하튼 이 CI라는 값 또한 마음대로 생성하고 사용할 수 있는 값이 아니다. 주민등록번호와 1:1 매핑되는 값인 만큼 정보통신망법에서 '본인확인기관'이라고 정해놓은 기관만이 이를 생성하고 유통할 수 있다. 이 본인확인기관에서 제공하는 서비스가 우리가 알고 있는 휴대폰본인확인, I-PIN, 신용카드 본인확인, 공동인증서 등이다.

 

2. 전자서명의 부재

아쉽게도 휴대폰 본인확인, I-PIN, 신용카드 본인확인 서비스는 전자서명 기반이 아니다. 따라서 법에 배치가 되어버린다. 그럼 휴대폰 본인확인을 할 때 전자서명을 사용하면 되는 것이 아닌가? 라고 할 수도 있겠지만 그건 사업자가 선택할 영역인 것이다. 사업자가 본인확인 서비스를 기획하고 오픈할 때 방통위의 심의를 받는데 이 과정에서 들어가는 시간과 비용은 생각 외로 크다. 그래서 본인확인을 제공하는 사업자가 그렇게 많지 않은 것이다.

 

휴대폰 본인확인 기관이 전자서명을 통한 인증을 제공한다면 우리에게 익숙한 휴대폰 본인확인 또한 마이데이터에 사용될 수 있을 것이다. 하지만 그건 금융당국에서도 강제로 시킬 수 없는 부분이기 때문에 그 사업자들에게 계획을 물어봐야 한다.

 

반면 공동인증서를 이용한 본인확인은 애초부터 전자서명 방식이다. 따라서 CI도 제공할 수 있고, 전자서명 방식도 충족하니 결격 사유가 없는 것이다. 아무래도 이것이 공동인증서가 마이데이터 본인인증 사업자로 가장 먼저 선정된 이유가 아닐까 싶다.

 

사설인증서는 그럼 언제?

다행히 마이데이터 사업 개시 시기에 맞추어서 전자서명법이 개정되었다. 우리가 은은하게 느낀, '공인인증서'가 '공동인증서'로 바뀐 그 배경이다. 원래 인증서 사업은 '공인인증서'만이 나라에서 인정하는 인증서였는데 이제는 공인인증서의 특별 지위를 없애고 사설 기관들이 운영하는 인증서와 동일하게 되었다. 공인인증서가 격하되었다기 보단 전자서명을 이용한 사설 인증서들이 격상된 것이다. 그래서 공인인증서는 공동인증서가 되고 국세청 등에서 카카오페이 인증, 네이버 인증 등이 등장한 것이다.

 

국세청 홈택스의 사설인증 로그인. 여기선 '민간 인증'이라고 부른다.

하지만 '나 전자서명을 사용하는 인증서요!'라고 한다고 그걸 다 받아줄 수는 없다. 그래서 '인정 제도'라는 것이 또 생겼는데, 그 인정이라는 것을 받으면 공공기관 등에서 사용이 가능해진다. 그리고 위에서 말한 CI도 사용할 수 있는 권한이 생긴다!

 

그래서 들리는 말에 따르면 꽤 많은 인증 사업자가 이 전자서명법에 따른 '인정'을 받고자 절차를 밟고 있다고 한다. 아무래도 방통위의 '본인확인기관'으로 지정받는 것 보다는 이쪽이 더 수월하거나 사업성이 좋은 것으로 추정된다. 그리고 이렇게 인정받은 전자서명 사업자들은 마이데이터 인증기관으로도 자격을 갖추게 된다. 따라서 공동인증서가 가장 먼저 마이데이터 인증기관이 된 것은 맞지만 다른 사업자들도 방법을 찾아서 마이데이터 인증기관으로 진출하는 것은 시간 문제가 아닐까 싶다.

 

정리

본 논란에서 가장 욕을 많이 먹은 것은 금융당국과 금융보안원이 아닐까 싶다. 철 지난 공동인증서가 웬말이란 거냔 거다. 하지만 기술적으로 보안적으로 따져 보아도 전자서명이나 CI라는 식별자 없이 다수의 금융기관에게 본인임을 인증하고 정보를 받아올 수 있는 방법은 없다. 불가피하달까? 어찌보면 당연하기도 한 이 설계의 발목을 잡은건 이미 만들어져있는 법·제도이다. 게다가 금융위원회가 단독으로 풀 수 있는 범위도 넘어졌으니 기존에 깔려있는 제도망 속에서 해결책을 찾아야 하는 것이고 그렇게 공동인증사업자로부터 인정 전자서명 사업자까지 흘러가는 과정에 기사가 나버린게 아닌가 싶다.

 

물론 기존 본인확인 사업자들은 왜 전자서명을 씌우는 방법을 선택하지 못했을까? 라는 의문은 남는다. 그리고 이렇게 여러 부처에서 관장하는 법들이 얽혀서 일반 사람들은 이해할 수 없는 상황이 되어 버린 구조가 아쉽긴 하다.

 

아무쪼록 핀테크사들이 열심히 만들어 놓은 여러 인증서들이 선의의 경쟁을 하며 성장하는 시장을 기대해 본다.