[아이티데일리] 전 세계적인 코로나19 팬데믹으로 사회·경제·문화 전 영역에서 혼란을 겪은 2020년은 일부에게는 기회가 된 한해이기도 하다. IT업계는 많은 사업들이 연기 혹은 취소돼 타격을 입었고 영업과 마케팅 측면에서 다소 어려움을 겪기도 했지만, 전통적인 대면 기반의 산업군보다는 위기에 잘 대처하고 있는 것으로 평가된다.

위기의 2020년을 지나고 있음에도, 국내 IT업계는 올해를 데이터 경제 활성화의 첫 발을 뗀 한 해로 기억할 것이라는 점에서 의미가 있다. 바로 데이터 3법 개정안이 통과되고, 정부의 초대형 경기부양 정책인 ‘디지털 뉴딜’이 본격적으로 시작됐기 때문이다.

그동안 많은 전문가들이 미래의 새로운 성장 동력으로 ‘데이터(Data)’의 중요성이 높아질 것이라는 전망을 내놨고, 이에 국내에서도 데이터 기반의 비즈니스를 추진하고자 많은 기업들이 도전에 나섰다. 하지만 실제 기업들은 사업에 필요한 데이터를 얻지 못해 많은 어려움을 겪었고, 정부와 관련 기관에 성토가 이어졌다.

그러던 중 지난해 한국데이터거래소(KDX)가 개소되고, 마침내 올해 업계의 숙원이었던 데이터 3법 개정안이 시행되는 등 각종 여건이 마련되며 데이터 경제의 활성화가 눈앞에 보이고 있다. 이에 본지(컴퓨터월드/IT DAILY)에서는 데이터 경제의 핵심이 되는 ‘데이터 유통’을 주제로 공동기획기사를 준비했다. 정부와 업계가 손잡고 본격적인 밑그림을 그려나가고 있는 ‘데이터 생태계’가 어떻게 꿈틀거리며 성장하고 있는지 알아본다. <편집자>

데이터 경제 활성화 정책 중 일환으로 데이터거래소가 운영되고 있다. 데이터거래소는 다양한 산업 분야의 데이터 판매자와 수요자에게 등록, 검색, 계약, 결제 등 거래 기능을 제공하는 중개 플랫폼으로, 데이터 판매자는 수익을, 수요자는 구매한 데이터를 통해 새로운 가치를 창출할 수 있도록 지원한다.

국내의 대표적인 데이터거래소는 국내 최초의 민간 데이터거래소인 ‘KDX 한국데이터거래소’와 금융보안원에서 운영 중인 ‘금융데이터거래소(FinDX)’를 꼽을 수 있다. 특히 금융데이터거래소는 금융정보라는 민감 데이터를 거래하기 때문에 보안에 더욱 신경을 쓰고 있다. 금융데이터거래소를 중심으로 데이터거래소의 운영과 보안체계, 데이터 거래 시 유의해야할 보안 사항 등에 대해 살펴봤다.

올해부터 데이터거래소 운영 본격화

한국데이터거래소는 한국정보화진흥원과 매일방송이 지난해 12월에 구축했으며, ▲경제·산업 ▲금융 ▲보건의료 ▲소비 ▲유통 ▲통신 ▲물류 ▲부동산 ▲상권·동선 ▲시세 ▲정보·검색 ▲SNS ▲공공데이터 ▲미디어 등 14개 카테고리에서 데이터를 거래할 수 있다.

플랫폼 참여 기업으로 매일방송, SK텔레콤, SK플래닛, CJ올리브네트웍스, GS리테일, 삼성카드, 웰컴에프앤디 등이, 빅데이터센터 참여 기업으로는 나이스디앤알, 바이브컴퍼니(구 다음소프트), 데이블, 로플랫, 빌트온, 식신, 온누리 에이치엔씨, 한국우편사업진흥원, 지인플러스, 코리아크레딧뷰로 등이 활동하고 있으며, 데이터의 생산, 가공, 유통 등 전 과정에 참여하고 있다.

금융데이터거래소는 금융 빅데이터 거래 활성화를 위해 지난 5월 금융보안원이 설립했다. 거래소 출범과 함께 신한카드, 신한은행, 코리아크레딧뷰로(KCB)가 등록한 ‘지역별 카드소비 데이터’, ‘소득·지출·금융자산 정보’, ‘행정동 단위별 성별·연령별 소득정보’ 등 13건, 총 2억 원 규모의 금융데이터 거래가 이뤄졌다. 현재까지(10월 26일 기준) 731건의 데이터 거래가 진행됐다. 금융데이터거래소에 참여하고 있는 기업의 수는 총 87개다.

금융보안원 보안관리 규정 맞춰 거래소 시스템 운영

금융보안원은 금융데이터거래소에도 내부 보안관리 규정을 적용하고 있다. 금융보안원은 ▲시스템 구축시 보안대책 수립 ▲보안을 고려한 시스템 기획 및 설계 ▲취약점 분석 평가 ▲보안관제 ▲데이터 보안 등 보안관리 규정을 시행하고 있다.

구체적으로 관리적·물리적·기술적 보안 대책과 개인정보보호 대책을 수립하고 있으며, 금융 분야 클라우드컴퓨팅서비스 이용 가이드 등을 준용하고 있다. 또한 방화벽, 암호프로토콜 지원, 웹 애플리케이션 방화벽(WAF), 가상사설망(VPN) 등을 통해 시스템을 보호하고 있다.

시스템의 보안성 강화를 위해 취약점 분석 및 평가도 지속적으로 진행하고 있다. 시스템 개발 시에는 시큐어코딩을 통해 보안성을 높였으며, 정기적인 취약점 점검을 진행해 사이버 위협에 선제적으로 대응하고 있다.

보안 관제도 이중으로 실시해 실시간 모니터링 및 대응 역량을 높였다. 금융보안원은 자체 보안관제 모니터링은 물론, CSP의 보안관제도 함께 이용하고 있다.

데이터 보안과 관련해서는 기본적으로 암호화를 적용해 데이터를 보호한다. 데이터를 송·수신할 때도 암호화하고 있으며, 개인정보 필터링을 통해 개인정보를 식별, 보호하고 있다. 특히 데이터 거래 완료 후에는 관련 데이터를 삭제하도록 규정해 보안성을 높였다.

데이터 거래 전과정 모니터링 및 보안기술 적용

금융보안원은 데이터 거래 플랫폼 구축 과정에서부터 발생 가능한 정보보안 사고를 예측해 대비하고 있다. 데이터 유통부터 보관, 판매, 점검 등 거래의 모든 과정을 모니터링하고, 보안기술을 적용해 사고를 예방하고 있다.

특히 개인정보가 거래되지 않도록 심혈을 기울이고 있다. 데이터 판매 기업에 가이드를 제공해 개인정보가 포함되지 않도록 안내하고 있다. 또한 데이터 등록 시 개인정보 포함 여부를 점검하는 등 개인정보 비식별 조치 컨설팅을 지원하고 있다.

거래소에 등록된 데이터를 보호하기 위해 안전한 데이터 송수신 체계도 마련했다. 등록된 데이터를 제3자가 조회하고 유출할 수없도록 보안통신(SSL)으로 데이터를 중개하고 있으며, 송수신 과정에서 데이터를 암호화해 보안성을 높였다.

이외에도 데이터 보유자가 금융데이터거래소 내에서 데이터를 분석, 결과만 반출할 수 있도록 분석 플랫폼 형태의 거래 방식을 지원해, 정보유출 우려를 최소화했다.

개인정보보호와 관련해서는 원칙적으로 개인정보의 거래를 금지하고 있다. 개인정보가 포함된 데이터를 거래하기 위해서는 우선적으로 비식별 조치를 이행해야 한다. 가명처리 및 익명처리를 진행한 데이터만 거래가 가능하다.

데이터 거래 시 개인정보 포함 여부 유의해야

금융보안원은 데이터 거래 시, 개인정보 포함 여부를 유의해야 한다고 강조했다. 원칙적으로 금융데이터거래소에서는 익명정보와 가명정보만 거래가 가능하다는 점을 명심해야 하며, 거래하는 데이터가 가명정보인 경우 공급 기업과 수요 기업은 다음과 같은 사항을 준수해야 한다고 설명했다.

먼저 공급자는 ▲불특정 다수에게 가명정보 제공 금지 ▲수요자의 구매 목적 확인 ▲모든 수요자에게 동일한 가명정보 상품 제공 금지 ▲가명처리 관련 사항의 공개 등을 준수해야 한다. 구체적으로, 거래소에 가명정보 상품을 홍보할 목적으로 샘플데이터를 준비할 경우 샘플데이터에 가명정보가 포함되지 않아야 한다. 샘플데이터는 불특정 다수에게 공개되기 때문에 가명정보 이용목적에 위배될 가능성이 있다. 가명정보는 통계작성, 연구, 공익적 기록보존 등의 목적으로만 신용정보주체의 동의 없이 사용 가능하다는 점을 인지해야 한다.

또한 공급자는 수요자가 통계작성, 연구, 공익적 기록보존 등 목적에 부합해 가명정보 상품을 구매하는지를 확인해야 한다. 더불어 수요자의 가명정보 보호수준과 재식별 위험도에 따라 가명처리 수준을 달리해 상품을 제공해야 한다. 가명정보 보호수준이 높은 이용기관에는 낮은 수준으로 가명처리 된 가명정보를 제공해 활용성을 높이고, 보호수준이 낮은 이용기관에는 높은 수준으로 가명처리된 가명정보를 제공해야 한다는 것이다.

이외에도 가명정보를 처리하는 기관은 ‘신용정보법’, ‘개인정보보호법’ 등 법률에 따라 가명처리 관련 사항을 공개해야 한다. 신용정보제공자와 이용자도 신용정보활용체계를 포함해 가명정보 활용과 관련된 사항을 공시해야 한다.

수요자는 ▲개인 식별 금지 ▲내부 관리 계획 수립 ▲제3자 위탁 시 관련 법령 준수 등을 준수해야 한다. 먼저 구매한 가명정보 상품을 이용하는 과정에서 특정 개인을 식별할 수 있게 된 경우, 즉시 가명정보를 회수하고 처리를 중지해야 한다. 또한 개인을 식별할 수 있게 된 정보를 즉시 삭제해야 한다.

더불어 수요자는 ‘신용정보법 제40조의2’에 따라 제3자의 불법적인 접근, 입력된 정보의 변경·훼손·파괴 등 위험으로부터 가명정보를 보호하기 위한 내부관리계획을 수립해야 한다. 구체적으로 접속기록을 보관하는 등 기술적·물리적·관리적 보안대책을 마련해야 한다.

수요자는 제3자에게 가명정보 처리를 위탁할 경우에는 공급자와의 계약 내용을 명시하고, ‘신용정보법 제17조’, ‘개인정보보호법 제26조’ 등 관련 법률을 준수해야 한다.

성인제 금융보안원 데이터플랫폼팀장은 “금융보안원에서 운영하는 모든 시스템과 서비스는 내부 보안관리 규정을 준수해야 한다. 이에 따라 금융데이터거래소 또한 관련 규정을 준수하고 있다. 이와 더불어 데이터 거래 시 개인정보가 포함되지 않도록 점검 및 컨설팅을 제공하고 있으며, 정보유출 우려를 없애기 위해 거래소 내에서만 분석할 수 있도록 분석 플랫폼 형태의 거래 방식을 지원하고 있다”면서, “금융데이터거래소를 통해 안전한 데이터 유통 환경 조성에 기여하겠다”고 말했다.