[위클리오늘=신민호 기자] 신용정보법 개정안이 법사위에서 좌절되며 데이터3법 개정안 통과 전체가 불투명해졌다.

이에 데이터금융의 내년 출시가 어려울 것이라는 관측과 함께 이로 인한 리스크가 대두되고 있어 금융권의 불안감이 고조되고 있다.

지난달 29일 신용정보법의 개정안의 국회 법제사법위원회 통과가 불발되며 데이터3법 전체 개정안 통과가 또 한번 좌절됐다.

해당 법안 통과가 금융사와 핀테크 기업 등에 절실했던 이유는 빅데이터·인공지능(AI)·클라우드 등 산업이 근간이 되기 때문이다.

이번 신용정보법을 비롯한 데이터3법 개정안의 핵심은 모호한 기준으로 취급이 어려웠던 개인정보를 명확히 규정하고, 비식별 처리된 가명정보의 사용범위를 구체적으로 설정하는 것이다.

이를 바탕으로 정보주체의 권리행사가 활성화되고, 본인정보 통합조회나 자산관리 등의 서비스를 제공하는 마이데이터 산업이 본격적으로 도입될 예정이었다.

특히 해당 법안들의 개정안은 강건한 규정 대비 부족한 소비자 보호대책이나 정보주권 향상에도 도움을 준다. 소비자는 은행·보험·여신사 등 흩어져 있는 자신의 신용정보를 쉽게 파악하고 관리할 수 있도록 정보 접근성이 향상된다.

또한 정보정정청구 같은 정보 관련 권리를 행사할 수 있게 되며 이를 바탕으로 자신에게 유리한 금융상품을 선정할 수 있는 결정권도 지니게 된다.

하지만 법사위의 채이배 바른미래당 국회의원을 비롯한 각종 시민단체 등의 개인정보유출 위험성에 대한 우려로 해당 개정안의 법사위 통과는 좌절됐다.

이에 한 금융관계자는 “당장 오늘 내게만 해도 스팸문자가 하루 2~3건 씩 온다”며 “이번 신정법 통과를 막은 논리가 유출 위험성 때문이라면 적절하지 못한 것 같다”고 설명했다.

이 관계자는 “국내 개인정보 유출 문제가 잦은데도 처벌 기준이나 피해보상, 특히 소비자가 자신의 정보가 유출된 것을 파악할 수 없는 현 시스템의 한계 때문에 오히려 개인정보 문제가 확대되고 있다”며 “이를 개정하기 위한 법안이 이번 개정안에 담긴 만큼 개인정보 보호를 위해선 오히려 시급히 통과되는 방향이 맞다”고 지적했다.

해당 개정안 통과 시 금융사나 핀테크사 역시 기존에 모호했던 가명정보 분석 및 이용의 법적근거가 마련되면서 ▲빅데이터에 기반한 고객 맞춤형 금융서비스 제공 ▲핀테크의 금융업 진입장벽 완화 ▲개인정보와 관련된 금융상품 자문업이나 정보권리 대리행사 업무 같은 신사업 창출 등이 기대됐다.

실제 해외 마이데이터 서비스 사례를 살펴보면 유렵연합(EU)의 경우 ‘본인 계좌정보 관리업’을 도입하고 은행 등 계좌개설기관의 데이터를 개방했으며, 영국의 경우 금융·통신사 등이 보유한 고객 정보에 대해 소비자의 접근을 허용했다.

호주의 경우 4대 대형은행이 보유한 신용·체크카드 및 예금 거래 계좌 정보를 API를 통해 개방하는 등 대형 은행들이 지닌 독과점 구조를 완화시키기도 했으며 핀테크 기반의 다양한 금융서비스가 출시되기도 했다.

특히 국내 저금리·저성장 기조로 이자수익을 비롯한 주요 수익들의 감소가 전망되는 금융권에 빅데이터를 활용한 신사업은 절실한 상황이지만 이번 개정안 통과의 불발로 데이터3법이 폐기 위기에 처하며 이러한 계획들은 수포로 돌아갔다.

여기에 4일 데이터3법 가운데 정보통신망법 개정안이 소관 상임위원회를 통과했지만 이 역시 법사위를 앞두고 통과 가능성이 낮다는 전망이 제기되고 있다.

올해 마지막 정기국회가 불과 일주일 남은 시점에 자유한국당의 필리버스터 신청과 함께 주요 법안 200여 개가 계류될 위기에 처했다는 점, 내년 4월 총선일정 등을 고려하면 데이터3법의 개정은 빨라도 내년 하반기 이후로 밀릴 가능성이 높다는 관측도 제기되고 있다.

또한 해외 진출했거나 진출을 계획하고 있는 금융사와 핀테크 기업들도 타격을 입게 될 전망이다.

우리나라는 지난 2017년 당시 일본과 함께 EU의 개인정보보호규정(GDPR) 적정성 우선협상국으로 지정됐다.

이에 일본은 해당 적정성 평가에서 통과해 올해 1월 적정성 대상국으로 지정됐지만 우리나라는 두 차례나 심사에 탈락했다.

이에 내년 5월 경까지 유예기간을 가지기로 협상했지만 이번 신정법 개정안이 불발되면서 사실상 유예기간 내 심사통과가 어려울 것이란 전망이 나오고 있다.

당시 EU측은 개인정보보호 감독기관의 독립성 등을 지적하며 ▲개인정보보호책임자(DPO) 지정 ▲개인정보 처리활동 관리 ▲역내 대리인 지정 등 구체적인 GDPR의 요구사항을 이행해야 한다고 조언했다.

문제는 해당 수정안이 이번 개정안에 상당부분 담겨있는데다, GDPR 적격성평가에서 탈락한 국가에는 EU시민의 개인정보를 이전하는 것이 금지된다는 점이다.

따라서 EU지역 국가에 진출한 기존 금융사나 해당 국가로 진출을 시도하는 기업·스타트업은 EU거주자 정보처리를 위해 대규모 법률 비용 및 시간이 소요되는 표준데이터 보호 조항을 준수한 계약 체결 등 기업차원의 데이터 보호조치가 요구될 상황이다.

이에 한 금융관계자는 “현실적으로 국가 간의 협상에서 강경한 집행은 어렵지만 GDPR 기준을 계속 충족시키지 못한다면 관련 기업들은 피해를 볼 것”이라며 “특히 GDPR 적정국인 일본을 비롯해 데이터를 개방한 해외 국가와의 경쟁에서 지금 이 순간에도 뒤처지고 있다”고 설명했다.

이 관계자는 “기업차원에서 대응이 가능하다지만 EU지역 고객정보를 취급하기 위해 들어갈 비용과 시간을 고려하면 중소기업은 버티기 힘들 것”이라며 “설사 대기업이라 해도 소요비용과 기간을 감수하며 현지 기업과 경쟁하기 쉽지 않을 것인 만큼 조속한 개정안 통과가 필요하다”이라고 지적했다.