[디지털투데이 신민경 기자] 마이데이터의 법적 근거인 개정 신용정보법이 이달 5일부터 시행에 들어간 가운데 시장의 '뜨거운 감자'인 가명·익명정보의 범위를 둘러싼 논란도 어느정도 수그러든 모습이다. 금융위원회가 발간한 '금융분야 가명·익명처리 안내서'를 통해 가명·익명정보의 뜻과 활용 방식을 구체적으로 알아본다. 이 안내서 제작에는 금융계 전문가와 유관기업, 기업 등이 참여했다.

마이데이터란 정보주체인 개인이 자신의 정보에 대한 통제권을 갖고 이를 신용·자산관리 등 부문에 내주는 것을 뜻한다. 제3자 기업은 은행·보험·카드회사 등 금융회사에 저장돼 있던 고객 신용정보를 한 데 끌어모아 관리하면서 새로운 금융 서비스를 제공할 수 있게 된다.

여기서 핵심은 기업이 이용할 수 있는 개인 신용정보 범위가 확대됐단 점이다. 금융과 정보통신 등의 산업군에 걸쳐 익명정보뿐만 아니라 가명정보까지 상업적으로 쓸 수 있게 됐다. 하지만 정부가 정작 가명정보의 범위를 어디까지로 설정할지 규정해놓지 않아 기업들로선 상품과 서비스 구상에 어려움을 겪었다.

이에 금융위는 안내서에서 익명·가명정보의 정의를 분명히 했다. 익명정보란 개인을 알아볼 수 없게 해 놓은 정보다. 제한없이 자유롭게 활용 가능한 게 특징이다. 식별정보인 '이름'과 '전화번호'는 삭제한다. 다른 속성과 결합할 때 개인을 식별하기 쉬운 '성별'은 코드 형태(여성: C, 남성: D)로 바꾸도록 했다. '생년월일'은 20대나 30대 등 '연령대'의 범주에 넣었다. 보험 가입 건수만 별 다른 조치 없이 포함된다.

가명정보는 추가정보의 사용 없이는 특정 개인을 알아볼 수 없게 개인 신용정보를 가명처리한 정보를 뜻한다. 이름과 전화번호, 성별, 생년월일을 조합해 가명처리 기법 중 하나인 해시함수를 적용하도록 했다. 이 가운데 성별과 출생년도 등은 그대로 포함해 활용할 수 있게 했다.

어떤 신용정보 주체와 다른 신용정보 주체가 '구별'된다고 하더라도 특정 신용정보주체를 '식별'할 수 없으면 가명정보로 볼 수 있다. 추가정보를 사용하지 않고서는 특정 개인인 신용정보 주체를 알아볼 수 없어야 한다는 점이 골자다.

정보별 범위가 명문화됨에 따라 데이터 결합 절차에도 관심이 쏠린다. 개정 신용정보법에서는 정부 지정 데이터 전문기관을 통한 금융회사 간 데이터 결합을 허용했다. 현재 금융당국의 지정을 받은 곳은 신용정보원과 금융보안원 등 2곳이다.

안내서에 따르면 데이터 결합 절차는 결합 신청, 결합, 가명·익명 처리와 적정성 평가, 결합정보 전달 등 4개 단계로 구성된다.

결합 의뢰기관은 결합할 정보를 가명처리한 뒤 다른 의뢰기관과 협의한 방식으로 결합키를 만들어 데이터 전문기관에 결합 신청을 한다. 신청이 접수되면 전문기관은 해당 정보를 저장매체나 정보통신망을 통해 의뢰기관으로부터 전달 받아 결합한다. 전문기관은 적정성 평가에서 적정이 나올 때까지 의뢰기관이 요청한 '가명처리'나 '익명처리'를 작업을 한다. 평가가 끝나면 결합 정보는 의뢰기관에 전달된다. 전문기관은 수신 즉시 관련된 파일 전부를 파기해야 한다.