기업 서버에 개인정보 저장하지 않고도 마이데이터 사업 가능하다

'마이데이터(본인 신용정보 통합 조회 서비스)' 서비스 개시를 앞두고 NH농협은행이 새로운 실험을 진행 중이어서 관심을 끈다.

개인정보를 사업자 서버에 저장하지 않고 마이데이터 서비스를 제공하겠다는 게 골자다. 데이터 결합과 분석이 각 개인의 단말기 내에서 이루어지고 이렇게 비식별화된 정보를 사업자가 구매해 서비스하는 방식이다.

농협은 이를 '온 디바이스(On Device) 마이데이터'라고 부른다.

NH농협은행은 이를 위해 농협금융지주 내 계열사와 전문 스타트업인 '에스앤피랩(SNP LAB)'과 컨소시엄을 구성했고, 이 사업 계획을 통해 과학기술정보통신부로부터 마이데이터 실증 사업자로 선정됐다.

최근 SNP LAB 이재영 대표와 NH농협은행 류창보 NH디지털R&D센터 신기술전략파트장을 만나 이에 대해 자세히 들어봤다.

농협은행과 SNPLAB이 구상한 마이데이터 플랫폼 구조.(자료=NH농협은행)

Q. 온 디바이스라는 것은 어떤 모델인가.

류창보 파트장(류): "금융 데이터하고 비금융 데이터를 개인의 단말기 안에서 결합하는 모델이다. 마이데이터 취지대로 'A기업 갖고 있는 개인정보를 B기업에 줘'라고 지시하면 개인 정보 위탁 및 정보 제공 동의가 있어야 한다. 그렇지만 이 모델은 개인의 단말기에 저장된 개인 정보를 이동하고 결합한다. A기업의 개인 정보와 B 기업의 개인정보를 C라는 개인 단말기에 저장하고 결합해 기업들이 사가는 구조다. 여기에 C라는 고객이 스마트폰을 바꾸면 데이터 결합 이력 등이 남지 않기 때문에 이력 관리를 위해 블록체인을 적용했다. 블록체인도 해시값이 쌓이면 식별화도 가능할 수 있어 하이퍼렛저 인디 기반 분산아이디(DID)도 적용했다."

이재영 대표(이): "쉽게 예를 들면 그런 거다. 마블이 영화를 찍은 후 이 영화 파일이 유출되면 큰 일 난다. 그래서 영화 콘텐츠 프로바이더에게만 주고 이들은 영화관에서만 관람할 수 있게 한다. 보고 싶은 사람은 관람권을 사서 영화를 봐야 한다. 이 모델도 개인 단말기에 있는 애플리케이션(앱)을 통해서 개인 정보를 자신의 단말기에 저장하고, 직접 단말기 주인이 개인 정보 제공자가 돼 자신의 개인 정보를 볼 수 있고 이용할 수 있는 관람권을 파는 것이다.

개인 단말기에 정보를 저장해놓고 기업들은 알고리즘을 내린다. 분석 결과만 기업이 가져가서 마케팅할 수 있다. 필요없는 개인에 대한 로우 데이터를 기업이 굳이 가져갈 필요가 없다."

서울 서초구 NH디지털혁신캠퍼스에서 인터뷰하고 있는 (사진 왼쪽부터) SNP LAB 이재영 대표와 NH디지털R&D센터 류창보 신기술전략파트장.

Q. 앱 내에서 개인 정보가 탈취되거나 개인 데이터가 식별화될 문제는 없나.

이: "삼성 사내 벤처 '씨랩'에서 13개월 동안 기술검증을 해보고 나왔다. 국내선 최초긴 하지만 애플이 쓰는 엘디피(LDP·Local Differential Privacy) 기술이 있다. 단말로 저장된 데이터에 이를 적용해 추정된 비식별 통계 분석 데이터를 이용하는 것이다. LDP 기술을 간략하게 정리하면 데이터에 방해(노이즈) 처리를 한다. 노이즈 처리를 하면 이 데이터가 참인지 진실인지 모른다. 그런데 우리는 알 수 있다. 노이즈의 통계 값에 대한 정보를 알고 있어 역산하면 된다. 즉, LDP를 활용해 개인 정보 수집을 하지 않아도 통계를 뽑아낼 수 있는 것이다."

류: "개인에 관한 정보를 자신의 단말기에서 각자 보유하는 형태기 때문에 해킹을 열심히 한다 한들 한 명의 정보밖에 털지 못한다."

서울 서초구 NH디지털혁신캠퍼스에서 인터뷰 중인 SNP LAB 이재영 대표

이: "처음부터 이 모델은 보안을 고려한 설계다. 해킹에게 매력이 떨어지는 타깃이라 보안 면에선 큰 우려가 없다고 본다."

Q. 농협금융지주 내 계열사들은 어떤 역할을 하고 어떤 비즈니스를 구상 중인가.

류: "앞단에서 금융데이터를 제공하는 것이다. 은행 애플리케이션프로그래밍인터페이스(API)를 통해서 하게 되며 상호금융도 공동으로 참여할 수 있게 공동 개발 중이다. 기술적으로 일단 접근했고, 서비스 시나리오는 좀 더 다듬어야 한다. 금융 쪽 마이데이터다 보니 금융 상품을 추천해주긴 하겠지만 다양한 데이터 지표가 나오지 않을까 한다.

개인적으로 '은행에서도 이런 기술들을 활용하는구나'와 같은 생각이 직원들에게 전파됐으면 하는 바람이 있다."

Q. 개인 정보를 자기 단말기에서 왜 관리하지 못했나.

이: "과거엔 개인이 정보를 저장하는 디바이스 등이 없었지만 지금은 정보를 저장하는 기기도 있거 처리할 컴퓨팅 디바이스도 있어 가능하다."

NH농협은행 NH디지털R&D센터 류창보 신기술전략파트장이 인터뷰하고 있는 모습.

Q. 국내에선 생소한 사업 모델인데 시작하게 된 계기가 있나.

이: "요새 '~로 로그인 하기' 같은 서비스가 많아졌다. 이는 개인 정보를 수집할 필요 없이 식별자만 구별되면 된다는 개념이다. 게임하는데 사실 너와 내가 구별되면 되지 개인 정보가 필요 있나. 대부분 개인 정보 이용 동의는 서비스 마케팅에 활용된다. 이를 역으로 개인 정보를 아예 주지 않으면 어떨까로 시작했다. 사실 개인 정보는 기업이 갖고 있는 것 자체가 문제다. 자기 것이 아닌데 가지려다 보니까 동의와 파기 절차도 까다롭다고 생각한다. 개인이 개인 정보를 직접 관리하는 생태계, 아예 개인 정보를 받지 않는 것을 기본 설정값으로 한 사업을 구상해 NH농협은행과 함께 큰 프로젝트를 하기까지에 이르렀다."

류: "마이데이터 사업이 본격화된 후 마이데이터 사업자가 이득을 가져가는게 아니고 개인이 가져가는 구조에 주목했다."

Q. 이런 구조다 보면 데이터 결합기관이나 데이터 거래소도 필요 없는 것 같아 보인다.

이: "빅데이터 분석 후 데이터 거래소를 통해 거래하는 모델은 기업이 새로운 서비스를 만들거나 굵직한 전략을 세우는 데 유용하다. 하지만 엔드 유저에게 마케팅을 하려면 개인 정보를 어떻게든 활용해야 하기 때문에 개인 단말기 모델이 적합하다.

또 마이데이터 중에는 '데이터 이동권'이라는게 있다. 결국엔 데이터 정합성 문제가 생길 수 있다. 저장한 정보가 첫 가입 순간의 정보일 수도 있는 데다가 메일 사용 빈번도에 따라 이도 다를 수 있다. 데이터 정합성의 문제가 발생하면 개인에게 직접 이 정보가 맞느냐고 물어봐야 하는데 그럴거면 개인 단말에서 이뤄지는 온디바이스 마이데이터 모델이 중장기적으로는 확산될 것이라고 관측된다."