핀테크 기업, 고객의 개인정보보호 위해 자율 규제에 나선다

조광현 기자(cho.kwanghyun@mk.co.kr) 2023. 8. 11. 11:39
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
올 1월 자율규제 협의회 설립 후, 이희정 센트비 CLCO 선임
협회사 대상 개인정보보호 내실화 및 체계적인 개인정보보호 시스템 구축
오는 25일, 9월 15일 시행될 개인정보보호법 개정안 관련 세미나 개최
센트비, 2019년부터 L&C 조직 설치 후 규제 리스크 해소하면서 신규사업 및 신시장에 본격 진출
“L&C 조직은 사업이 되는 방법을 찾는 곳”

사진설명=매일경제와 인터뷰 중이다

사진설명=매일경제와 인터뷰 중이다
핀테크 업권 개인정보보호 자율규제 협의회 정식 자율규제 단체로 지정
다양한 금융 서비스를 제공하는 핀테크 기업은 보호관리해야 하는 개인정보가 많다. 특히 주민등록번호와 같은 민감한 개인정보가 많다. 정부는 정부가 직접 관리감독하는 것보다 개인정보처리자가 스스로 개인정보 보호조치를 자율적으로 수행하도록 유도하고 있다. 이에 핀테크 업권의 개인정보보호 자율규제 협의회(이하 협의회)가 지난해 8월 자율규제 단체 지정을 신청했고 올 1월 협의회를 정식 발족해 5월에 개인정보보호위원회로부터 정식으로 자율규제 단체로 지정됐다. 협의회는 한국핀테크산업협회(이하 핀산협) 산하에 있다. 핀산협은 2016년에 설립되어 현재 430여 개의 회원사가 활동하고 있는 국내 최대 핀테크 네트워크 기관이다. 현재 핀산협 소속 회원사 가운데 카카오페이, 페이코, 핀다, KG모빌리언스 등 40개 회원사가 협의회에 가입해 활동하고 있다.

초대 협의회장으로 이희정 변호사가 올 1월 협의회 발족과 함께 선출됐다. 이희정 협의회장은 소액해외송금업체 중 유일하게 Legal & Compliance Division(법무&컴플라이언스 부문, 이하 ‘L&C’)을 보유하고 있는 센트비에서 2019년부터 L&C를 총괄 책임지고 있으며, 기획재정부, 금융위원회, 금융감독원 등 관계 기관과 커뮤니케이션을 하면서 핀테크 업체의 의견을 적극적으로 반영시킨 점을 높이 평가받아 초대 협의회장이라는 중책을 맡게 됐다. 이희정 협의회장은 하버드 대학교(석사), 듀크 대학교(학사), 연세대학교(로스쿨)에서 법을 전공했다.

강남 소재 센트비 사무실에서 만난 이희정 협의회장은 “개인정보보호에 대한 필요성이 대두 되기 시작하면서 작은 회사들이 공동으로 대응할 수 없겠냐라는 질문을 많이 받았다. 변호사를 소개해 달라는 요청도 많았다. 개인정보보호의 내실화와 체계적인 개인정보보호 시스템을 마련하고자 하는 업계의 니즈가 있었다. 특히 오는 9월 15일 개인정보보호법 개정안 시행을 앞두고 핀테크 기업이 공동으로 대응할 필요가 있었다.”라고 핀테크 업권의 협의회를 만들게 된 배경에 대해 설명했다.

자율 점검을 위한 시스템 구축, 교육, 기술 지원, 자문, 컨설팅 제공
협의회는 회원사가 자율점검을 할 수 있도록 핀테크 업권의 특성을 반영한 자율점검규약과 자율점검표를 지속적으로 고도화하고 있다. 개인정보보호 이슈에 공동으로 대응하며 개인정보 보호체계를 구축할 수 있도록 지원하는 업무도 한다. 기업에서 개인정보 보호 규제를 잘 지킬 수 있도록 교육과 컨설팅도 무료로 제공한다. 각 회원사의 웹 취약점 검사 등 기술 지원도 한국인터넷진흥원을 통해 무료로 제공하고 있다. 법률적 도움도 받을 수 있다. 협의회에 개인정보보호 전문 변호사인 법무법인 율촌의 정세진 변호사, 법무법인 린의 구태언 변호사가 자문위원으로 참여하고 있다.

이희정 협의회장은 “회원사들이 자율적으로 참가해 자율점검규약을 잘 준수하고 있다. 협의회는 회원사의 개인정보보호 역량을 강화하고 있다. 무엇보다 고객의 소중한 개인정보의 안전한 관리와 고객 신뢰라는 핵심 가치를 높이는 게 협의회의 가장 큰 역할이다.”라고 강조하면서 “협의회의 가치와 필요성을 알려서 많은 핀테크 기업이 협의회와 함께할 수 있도록 노력하겠다”고 포부를 밝혔다.

지난 5월 자율규제 단체로 지정되면서 협의회는 개인정보보호위원회로부터 실태점검면제, 과태료 과징금 감경, 자율점검 활동지원, 교육 및 컨설팅 지원, 개인정보보호 기술지원 등의 혜택을 받게 됐다.

사진설명=매일경제와 인터뷰 중이다

사진설명=매일경제와 인터뷰 중이다
‘선택 동의’, ‘글로벌 스탠다드’, ‘이동형 영상처리기기 기준’ 등 개정안의 공동 대응
개인정보 보호법 개정안이 지난 3월 공표되어 오는 9월 15일부터 시행될 예정이다. 이번 개정안은 2011년 법 제정 이후 처음으로 정부가 학계 법조계 산업계 시민단체 등과 2년여의 협의 과정을 거쳐 다양한 의견을 반영해 정비한 실질적인 전면 개정이라는 점에서 의미가 있다.

이희정 협의회장은 “이번 개정은 2011년 개인정보 보호법 제정 및 2020년 데이터 3법 개정 이후 정보주체의 권리 보호를 강화하고 글로벌 규범과의 상호운용성을 확보하려는 취지에 따라 실질적인 전면 개정이라는 점에서 의미가 있다.”라고 말하면서 개정안의 핵심 내용 3가지에 대해 다음과 같이 설명했다.

첫째, 개인정보 자기결정권의 실질적 보장이다. 자신의 개인정보는 자신의 것이다라는 의미다. 그동안 서비스를 이용하려면 동의부터 받았었다. 대부분 내용도 모르고 어려워 동의의 내용을 확인하지 않고 동의해왔었다. 나도 모르는 사이에 개인정보보호에 모두 동의해야 했다. 이희정 협의회장은 미드 ‘블랙미러 시즌 6 존은 끔찍해’를 예시로 들면서 동의만능주의에 대해 설명했다.

평범한 회사원 존은 넷플릭스를 보다가 충격에 빠진다. 자신의 일상과 사생활이 고스란히 각색되어 드라마로 나오고 있었기 때문이다. 존이 전 남자친구를 만나고, 상담사와 내밀한 대화를 하는 것까지 거의 실시간으로 방영되고 있었다. 사생활이 여과 없이 노출되고 있는데다가 실제보다 더 나쁘게 과장되어 표현되면서 존은 회사에서 해고되는 등 사회생활에 큰 문제를 겪게 된다. 스마트폰이 존의 주변 소리, 음성 등 민감한 개인정보들을 수집하여 일상을 그대로 카피할 수 있었기 때문이다. 존은 법률사무소를 찾아가지만 서비스 이용약관을 ‘수락’ 했기 때문에 존에 대한 모든 것을 자유롭게 이용할 수 있다는 설명을 듣는다. 실제의 존보다 더 나쁘게 보이게 한 것도 ‘극적인 효과를 위해 인물과 대사를 창작할 수 있다’는 점이 ‘이용약관’에 나와 있고 이를 존이 동의한 이상 어쩔 수 없다는 것이다. 물론 존은 이 내용을 자세히 읽어본 기억도 없다.

존과 같은 상황을 방지하고자 이번 개정법에서는 정보 주체가 동의하겠다고 한 개인정보가 무엇인지를 명확히 하고 이를 선택하지 않게 하는 옵션을 표시하는 등 정보주체가 실질적으로 동의권을 행사할 수 있도록 동의를 받는 방법의 원칙을 명확히 했다.

이희정 협의회장은 “마이데이터로 알려진 개인정보 전송요구권의 신설도 정보주체가 개인정보처리자에 대하여 자신의 개인정보를 자신 또는 법령에서 정한 제3자에게 전송할 것을 요구할 수 있게 됐다는 점에서 정보주체의 개인정보에 대한 통제권이 강화된 입법으로 볼 수 있다.”고 설명했다. 이전에는 금융기관이나 공공분야 일부에만 적용되었는데, 이번에 법이 개정되면서 유통이나 의료, 사회 전반으로 확대되게 됐다. 핀테크 기업 입장에서도 고객 정보를 활용해 더 다양한 서비스를 창출하여 국민들에게 편익을 제공할 수 있게 된 것이다.

둘째, 글로벌 규범과의 상호운용성 확보다. 개정법은 개인정보의 국외 이전 요건을 국제기준에 부합하도록 다양화할 수 있게 됐다. 기업이 해외에 있는 협력사에 개인정보를 이전할 때 현재는 고객의 동의가 있어야 가능했다. 개정법은 정보주체와의 계약 체결 및 이행을 위해서 필요한 경우, 개인정보가 이전되는 국가 또는 국제기구가 국내법과 실질적으로 동등한 개인정보 보호 수준을 갖춘 경우엔 정보주체의 동의 없이도 개인정보의 국외 이전이 가능하게 됐다. 기업 입장에서는 글로벌 진출이 조금 더 용이해진 셈이다.

셋째, 기술 발전에 맞춘 입법이다. 과학기술의 발달로 드론이나 자율주행차 같이 움직이면서 영상을 저장하는 매체가 주변에 많아졌다. 개정법은 이러한 이동형 영상처리기기를 새롭게 정의하고 촬영 사실을 명확히 표시하고, 정보주체가 촬영거부 의사를 밝히지 않은 경우 이동형 영상처리기기로 개인정보의 촬영이 가능하도록 하였다. 또한 챗GPT, AI채팅앱 등 사람이 개입하지 않아도 인공지능 시스템이 개인정보를 처리할 수 있는 경우에 대해서도 설명을 요구하거나 거부할 수 있는 자동화된 결정에 대한 거부권과 설명요구권을 도입했다.

협의회는 오는 25일 개인정보보호법 개정안 시행에 대비해 회원사를 위한 세미나를 준비하고 있다. 앞으로 달라질 제도에 맞춰 핀테크 기업이 개인정보 보호를 위한 방안이 구체적으로 소개될 예정이다.

“L&C 조직은 사업이 되는 방법을 찾는 곳”
센트비는 낮은 수수료, 빠른 송금 속도 및 간편한 절차 등 혁신적인 해외 송금 서비스로 국경 없는 금융 서비스를 선도하고 있다. 전 세계 50여 개국에 송금 서비스를 지원하고 있다. 개인용 소액 해외 송금 서비스 ‘센트비(SentBe)’, 글로벌 은행 해외송금 기업 및 이커머스 플랫폼을 대상으로 하는 ‘센트비즈 API(SentBiz API)’ 솔루션을 포함한 기업용 해외 송금 및 결제 서비스 ‘센트비즈(SentBiz)’를 제공하고 있다.

이희정 CLCO가 말한 것처럼 센트비의 많은 사업이 L&C를 통해서 이루어졌다. 싱가포르 송금 라이선스, 전자 지급 결제 대행업(PG) 라이선스, 기타 전문 외국환업 라이선스, 소액해외송금 라이선스 등을 확보할 수 있었던 것은 L&C 조직 때문이다. 특히 싱가포르 송금 라이선스는 국내 핀테크 업계에서 유일하게 취득했다. 핀테크업은 규제가 많은 사업이다. 법령을 위반하는 경우 영업정지나 라이선스 등록 취소까지도 이어질 수 있다. 회사의 존폐가 걸린 문제다. 그만큼 L&C 역량은 핀테크업에서는 가장 중요한 역량 중에 하나다.

규제 리스크를 최소화하기 위해서는 그만큼 국내외 규제에 대해 잘 알아야 하고 이를 철저하게 준수해야 한다. 신규 사업이나 신시장에 진출할 때도 가장 먼저 확인하는 게 현재 보유하고 있는 라이선스로 신규 사업과 신시장에 진출이 가능한지를 확인하는 것이다. 새로운 사업모델이 관계법령을 위반하지 않는지, 문제의 소지가 있다면 어떻게 변경하면 되는지 등의 법률을 검토한다. 만약 현재 보유하고 있는 라이선스로 신규 사업이나 신시장에 진출할 수 없다면 필요한 라이선스를 어떻게 취득할지를 조사하는 일을 L&C 조직이 총괄하고 있다.

최근 비대면 금융거래가 활성화되고 가상화폐가 등장하는 등 디지털 기술 발달로 자금세탁방지(AML)를 위한 노력이 높아진 상황이다. 사업자 입장에서는 AML가 새로운 리스크가 되는 셈이다. 사업자가 신규 사업에 진출하거나 글로벌로 진출할 경우 규제당국에서는 사업자가 AML에 관한 규정을 잘 지키고 있는지를 따져 법률에 부합할 경우에 라이선스를 부여한다. 센트비가 2021년에 비자 등 글로벌 금융회사와 파트너십을 체결할 당시 중소형 핀테크 회사로서는 이례적으로 AML심사를 단기간에 통과할 수 있었던 것도 L&C의 역할 때문이다.

센트비는 2019년에 소액해외송금업자로서는 최초로 전자지급결제대행업을 등록하여 전자금융업자가 됐다. 2020년에 센트비는 한국 회사로는 최초로 싱가포르통화청(MAS)로부터 싱가포르 해외송금 라이선스(Cross-border transfer license), 2021년에 싱가포르 국내송금 라이선스(Domestic transfer license)와 국내 전자지급결제대행업과 유사한 성격을 가진 결제대행 라이선스(Merchant acquisition license)는 취득했다. 2021년에는 선불전자지급수단의 발행 및 관리업은 신청 후 한달여 만에 등록할 수 있었다.

이희정 CLCO는 “신규 사업에 진출 할 때나 글로벌에 진출할 때 규제 리스크를 선제적으로 확인한다. 최대한 적절한 경감절차를 찾아 리스크를 최소화하는 방향으로 준비하고 있다. 규제 이슈에 잘 대응해야 서비스를 확장하고 마켓을 넓힐 수 있다”라고 설명했다. 라이선스 획득 이상으로 이를 유지하는 것도 중요하다. 규제 법률이 계속해서 상황에 따라 변하기 때문이다. 계속해서 법률적 요권을 갖추는 일도 L&C의 중요한 업무다.

이희정 CLCO는 “회사에서 어떤 사업을 시작할 때 해도 되는지를 많이 묻는다. 그럼 우리가 가지고 있는 라이선스로 되는지를 확인하고 안 되면 추가적으로 취득해야 할 라이선스가 무엇인지를 확인한다. L&C는 이렇게 법적으로 안전하게 서비스가 출시되도록 돕고 있는 조직이다.”라고 말했다.

이희정 센트비 CLCO, 핀테크 업권 개인정보보호자율규제 협의회장

이희정 센트비 CLCO, 핀테크 업권 개인정보보호자율규제 협의회장
센트비와의 인연
이희정 CLCO와 센트비 최성욱 대표가 처음 만난 건 어느 컨설팅 스터디 모임에서다. 그후 최성욱 대표는 컨설턴트로 경험을 쌓은 뒤 센트비를 창업했고 이희정 CLCO는 로스쿨에 진학해 변호사가 됐다. 핀테크가 규제사업이고 변호사의 역할이 중요하다고 최성욱 대표가 영입을 제안해 센트비에 합류하게 됐다.

센트비는 소액해외송금업체 중에서 유일하게 법률 및 법규 준수 전담 조직인 L&C 조직을 2019년부터 만들어 운영하고 있다. L&C 조직은 이희정 변호사를 비롯하여 싱가포르 컴플라이언스 오피서, 필리핀 변호사, 인도네시아 변호사 및 국제자금세탁방지전문인력자격증(cams)을 소지한 자금세탁방지 전문가 등으로 구성되어 있다. 전담 사내 L&C 조직을 보유하고 있는 소액해외송금업자는 센트비가 유일하며 C레벨이 총괄 책임자인 곳도 센트비가 유일하다.

Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?
매일경제에서 직접 확인하세요. 해당 언론사로 이동합니다.