스크래핑 기술, 규제 근거도 모호
금융당국이 은행의 금융결제원 공동망을 핀테크 회사에 열어주기로 하면서 개인정보보호에 대한 논란도 커질 전망이다. 정보유출에 대한 ‘책임 소재’가 현재로선 명확하지 않아, 향후 문제가 발생할 경우 전적으로 소비자에게 피해가 전가될 수 있기 때문이다.
현재 시중은행의 고객 정보를 수집해 사용하는 핀테크 업체는 토스(비바퍼블리카)와 뱅크샐러드(레이니스트)가 대표적이다. 이들은 모두 ‘스크래핑(Scraping)’ 기술을 통해 필요한 개인정보를 추출해 서비스에 활용한다. 금융당국이 공인인증서를 사용하지 않고도 정보를 가져올 수 있게끔 이들에게 문을 열어준 덕분이다.
스크래핑 방식은 보안에 대한 우려가 있다고 지적됐다. 물론 스크래핑 사업자의 경우 전자금융업자로서 감독기관의 정기 점검을 받는다. 계좌 간 송금거래 서비스를 제공하는 토스가 대표적이다.
그러나 뱅크샐러드가 스크래핑으로 취득한 정보에 대해선 당국이 확인할 길이 없다. 토스와 달리 송금거래를 하지 않고 자산 내용만 관리해주는 플랫폼인 뱅크샐러드는 전자금융업자가 아닌 ‘정보통신업자’로 등록돼 있기 때문이다. 신용정보법, 정보통신망법, 개인정보보호법 규정으로 스크래핑 서비스도 이를 준수해야 하지만 규제 근거가 모호하다는 지적이 있다.
책임 소재에 대한 문제도 논란거리다. 만약 두 회사에서 희박한 가능성으로 고객 정보가 유출됐을 경우, 때에 따라 은행에도 책임을 물을 수 있기 때문이다.
우선 관리를 제대로 하지 않은 핀테크 업체에 1차 책임이 있다. 하지만 결국 이 정보의 근원이 은행이라는 점에서 이들도 책임에서 벗어날 수 없다는 게 업계 관계자의 설명이다. 현재 개인정보보호 관련해 법 해석의 여지가 상당하기 때문이다.
개인정보 유출에 대해서 금융기관의 고의나 과실을 입증하기가 어렵다는 점도 논란거리다. 아울러 은행에서 핀테크 업체로 정보가 넘어가는 과정에서 정보가 새어나갈 경우라면 책임은 더더욱 모호해진다. 과실과 고의 여부에 관한 판단이 갈릴 수 있기 때문이다.
이러한 탓에 은행 내부에서도 불만의 목소리가 크다. 금융권 관계자는 “은행이 정보 관리에 손 놓고 있으면 유출될 가능성이 없는 게 아니다”면서 “당국이 핀테크 업체를 위한 제도를 마련하기 전에 이러한 우려들을 외면한 것”이라고 지적했다.
책임에 대한 모호성은 향후 고객의 피해로 이어질 수 있다. 2014년 1월 사상 초유의 카드사 개인정보 유출이 벌어진 바 있다. 하지만 정보유출 피해를 본 이들에 대한 구제는 제대로 이뤄지지 않았다. 카드사가 ‘직원들’의 잘못으로 책임 소재를 희석했기 때문이다. 핀테크와 은행 간의 명확한 책임이 부여되지 않는 이상, 이러한 논란은 반복될 여지가 크다.