마이데이터가 범죄에 악용될 수도 있다? 데이터 경제의 어두운 면

1. ‘내 정보’가 내 것이 아닐 수 있다

 

우리는 마이데이터 시대에 살고 있습니다. 마이데이터는 개인이 자신의 정보를 통합·관리하고, 필요한 곳에 직접 전송할 수 있도록 만든 제도로, 데이터 주권을 개인에게 돌려준다는 점에서 혁신으로 평가받고 있습니다. 하지만 한편으론, 이 데이터가 범죄에 악용될 수 있다는 우려의 목소리도 커지고 있습니다.

 

마치 현관 비밀번호를 내가 설정했지만, 누군가 그 코드를 훔쳐간다면 오히려 더 큰 위험에 노출되듯, 내 정보가 고스란히 디지털로 흘러다닐 경우, 통제 불능의 상황도 발생할 수 있습니다. 이번 글에서는 마이데이터 제도의 그림자—범죄 악용 가능성과 데이터 경제의 어두운 면—에 대해 다각도로 조명해보겠습니다.

 

 

2. 마이데이터 시스템의 구조와 보안 허점

 

개인정보 통합은 양날의 검

마이데이터는 개인의 신용정보, 금융정보, 건강정보, 통신기록 등 방대한 데이터를 한 곳에 통합합니다. 이 통합 자체는 사용자 편의성과 맞춤형 서비스 확대에 매우 유리하지만, 해커나 범죄자가 노리기엔 더 매력적인 타깃이 되기도 합니다.

API 기반 전송 시스템의 취약점

마이데이터는 API(Application Programming Interface)를 통해 금융기관과 사업자 간 데이터를 주고받습니다. 이 방식은 효율적이지만, 인증 절차가 미흡하거나, 사업자의 보안 시스템이 취약할 경우 API를 통해 외부 공격자가 데이터를 탈취할 수 있는 여지가 생깁니다. 실제 2023년 일부 핀테크 기업에서는 인증 시스템 오류로 인해 일부 고객 데이터가 노출되는 사고가 발생했습니다.

 

중소 마이데이터 사업자의 보안 수준 불균형

카카오페이나 토스 같은 대형 플랫폼은 강력한 보안 체계를 갖추고 있지만, 소규모 마이데이터 사업자는 인력이나 비용의 한계로 인해 보안에 취약한 경우가 많습니다. 이들이 해킹을 당하거나 내부 직원이 정보를 유출할 경우, 연쇄적인 데이터 범죄가 가능해집니다.

3. 실제 사례로 본 데이터 범죄 유형

 

피싱과 스미싱 고도화

마이데이터를 통해 개인의 소비 습관, 거래 기록, 대출 여부 등 민감한 정보를 탈취한 뒤, 맞춤형 피싱 공격이 가능해집니다. 예를 들어, 실제로 사용자가 최근 신청한 대출 정보를 파악한 뒤 ‘은행 심사 통과 안내’라는 문자로 유도해 악성 앱 설치를 유도하는 방식입니다.

 

 

개인정보를 통한 신원 도용

마이데이터에는 주민번호, 계좌번호, 보험 내역, 심지어 의료 정보까지 포함될 수 있습니다. 이 정보를 기반으로 대포통장을 개설하거나, 보험 사기를 시도하는 범죄가 늘고 있습니다. 2024년 초, 서울에서는 마이데이터 연동을 악용한 신용대출 사기 사건이 발생해 경찰이 수사를 진행했습니다.

 

데이터 브로커의 불법 유통

불법 데이터 브로커 시장은 생각보다 훨씬 큽니다. 유출된 마이데이터가 암암리에 거래되며, 이를 통해 타겟 마케팅, 보이스피싱 명단 작성, 불법 대출 영업 등에 사용됩니다. 보안 전문기업 이스트시큐리티에 따르면, 다크웹에서는 한국인의 마이데이터 관련 파일이 수백 달러에 거래되고 있는 정황이 포착된 바 있습니다.

 

관련 기사:

 

이스트시큐리티 다크웹 리포트 (2024)

 

 

4. 왜 이런 일이 생길까? 시스템과 제도의 허점

 

사용자의 과도한 동의 남용

마이데이터 서비스를 사용하려면, 개인정보 활용 동의를 해야 합니다. 문제는 사용자가 해당 서비스를 제대로 이해하지 못한 채 ‘전체 동의’ 버튼을 누른다는 것입니다. 이로 인해, 서비스 목적과 무관한 과도한 데이터가 수집되고, 이후 유출 시 피해가 커지는 구조가 만들어집니다.

제3자 위탁 구조의 불투명성

일부 마이데이터 사업자는 서비스를 외주 업체에 위탁합니다. 이 과정에서 데이터가 제3자에게 이전되고, 해당 기업의 보안 체계가 약할 경우 정보가 유출될 위험이 증가합니다. 또한, 법적 책임 주체가 불명확해 피해자의 구제도 어렵습니다.

 

감시 체계의 한계

마이데이터 사업자는 금융감독원의 관리·감독을 받지만, 기술 발전 속도에 비해 규제와 제도는 더딘 편입니다. 또한, 사고 발생 이후의 대응이 중심이다 보니, 선제적인 예방보다는 사후 처벌에 의존하는 구조로 되어 있습니다.

5. 제도 개선과 개인의 대비 전략

 

세분화된 동의 시스템 도입

‘전체 동의’가 아닌 ‘항목별 동의’를 의무화하여, 사용자가 어떤 정보가 왜 수집되는지를 명확히 알 수 있도록 해야 합니다. 또한, 동의 기간 제한, 목적 외 활용 금지 등의 조건도 강화되어야 합니다.

 

보안인증 등급제 도입

사업자별 보안 수준을 등급화하여 사용자에게 공개하고, 일정 등급 이하의 사업자는 마이데이터 사업 참여를 제한하거나 조건부 허가로 전환하는 제도가 필요합니다. 이는 사용자가 안심하고 플랫폼을 선택할 수 있는 기준이 됩니다.

 

이중 인증 및 실시간 알림 시스템

중요 정보 접근 시 이중 인증을 의무화하고, 데이터 접근·전송이 발생할 경우 실시간으로 사용자에게 알림이 가도록 설정함으로써 이상 징후에 대한 조기 대응이 가능해야 합니다.

 

사용자 교육과 인식 개선

마이데이터의 취지와 위험성을 사용자에게 충분히 안내하고, 보안 점검 체크리스트, 개인정보 보호 퀴즈 등 참여형 콘텐츠를 통해 인식을 강화하는 캠페인이 필요합니다.

 

참고 링크:

 

개인정보보호위원회 공식 홈페이지

금융보안원 마이데이터 보안 가이드

 

 

6. 마무리: 데이터는 힘이지만, 통제되지 않으면 위협이다

 

마이데이터는 분명 디지털 사회의 진보입니다. 나의 정보가 기업의 자산이 아닌, 나의 자산으로 인정받고, 그 가치를 스스로 활용할 수 있다는 점은 큰 변화입니다. 그러나 그만큼 책임도 따릅니다.

 

데이터는 ‘디지털 DNA’입니다. 이 DNA가 범죄자 손에 넘어갈 경우, 우리는 단순한 금융 피해를 넘어서 ‘디지털 인격’을 침해당하는 셈이 됩니다.

따라서 정부, 기업, 시민 모두가 데이터 보안에 대한 감수성과 대응 능력을 키워야 하며, 마이데이터는 ‘통제 가능한 기술’이 되어야 합니다. 디지털 시대, 진짜 자산은 정보이고, 그 자산을 어떻게 지키느냐가 곧 생존의 문제입니다.