Hayden

이번 포스트에서는 신용정보법에 대하여 자세하고 체계적으로 알아보겠습니다. 금융 업계에 몸담고 계신 분들이라면 한 번쯤은 들어보셨을 “신용정보의 이용 및 보호에 관한 법률”(이하 ‘신용정보법’). 하지만 이 법률이 정확히 어떤 내용을 담고 있고, 최근 어떻게 바뀌었는지 완전히 파악하고 계신가요? 특히 2020년 데이터 3법 개정으로 큰 변화를 맞은 신용정보법은 금융기관 실무진들에게 새로운 기회와 동시에 엄격한 책임을 부여하고 있습니다. 이번 포스트에서는 은행 관계자와 금융인 여러분이 꼭 알아두어야 할 신용정보법의 핵심 내용을 차근차근 정리해보고자 합니다.

(신용정보법 전문을 보시려면 법제처 국가법령정보센터 https://www.law.go.kr/법령/신용정보의 이용 및 보호에 관한 법률로 들어가보세요!)

 

1. 신용정보법의 기본 이해

법률의 목적과 의의

신용정보법은 신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 도모하며, 신용정보의 오용·남용으로부터 사생활의 비밀 등을 적절히 보호함으로써 건전한 신용질서의 확립에 이바지하기 위해 제정된 법률입니다.

이 법률은 크게 세 가지 목표를 추구합니다:

  • 신용정보 산업의 건전한 발전 촉진
  • 개인정보보호와 사생활 보호 강화
  • 금융 데이터 경제 활성화를 통한 혁신 지원

적용 대상과 범위

구분 세부 내용 관련 조항
신용정보회사 신용조회업, 신용평가업, 신용정보집중기관 등 제2조 제3호
신용정보제공·이용자 은행, 보험회사, 증권회사, 카드회사 등 제2조 제4호
본인신용정보관리업자 MyData 사업자 제2조 제9호의2
채권추심업자 채권추심 전문기관 제2조 제10호

신용정보법 적용 대상 조직도

신용정보법-적용대상

 

2. 2020년 대개정의 핵심 변화사항

데이터 3법 개정의 배경

2020년 1월 9일 국회 본회의를 통과한 신용정보법 개정안은 개인정보보호법, 정보통신망법 개정안과 함께 이른바 ‘데이터 3법’의 한 축을 이루고 있습니다. 이번 개정은 금융분야 데이터 경제 활성화개인정보보호 내실화라는 두 마리 토끼를 모두 잡기 위한 노력의 결실입니다.

주요 개정 내용

① 가명정보 개념 도입 및 빅데이터 활용 근거 마련

  • 가명정보 처리 허용으로 빅데이터 분석 활성화
  • 통계작성, 학술연구, 공익적 기록보존 등의 목적으로 활용 가능
  • 개인 식별이 불가능하도록 처리된 정보에 대한 활용 범위 확대

② 개인정보 전송요구권 신설

  • 신용정보주체가 본인의 개인신용정보 전송을 요구할 수 있는 권리 부여
  • API를 통한 표준화된 정보 전송 체계 구축
  • MyData 서비스의 법적 기반 마련

③ 자동화평가에 대한 설명요구권 강화

  • 자동화된 개인신용평가에 대한 신용정보주체의 설명요구권 신설
  • 알고리즘 기반 신용평가의 투명성 제고

 

3. MyData(본인신용정보관리업) 에 대하여

MyData의 정의와 특징

신용정보법 제2조 제9호의2에 따르면, “본인신용정보관리업”이란 개인인 신용정보주체의 신용관리를 지원하기 위하여 신용정보를 일정한 방식으로 통합하여 그 신용정보주체에게 제공하는 행위를 영업으로 하는 것을 말합니다.

MyData 사업의 핵심 메커니즘

고객은 정보제공자에게 본인의 개인신용정보를 정보수신자에게 전송할 것을 요구할 수 있으며, 이때 법령상 요구하는 내용(정보를 제공/수신하는 법인명, 전송 요구 항목 및 목적, 전송 기간, 정보수신자의 정보 보유기간 등)을 특정해서 전송을 요구해야 합니다.

허가 요건 및 진입 규제

허가 대상 여부 판단 기준

MyData 사업을 하고자 하는 자는 다음 5가지 경우를 제외하고는 금융위원회 허가를 받아야 합니다:

  1. 단순 조회 서비스만 제공하는 경우
  2. 신용정보주체 본인만을 위한 서비스를 제공하는 경우
  3. 법령에 근거한 업무 수행을 위한 경우
  4. 기존 신용정보업 허가를 받은 기관이 부수업무로 하는 경우
  5. 공공기관이 법령에 근거하여 수행하는 경우

허가 요건 (신용정보법 제6조)

구분 요건 내용 세부 기준
자본금 최소 자본금 확보 대통령령으로 정하는 금액
물적 설비 충분한 시설과 장비 데이터 보안 시설 포함
인적 요건 전문성을 갖춘 임직원 개인정보보호 전문인력
주요 출자자 건전성 확보 금융 관련 법령 위반 이력 없음
사업계획 타당성과 건전성 수익성 및 안정성 입증

처벌 규정

허가 없이 본인신용정보관리업을 한 자에 대해서는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다는 벌칙 규정을 두고 있습니다(신용정보법 제50조 제2항 제1호).

마이데이터 서비스 플로우 (MyData Service Flow)

마이데이터-서비스-플로우-MyData-Service-Flow

 

4. 개인정보보호 의무와 보안조치

수집 제한 및 금지 정보 (제16조)

신용정보회사 등은 다음 정보를 수집·조사해서는 안 됩니다:

절대 수집 금지 정보

  • 국가 안보 및 기밀에 관한 정보
  • 기업의 경영비밀 또는 독창적인 연구개발정보
  • 개인의 정치적 사상과 종교적 신념 등 신용정보와 무관한 사생활 정보
  • 불확실한 개인신용정보
  • 다른 법률에 따라 수집이 금지된 정보

동의 획득 의무 (제32조)

개별 동의 원칙

신용정보제공·이용자가 개인신용정보를 타인에게 제공하려는 경우에는 해당 신용정보주체로부터 개인신용정보를 제공할 때마다 미리 개별적으로 동의를 받아야 합니다.

동의 방식

  • 서면 동의
  • 공인전자서명이 있는 전자문서
  • 그 밖에 대통령령으로 정하는 방식

정보 파기 의무 (제21조)

신용정보회사 및 신용정보집중기관이 폐업할 때에는 보유한 정보를 금융위원회가 정하는 바에 따라 처분·소거 또는 폐기해야 합니다.

개인정보 라이프사이클(Life-Cycle)

개인정보-라이프사이클

 

5. 처벌 조항 및 벌금 체계

형사처벌 규정 (제50조)

최고형: 10년 이하 징역 또는 1억원 이하 벌금

  • 제42조 제1항 또는 제3항 위반 (비밀누설 금지 위반)

중형: 5년 이하 징역 또는 5천만원 이하 벌금

다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처합니다:

  1. 무허가 영업 (제4조 제2항 또는 제10조 제1항 위반)
  2. 거짓·부정한 방법으로 허가 취득
  3. 영업 관련 제한 규정 위반 (제16조 위반)
  4. 업무정지 기간 중 영업 계속
  5. 권한 없는 신용정보 이용·변경·삭제
  6. 개인신용정보 제공 시 동의 미획득 (제32조 위반)

경형: 3년 이하 징역 또는 3천만원 이하 벌금

  • 업무정지 기간 중 업무 수행
  • 기타 업무 관련 경미한 위반사항

양벌규정 (제51조)

법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인도 벌금형에 처해집니다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 않은 경우에는 그렇지 않습니다.

과태료 규정 (제52조)

5천만원 이하 과태료

  • 신용정보 관련 신고 의무 위반
  • 개인신용정보 수집 시 동의 미획득
  • 정보 제공 관련 의무 위반

3천만원 이하 과태료

  • 업무 관련 경미한 절차 위반

1천만원 이하 과태료

  • 기타 행정적 의무 위반

신용정보법 처벌조항체계

신용정보법-처벌조항체계

 

6. 금융기관 실무 적용 가이드

개인정보 처리 체크리스트

수집 단계

  • [ ] 수집 목적의 명확성 확인
  • [ ] 최소 수집 원칙 준수
  • [ ] 금지 정보 수집 여부 점검
  • [ ] 적법한 동의 획득 확인
  • [ ] 수집 방법의 적법성 검증
  • [ ] 민감정보 별도 동의 확인

이용·제공 단계

  • [ ] 목적 범위 내 이용 확인
  • [ ] 제3자 제공 시 개별 동의 획득
  • [ ] 가명처리 적정성 검토
  • [ ] 해외 전송 시 별도 요건 충족
  • [ ] 위탁 시 계약서 및 관리·감독 체계 구비
  • [ ] 결합 시 승인 요건 확인

보관·파기 단계

  • [ ] 보유기간 준수
  • [ ] 안전성 확보조치 이행
  • [ ] 적법한 파기 절차 준수
  • [ ] 위탁업체 관리·감독
  • [ ] 파기 증명서 관리
  • [ ] 백업 데이터 파기 확인

시스템 구축 및 기술 요구사항

마이데이터 시스템 아키텍쳐

마이데이터-시스템-아키텍쳐

API 연동 구조

마이데이터-API-연동구조도

API 표준화 요구사항 (금융분야 마이데이터 기술 가이드라인에 따른 API 표준 준수가 필수입니다)

구분 기술 요구사항 준수 기준
인증 방식 OAuth 2.0 RFC 6749 표준
데이터 형식 JSON UTF-8 인코딩
통신 방식 RESTful API HTTPS 필수
응답 시간 5초 이내 99.9% 가용성
일일 호출 한도 업무별 차등 적용 과부하 방지

보안 기술 구현 방안

1단계: 접근 통제

  • 강화된 인증 (2FA/MFA 적용)
  • 접근 권한 관리 (역할 기반 접근제어)
  • 접근 로그 관리 (실시간 모니터링)

2단계: 암호화 적용

  • 전송 중 암호화: TLS 1.2 이상
  • 저장 암호화: AES-256 이상
  • 키 관리: HSM(Hardware Security Module) 활용

3단계: 네트워크 보안

  • 방화벽 및 IPS/IDS 구축
  • DDoS 방어 체계
  • 네트워크 분리 (DMZ 구성)

데이터베이스 설계 고려사항

개인정보 분리 저장

운영 DB ←→ 개인정보 DB (암호화)
     ↓           ↓
로그 DB ←→ 가명정보 DB (통계/분석용)

데이터 백업 및 복구

  • 정기 백업: 일일/주간/월간 백업
  • 암호화 백업: 백업 데이터 암호화 필수
  • 복구 테스트: 분기별 복구 테스트 실시

MyData 대응 전략

정보제공자 관점 (은행 등 기존 금융기관)

1. 기술적 준비사항

  • 표준 API 개발: 금융위 기술가이드라인 준수
  • 실시간 인증 시스템: 고객 본인인증 강화
  • 로그 관리 시스템: 전송 이력 실시간 기록
  • 부하 분산 시스템: 대량 요청 처리 대비

2. 운영 체계 구축

  • 전송 관리 조직: 전담팀 구성 및 역할 정의
  • SLA 관리: 서비스 수준 협약 체결 및 관리
  • 장애 대응: 24/7 모니터링 및 대응 체계
  • 성능 관리: 응답시간 및 처리량 관리

정보수신자 관점 (MyData 사업자)

1. 허가 및 신고 절차

사전 검토 → 서류 준비 → 허가 신청 → 심사 → 허가 → 영업 개시
(1개월)    (2개월)    (1개월)    (2개월)  (즉시)  (허가 후)

2. 시스템 아키텍처 설계

  • 마이크로서비스 아키텍처: 확장성 및 유지보수성 확보
  • API Gateway: 외부 API 관리 및 보안
  • 데이터 레이크: 다양한 형태의 데이터 수집 및 저장
  • AI/ML 플랫폼: 데이터 분석 및 서비스 개발

3. 데이터 거버넌스

  • 데이터 카탈로그: 수집 데이터 현황 관리
  • 데이터 품질 관리: 정확성, 완전성, 일관성 확보
  • 메타데이터 관리: 데이터 계보 및 사용 이력 관리

개발 프로세스상 고려사항

DevSecOps 적용

보안이 내재된 개발 프로세스 구축

  1. 설계 단계: Privacy by Design 원칙 적용
  2. 개발 단계: 보안 코딩 가이드라인 준수
  3. 테스트 단계: 개인정보 마스킹 데이터 활용
  4. 배포 단계: 보안 검증 후 단계적 배포
  5. 운영 단계: 지속적 보안 모니터링

개인정보영향평가(PIA) 수행 (시스템 구축 전 필수 수행 절차)

평가 항목 세부 내용 점검 기준
개인정보 처리 현황 수집·이용·제공·파기 법적 근거 확인
위험도 분석 개인정보 오남용 위험 위험도 등급 산정
보호조치 계획 기술적·관리적 조치 적정성 평가
대안 검토 개인정보 최소화 방안 실현 가능성 평가

컴플라이언스 체계 구축 방안

조직 체계

  • 개인정보보호 책임자(CPO) 지정: 임원급 이상
  • 신용정보관리·보호인 선임: 전문자격 보유자
  • 전담 조직 설치·운영: 독립성 보장
  • 내부 심의위원회 구성: 다부서 협업체계

내부 관리 체계

  • 내부 규정 정비: 개인정보 처리방침, 내부관리계획 등
  • 교육 프로그램 운영: 연 1회 이상 정기교육
  • 정기 점검 실시: 분기별 자체점검
  • 사고 대응 체계 구축: 24시간 대응체계

감사 및 모니터링 시스템

실시간 모니터링 대시보드

  • 접근 현황: 실시간 접근자 및 접근 위치
  • 처리 현황: 개인정보 처리 건수 및 유형
  • 이상 징후: 비정상 접근 패턴 탐지
  • 성능 지표: 시스템 성능 및 가용성

주기적 감사 체계

  • 내부 감사: 분기별 자체 감사
  • 외부 감사: 연 1회 전문기관 위탁
  • 규제 당국 검사: 금융감독원 현장검사 대비

기술적 안전조치 상세 구현

접근제어 시스템

사용자 인증 → 권한 확인 → 접근 허용 → 작업 수행 → 로그 기록
     ↓            ↓           ↓            ↓           ↓
Multi-Factor   RBAC       세션관리    작업로그    감사로그
Authentication  체계      (Timeout)   (상세기록)  (변조방지)

암호화 구현 계층

  1. 애플리케이션 레벨: 필드별 선택적 암호화
  2. 데이터베이스 레벨: TDE(Transparent Data Encryption)
  3. 파일시스템 레벨: 디스크 전체 암호화
  4. 네트워크 레벨: SSL/TLS 종단간 암호화

로그 관리 체계

수집 대상 로그

  • 접근 로그: 로그인/로그아웃, 권한 변경
  • 처리 로그: 개인정보 조회, 수정, 삭제
  • 시스템 로그: 시스템 오류, 성능 이슈
  • 보안 로그: 침입 시도, 이상 행위

로그 보관 및 관리

  • 보관 기간: 최소 3년 (신용정보업감독규정)
  • 무결성 보장: 디지털 서명 또는 해시값 적용
  • 접근 제한: 관리자 권한으로만 접근 가능
  • 정기 검토: 월 1회 이상 로그 분석

 

7. 최신 동향 및 향후 전망

2025년 주요 이슈

가명정보 활용 확대

  • 빅데이터 분석 확산
  • AI·머신러닝 활용 증가
  • 혁신적 금융서비스 개발

MyData 생태계 성숙

  • 다양한 서비스 모델 등장
  • 금융·비금융 연계 서비스 확산
  • 오픈뱅킹과의 연계 강화

규제 환경 변화

  • 글로벌 개인정보보호 동향 반영
  • 디지털 전환 가속화 대응
  • 새로운 기술에 대한 규제 프레임워크 정립

대응 방향

금융기관들은 다음과 같은 방향으로 대응해야 합니다:

  1. 선제적 컴플라이언스 체계 구축
  2. 혁신 서비스 개발과 개인정보보호의 균형
  3. 디지털 전환에 맞는 내부 역량 강화
  4. 고객 중심의 데이터 활용 문화 정착

 

이상으로 금융회사 실무진들이 신용정보법 컴플라이언스 업무를 수행하고, MyData 사업을 추진하며, 개인정보보호 체계를 구축하는 데 도움이 될만한 내용으로 간략하게 작성해 보았습니다. 이 포스트가 여러분의 업무에 조금이나마 도움이 되었으면 합니다. 🙂

 

댓글 남기기