#1. 일본에서 돈을 가장 잘 버는 은행은 메가뱅크가 아닌 지방은행이다. 일본 시즈오카에 기반을 둔 스루가은행(スルガ銀行)의 자기자본이익률(ROE)은 13.92%, 순이자마진율(NIM)은 1.31%(2014년 기준)에 달한다. ‘잃어버린 20년’의 장기 불황 속에서 대출 규모도 매년 상승 곡선을 그려 왔다. 제로 금리로 역마진에 허덕이는 다른 은행들과 비교해보면 기적에 가까운 실적이다. 스루가은행의 성공 비결은 20년 넘게 갈고 닦은 자체 신용평가 시스템이다. 스루가은행은 1990년대 일본 은행권에 CRM(Customer Relationship Management) 시스템이 본격적으로 도입되기 이전부터 고객군의 정성(定性)적 데이터까지 착실하게 쌓아왔다. 그 결과 다른 은행에서 대출을 거절 당한 미혼 여성이나 자영업자, 운동 선수, 작가 등 ‘우량 고객’을 자신 있게 끌어모을 수 있었다.
#2. 미국의 대표적인 신용평가 모델 업체인 페어아이작(Fair Isaac·FICO)은 전기요금, 전화 요금, 수도세, 집세 등 이른바 ‘대체정보(alternative data)’로 불리는 비(非)금융정보를 활용해 신용점수를 매기는 평가 모델(alternative lending)을 운용 중이다. 신용카드 사용 실적이나 통장 잔고 등 기존의 금융 거래 내역만으로는 대출자의 상환 능력을 정교하게 파악할 수 없는데다, 애시당초 금융 거래가 거의 없었던 사람은 ‘파이코 스코어’(Fico Score·미국의 신용점수) 자체를 얻는 것 조차 매우 어렵기 때문이다. 2008년 글로벌 금융위기 이후 미국에서는 기존 신용평가 모델에 대한 불신감이 커지면서 금융거래정보 외에도 더 많은 정보를 반영하는 새 신용평가 모델에 대한 수요가 폭발적으로 늘어나고 있다.
이처럼 미국, 일본, 유럽 등 주요 선진국에서는 핀테크 스타트업뿐 아니라 전통적인 금융기관도 다양한 고객 정보를 활용해 신용평가 모델을 개선하려는 시도를 하고 있다. 그러나 국내 금융사들의 신용평가 모델은 여전히 카드 연체 정보나 통장 잔고 등 제한된 정보만 활용하는 수준에서 벗어나지 못하고 있다.
이 때문에 기존 신용평가 모델에서 1~3등급을 받은 우량 고객은 영업점 지점장이 직접 대출 서류를 들고 올 정도로 대출을 받기 쉽지만, 4~7등급의 이른바 ‘회색지대’에 속한 금융 소비자들은 최악의 경우 제2금융권으로 밀려날 정도로 양극화 현상이 심해지고 있다는 지적이 나온다.
한국은행에 따르면 4월 말 기준 예금은행이 취급한 연 10%대 이상 신규 대출비중은 0.2%로 역대 최저치를 기록했다. 2012년 3%에서 3년 새 10분의 1 수준으로 줄었다. 반면 연 3%대 미만의 ‘우량대출’ 비중은 66.7%를 기록했다. 지난 2월과 3월에 각각 8.8%, 40.7%였던 것과 비교해 빠른 속도로 늘어난 것이다.
◆ 방통委·개인정보委·금융委…부처마다 개인정보 공개 범위 지침 제각각
국내 금융사들의 신용평가 모델이 비슷한 가장 큰 요인으로는 2014년 초 카드사 개인 정보 유출을 계기로 그 해 8월 7일부터 시행되고 있는 개인정보보호법이 꼽힌다. 금융사나 IT기업들이 새 신용평가 모델을 구축하려 해도 개인정보보호법을 위반하지 않으려면 공개된 정보조차 활용하는 것이 사실상 불가능해졌기 때문이다.
현행 개인정보보호법은 개인정보를 수집·이용·제공할 때 반드시 정보 주체의 동의를 받아야 한다. 이는 특정 개인정보만 적용되는 것이 아니라 모든 개인정보에 적용되기 때문에 ‘공개된 개인정보’도 수집하는 것조차 거의 불가능하다.
2014년 말 방통위는 ‘공개된 개인정보는 고객의 동의 없이 수집이 가능하다’는 내용을 담은 가이드라인(지침서)을 내기도 했다. 하지만 개인정보보호위원회가 즉각 방통위의 이러한 해석은 잘못된 것이라고 밝혀 금융사들의 혼란만 가중됐다.
한 신용평가사 관계자는 “신용평가사 입장에서 새 모델을 개발하고 싶은 욕구는 어느 기관보다 강하지만 이미 개인정보법이 통과된 상황이라 운신의 폭이 좁을 수 밖에 없다”며 “정부의 가이드라인 테두리 안에서 모델의 정교성을 키우는 수 밖에 없는 상황”이라고 말했다.
또 개인정보보호법은 개인 정보를 수집하는 기업들이 “최소한의 개인 정보만 수집해야 한다”고 규정하고 있는데, 각 회사가 개인정보를 수집할 때 해당 정보가 ‘최소한의 개인 정보’라는 것을 직접 입증해야 한다.
한 금융사 관계자는 “현행 개인정보보호법 규정상으로는 금융정보 외 다른 데이터를 활용하고 싶어도 시도조차 할 여지가 거의 없다”며 “정부부처마다 각자 다른 신호와 지침을 주면서 보수적으로 움직일 수 밖에 없는 금융기관들은 아예 아무것도 하지 않는 편이 낫다는 의견이 나온다”고 말했다.
◆ “개인정보 활용 범위 명확해져야”…개인정보보호와 개인정보보안 문제의 구분 필요
금융사나 IT기업들이 빅데이터를 제대로 활용하려면 정부가 법과 시행령 개정을 통해 개인정보와 금융정보의 활용 범위를 명확히 정해야 한다는 의견이 나온다. 금융위원회는 6월 3일 '금융권 빅데이터 활성화방안'을 발표하면서 비식별화 정보는 개인신용정보에서 제외하는 방안을 추진하겠다고 밝혔지만 실무 현장에서는 '비식별 정보'와 '식별정보'가 뒤엉키는 경우가 많기 때문이다.
예를들어 전화번호 뒷자리와 주민등록번호 앞자리는 개별적으로는 각각 ‘비식별 정보’일지 몰라도 이 두개의 정보를 합치면 해당 정보가 누군의 것인지 알 수 있는 ‘식별 정보’가 될 수 있다는 것이다.
고환경 법무법인 광장 변호사는 “빅데이터 가이드라인만으로는 극복할 수 없는 한계가 곳곳에서 발견된다”며 “개인정보보호법은 모든 법적 규제가 형사 책임과 연관돼 있기 때문에 가이드라인만으로는 섣불리 개인정보를 활용할 수 있다고 조언할 수 없는 상황”이라고 말했다.
실제 금융회사들은 정부에 비식별화의 방법까지 정해달라고 주문했다. 금융회사들은 “비식별화된 정보라고 하더라도 몇단계를 거쳐 식별화되는 경우가 있기 때문에 비식별화 방법을 명확히 정해주고 추후 문제삼지 말아야 활용할 수 있을 것 같다”고 말하고 있다. 금융위는 금융보안원을 중심으로 업계 전문가 회의를 거쳐 9월말까지 비식별화 방안을 도입하겠다고 밝혔다.
또 개인정보보호 문제와 개인정보보안 문제를 확실히 구별해야 한다는 지적도 나온다. 2014년 신용카드 정보 유출사태는 개인정보 보안이 허술해 발생한 문제인데, 이를 법과 제도를 통해 개인정보보호를 과도하게 강화하는 방식으로는 문제가 해결되지 않는다는 것이다.
KB국민은행과 SNS 등의 정보를 활용한 새 신용평가 모델을 구축 중인 이영환 건국대학교 교수는 “새 신용평가 모델을 검증하려고해도 활용할 수 있는 데이터의 제한 범위나 심지어 물리적인 규제마저 있어 연구를 진행하는 데 많은 어려움이 있다”며 “개인정보 시장은 법적으로 꽉 조여 매는 것보다는 산업적인 측면에서 육성할 필요가 있다”고 강조했다.
◆ 美도 개인정보보호 규제 강화 추세지만 사전 규제보다는 엄격한 사후 처벌
개인정보를 마케팅 측면에서 가장 활발하게 활용하는 미국도 개인 정보 활용 범위를 두고 ‘빅브라더 논란’이 불거지면서 개인 정보 보호 규제를 강화하고 있다.
2014년 5월 미국 연방거래위원회(FTC)는 액시엄(Axiom), 코어로직(Core Logic) 등 주요 개인정보 수집업체 9곳을 대상으로 벌인 조사 결과를 토대로 110쪽에 달하는 공식 보고서를 내고 미 의회에 관련 규제를 강화해줄 것을 주문했다. 개인정보 업체들이 몸무게, 소비패턴, 가족 건강, 정치 종교 성향 등 한 사람당 총 1500개에 달하는 개인 정보를 실시간으로 추적하고 있지만 수집 과정에 대한 투명성이 부족하다는 이유에서다.
이에 미국 정부는 소비자 사생활 권리장전(Consumer Privacy Bill of right)을 발표하는 등 개인 정보 보호규제를 강화하고 있다. 하지만 이 같은 움직임에도 미국의 개인정보 보호 수준은 한국과 비교했을 때 여전히 상대적으로 느슨하다. 2015년 2월 27일 발표된 권리 장전의 초안을 보면 우리나라와 달리 미국에서는 합법적으로 접근 가능한 정보는 개인 정보로서 법의 보호를 받지 못한다.
반면 개인정보보호법을 어긴 기업에 대한 처벌 규정은 매우 엄격한 편이다. 예를 들어 소셜네트워크서비스(SNS)업체인 페이스북은 상품의 구매정보를 페이스북 친구들에게 알리는 비컨(beacon) 서비스를 고객 동의 없이 운영했다가 9500만달러 규모의 보안펀드를 조성하라는 판결을 받기도 했다.
페어아이작 코리아의 곽성진 상무는 “해외와 달리 국내는 아직 개인 정보를 지금보다 더 활용해야 한다는 여론을 불러일으킬 만한 촉매제(트리거)가 없는 상황으로 보인다”며 “이에 따라 빅데이터 활용 수준도 해외와 달리 매우 뒤처지고 있다”고 말했다.