2020.01.22

비자, 핀테크 업체 인수··· '개인정보 재사용' 우려

Scott Carey | Techworld
건강, 금융 등 사용자가 개인정보 수집 및 이용을 동의해야 하는 서비스들이 있다. 이러한 서비스 업체가 대기업에 인수된다면? 거대 기업들의 인수합병 과정에서 데이터 관련 이슈가 늘어나고 있다. 인수 기업이 피인수 기업의 데이터를 어떻게 활용할지에 대한 우려가 커지고 있다. 

비자는 2020년 1월 핀테크 스타트업 플레이드(Plaid)를 인수한다고 발표했다. 인수 금액은 미화 53억 달러(한화 약 6조 원)이다. 미국 샌프란시스코에 본사를 둔 플레이드는 트랜스퍼와이즈 (Transferwise), 벤모 (Venmo) 등 다양한 핀테크 앱과 사용자의 은행 계좌를 연결하는 네트워크 인프라를 개발했다. 

언뜻 보기에 이번 인수는 비자가 디지털 시대에 맞는 포트폴리오를 구축하고, 전통적인 수익원이었던 카드 거래를 넘어서 디지털 결제 시장에 대응하려는 전략으로 풀이된다. 그러나 플레이드의 기존 고객들은 이 거래의 진짜 의미를 알고 있을까? 
 
ⓒGetty Images

비자가 얻는 것은 무엇인가? 
테크놀로지 애널리스트 벤 톰슨은 “비자와 플레이드는 비슷한 측면이 있다. 특히 비자의 초기 네트워크와 비슷하다. 플레이드는 비자가 인수한 핀테크 스타트업이다”라고 말하며 다음과 같이 설명을 시작했다.  

그에 따르면 또 다른 핀테크 스타트업인 스프라이트(Stripe)처럼 플레이드는 디지털 파이프라인을 제공한다. 이 파이프라인을 통해 소프트웨어 개발자들은 자신들의 앱과 고객의 은행 계좌 정보를 바로 연결할 수 있다. 금융 정보를 얻기 위해 일일이 각 은행과 제휴를 맺을 필요가 없다. 

그런데 미국의 경우 오픈뱅킹과 관련한 정책이 부재해 은행들은 표준화된 API를 가지고 있지 않다고 그는 언급했다. 여기서 플레이드는 사용자의 은행 계좌와 제3의 앱을 연결하는 중개 역할을 한다. 즉 플레이드는 사용자의 로그인 인증 정보를 복사하고, 안전한 거래를 중개한다. 이는 스크린 스크래핑(Screen scraping)으로 알려져 있다. 스크린 스크래핑은 흩어져 있는 정보를 자동으로 추출해 제공하는 기술을 말하는데, 사용자 경험이나 보안 측면에서 모범 사례로 간주되진 않는다. 

톰슨은 “이것이 다소 수상하게 들릴 수 있다. 사실 수상한 것이 맞다. 은행 로그인 정보는 가장 민감한 개인정보 중 하나다. 은행 계좌가 있는 미국인 4명 중 1명은 플레이드와 로그인 정보를 공유한 것으로 추정된다. 거의 모든 사람들이 잘 모른 채로 그렇게 했다”라고 지적했다. 

이어서 그는 “사용자들은 자신들이 얼마나 많은 액세스와 데이터를 거저 주고 있는지 모를 수 있다. 하지만 이와 동시에 사용자들은 은행 계좌 정보를 줘야 하는 새로운 금융 서비스를 이용하길 원한다. 문제는 이러한 사용자들의 의도를 은행이 모르고 있다는 점이다”라고 말했다. 

이를테면 JP모건 체이스는 올해 스크린 스크래핑을 규제하겠다고 발표했다. 또한 JP모건 체이스는 2018년 고객 정보에 접근하는 데 있어 스크린 스크래핑이 아닌 API를 사용하기로 플레이드와 계약을 체결했다. 

JP모건 체이스의 소매금융 사업부 CEO 고든 스미스는 이번 인수와 관련한 보도자료를 통해 “비자의 이번 인수는 사용자가 금융 데이터 사용을 더욱 안전하게 제어할 수 있게 됐다는 점에서 중요한 발전이다"라고 밝혔다.

비자가 얻는 것은 무엇일까? 톰슨이 말했던 것처럼 비자는 사실상 핀테크 시장의 보안 솔루션분야에서 선도적 위치를 차지할 수 있다. 플레이드의 네크워크와 자사의 기존 시스템을 결합해 검증을 위한 안전한 산업 표준을 만들 수 있기 때문이다. 이것은 이번 인수로 기대하는 최상의 시나리오다.

한 가지 잠재적인 걸림돌은 플레이드의 스크린 스크래핑 모델이 영국이나 유럽연합(EU)의 오픈뱅킹 시장에 적합하지 않다는 것이다. 오픈워크(OpenWrks), 트루레이터(TrueLayer), 팅크(Tink) 등 이미 해당 국가들의 오픈뱅킹 정책을 따르고 있는 업체들과 경쟁하려면 빠르게 움직여야 한다. 물론 비자는 성공 확률을 높일 수 있는 내공이 있다. 

개인정보보호를 위한 규제 환경은 어떠한가?
데이터 보안 회사 아노노스의 CEO 개리 라피버는 다른 기업을 인수하는 기업들이 종종 ‘피인수 기업의 데이터를 본래 의도와는 다른 목적으로 재활용'하려고 하는데, 이는 새로운 데이터 보호법에 의거해 법적 문제를 발생시킬 수 있다고 <테크월드>와의 인터뷰에서 언급했다. 이를테면 유럽연합 개인정보보호법(GDPR)이나 캘리포니아주 개인정보보호법(CCPA) 등이다. 

GDPR에 따르면, 합법적인 데이터 사용의 핵심은 ‘개인정보의 가명처리(Pseudonymization)’이다. 이는 다음과 같이 정의된다. '정보를 추가로 사용하지 않고서는 특정 정보 주체를 식별할 수 없도록 개인정보를 처리한다. 이때 추가적인 정보를 분리해 보관하여야 하며, 해당 정보를 이용해 개인을 식별할 수 없도록 기술적, 관리적 조처를 해야 한다.'

인수 기업은 사용자로부터 동의를 구하거나 최소한 이를 통지해야 한다. 또한, 개인정보의 가명처리를 보장해야 한다. 

만약 비자가 개인정보보호에 대한 책임을 다하려면 일정 수준의 투명성을 보장하고, 사용자의 동의를 얻어야 하며, 사용자가 원할 경우 거부할 수 있는 절차를 마련해야 한다. 

라피버는 “데이터 보유는 이제 더 이상 데이터를 처리할 수 있는 권리가 아니다”라고 설명하면서, “기업은 합법적인 과정으로 데이터를 처리한다고 정보 주체에게 통지할 의무가 있다. 이는 개인정보의 가명처리와 기술적 보안장치가 보장돼야 한다. 또한, 정보 주체는 데이터 기반의 광고나 상품 제안을 거부할 권리를 반드시 가져야 한다”라고 덧붙였다.

기존 사용자들의 데이터가 새로운 소유주로 넘어가는 또 다른 인수 사례가 있다. 구글은 최근 21억 달러에 웨어러블 제조사 핏빗을 인수했다

구글의 핏빗 인수에 대해 개인정보 활용을 우려하는 부정적인 목소리가 컸다. 구글은 데이터 공유와 관련한 논란을 명백히 규명해야 하는 상황이었다. 

그 당시 구글의 하드웨어 및 서비스 부문 부사장 릭 오스털로는 블로그를 통해 다음과 같이 밝혔다. “프라이버시와 보안이 무엇보다 중요하다. 구글 제품을 사용할 때 개인정보와 관련해 구글을 신뢰할 수 있어야 한다. 구글은 개인정보보호와 보안에 큰 책임이 있음을 명심하고 있다. 구글은 개인정보를 보호하고 데이터 투명성을 확보하기 위해 최선을 다할 것이다.”

이어서 그는 “구글은 수집하는 데이터와 수집 이유에 대해 투명성을 제공할 것이다. 구글은 누구에게도 개인정보를 판매하지 않을 것이다. 핏빗의 개인정보 데이터는 구글 광고에 사용되지 않을 것이다. 또한 핏빗 사용자가 자신들의 데이터를 확인하고, 옮기며, 삭제할 수 있는 권리를 제공할 것이다”라고 선언했다. 

비자는 구글과 같은 발표를 하진 않았다. 또한 규정상의 승인을 기다리고 있는 상태임을 밝히며, 이번 기사와 관련된 질의에 대답하지 않았다. 영국 공정위(Competition and Markets Authority)는 조사 여부가 결정되지 않은 거래에 대해 추정 답변을 제공하지 않는다는 입장을 밝혔다. ciokr@idg.co.kr



2020.01.22

비자, 핀테크 업체 인수··· '개인정보 재사용' 우려

Scott Carey | Techworld
건강, 금융 등 사용자가 개인정보 수집 및 이용을 동의해야 하는 서비스들이 있다. 이러한 서비스 업체가 대기업에 인수된다면? 거대 기업들의 인수합병 과정에서 데이터 관련 이슈가 늘어나고 있다. 인수 기업이 피인수 기업의 데이터를 어떻게 활용할지에 대한 우려가 커지고 있다. 

비자는 2020년 1월 핀테크 스타트업 플레이드(Plaid)를 인수한다고 발표했다. 인수 금액은 미화 53억 달러(한화 약 6조 원)이다. 미국 샌프란시스코에 본사를 둔 플레이드는 트랜스퍼와이즈 (Transferwise), 벤모 (Venmo) 등 다양한 핀테크 앱과 사용자의 은행 계좌를 연결하는 네트워크 인프라를 개발했다. 

언뜻 보기에 이번 인수는 비자가 디지털 시대에 맞는 포트폴리오를 구축하고, 전통적인 수익원이었던 카드 거래를 넘어서 디지털 결제 시장에 대응하려는 전략으로 풀이된다. 그러나 플레이드의 기존 고객들은 이 거래의 진짜 의미를 알고 있을까? 
 
ⓒGetty Images

비자가 얻는 것은 무엇인가? 
테크놀로지 애널리스트 벤 톰슨은 “비자와 플레이드는 비슷한 측면이 있다. 특히 비자의 초기 네트워크와 비슷하다. 플레이드는 비자가 인수한 핀테크 스타트업이다”라고 말하며 다음과 같이 설명을 시작했다.  

그에 따르면 또 다른 핀테크 스타트업인 스프라이트(Stripe)처럼 플레이드는 디지털 파이프라인을 제공한다. 이 파이프라인을 통해 소프트웨어 개발자들은 자신들의 앱과 고객의 은행 계좌 정보를 바로 연결할 수 있다. 금융 정보를 얻기 위해 일일이 각 은행과 제휴를 맺을 필요가 없다. 

그런데 미국의 경우 오픈뱅킹과 관련한 정책이 부재해 은행들은 표준화된 API를 가지고 있지 않다고 그는 언급했다. 여기서 플레이드는 사용자의 은행 계좌와 제3의 앱을 연결하는 중개 역할을 한다. 즉 플레이드는 사용자의 로그인 인증 정보를 복사하고, 안전한 거래를 중개한다. 이는 스크린 스크래핑(Screen scraping)으로 알려져 있다. 스크린 스크래핑은 흩어져 있는 정보를 자동으로 추출해 제공하는 기술을 말하는데, 사용자 경험이나 보안 측면에서 모범 사례로 간주되진 않는다. 

톰슨은 “이것이 다소 수상하게 들릴 수 있다. 사실 수상한 것이 맞다. 은행 로그인 정보는 가장 민감한 개인정보 중 하나다. 은행 계좌가 있는 미국인 4명 중 1명은 플레이드와 로그인 정보를 공유한 것으로 추정된다. 거의 모든 사람들이 잘 모른 채로 그렇게 했다”라고 지적했다. 

이어서 그는 “사용자들은 자신들이 얼마나 많은 액세스와 데이터를 거저 주고 있는지 모를 수 있다. 하지만 이와 동시에 사용자들은 은행 계좌 정보를 줘야 하는 새로운 금융 서비스를 이용하길 원한다. 문제는 이러한 사용자들의 의도를 은행이 모르고 있다는 점이다”라고 말했다. 

이를테면 JP모건 체이스는 올해 스크린 스크래핑을 규제하겠다고 발표했다. 또한 JP모건 체이스는 2018년 고객 정보에 접근하는 데 있어 스크린 스크래핑이 아닌 API를 사용하기로 플레이드와 계약을 체결했다. 

JP모건 체이스의 소매금융 사업부 CEO 고든 스미스는 이번 인수와 관련한 보도자료를 통해 “비자의 이번 인수는 사용자가 금융 데이터 사용을 더욱 안전하게 제어할 수 있게 됐다는 점에서 중요한 발전이다"라고 밝혔다.

비자가 얻는 것은 무엇일까? 톰슨이 말했던 것처럼 비자는 사실상 핀테크 시장의 보안 솔루션분야에서 선도적 위치를 차지할 수 있다. 플레이드의 네크워크와 자사의 기존 시스템을 결합해 검증을 위한 안전한 산업 표준을 만들 수 있기 때문이다. 이것은 이번 인수로 기대하는 최상의 시나리오다.

한 가지 잠재적인 걸림돌은 플레이드의 스크린 스크래핑 모델이 영국이나 유럽연합(EU)의 오픈뱅킹 시장에 적합하지 않다는 것이다. 오픈워크(OpenWrks), 트루레이터(TrueLayer), 팅크(Tink) 등 이미 해당 국가들의 오픈뱅킹 정책을 따르고 있는 업체들과 경쟁하려면 빠르게 움직여야 한다. 물론 비자는 성공 확률을 높일 수 있는 내공이 있다. 

개인정보보호를 위한 규제 환경은 어떠한가?
데이터 보안 회사 아노노스의 CEO 개리 라피버는 다른 기업을 인수하는 기업들이 종종 ‘피인수 기업의 데이터를 본래 의도와는 다른 목적으로 재활용'하려고 하는데, 이는 새로운 데이터 보호법에 의거해 법적 문제를 발생시킬 수 있다고 <테크월드>와의 인터뷰에서 언급했다. 이를테면 유럽연합 개인정보보호법(GDPR)이나 캘리포니아주 개인정보보호법(CCPA) 등이다. 

GDPR에 따르면, 합법적인 데이터 사용의 핵심은 ‘개인정보의 가명처리(Pseudonymization)’이다. 이는 다음과 같이 정의된다. '정보를 추가로 사용하지 않고서는 특정 정보 주체를 식별할 수 없도록 개인정보를 처리한다. 이때 추가적인 정보를 분리해 보관하여야 하며, 해당 정보를 이용해 개인을 식별할 수 없도록 기술적, 관리적 조처를 해야 한다.'

인수 기업은 사용자로부터 동의를 구하거나 최소한 이를 통지해야 한다. 또한, 개인정보의 가명처리를 보장해야 한다. 

만약 비자가 개인정보보호에 대한 책임을 다하려면 일정 수준의 투명성을 보장하고, 사용자의 동의를 얻어야 하며, 사용자가 원할 경우 거부할 수 있는 절차를 마련해야 한다. 

라피버는 “데이터 보유는 이제 더 이상 데이터를 처리할 수 있는 권리가 아니다”라고 설명하면서, “기업은 합법적인 과정으로 데이터를 처리한다고 정보 주체에게 통지할 의무가 있다. 이는 개인정보의 가명처리와 기술적 보안장치가 보장돼야 한다. 또한, 정보 주체는 데이터 기반의 광고나 상품 제안을 거부할 권리를 반드시 가져야 한다”라고 덧붙였다.

기존 사용자들의 데이터가 새로운 소유주로 넘어가는 또 다른 인수 사례가 있다. 구글은 최근 21억 달러에 웨어러블 제조사 핏빗을 인수했다

구글의 핏빗 인수에 대해 개인정보 활용을 우려하는 부정적인 목소리가 컸다. 구글은 데이터 공유와 관련한 논란을 명백히 규명해야 하는 상황이었다. 

그 당시 구글의 하드웨어 및 서비스 부문 부사장 릭 오스털로는 블로그를 통해 다음과 같이 밝혔다. “프라이버시와 보안이 무엇보다 중요하다. 구글 제품을 사용할 때 개인정보와 관련해 구글을 신뢰할 수 있어야 한다. 구글은 개인정보보호와 보안에 큰 책임이 있음을 명심하고 있다. 구글은 개인정보를 보호하고 데이터 투명성을 확보하기 위해 최선을 다할 것이다.”

이어서 그는 “구글은 수집하는 데이터와 수집 이유에 대해 투명성을 제공할 것이다. 구글은 누구에게도 개인정보를 판매하지 않을 것이다. 핏빗의 개인정보 데이터는 구글 광고에 사용되지 않을 것이다. 또한 핏빗 사용자가 자신들의 데이터를 확인하고, 옮기며, 삭제할 수 있는 권리를 제공할 것이다”라고 선언했다. 

비자는 구글과 같은 발표를 하진 않았다. 또한 규정상의 승인을 기다리고 있는 상태임을 밝히며, 이번 기사와 관련된 질의에 대답하지 않았다. 영국 공정위(Competition and Markets Authority)는 조사 여부가 결정되지 않은 거래에 대해 추정 답변을 제공하지 않는다는 입장을 밝혔다. ciokr@idg.co.kr

X