AI 가명처리로 대안신용평가 앞당긴다…개인정보보호 규제 완화 과제 남아

핵심 요약

- 신용정보원이 AI 활용 가명처리 모델을 개발하여 9개 금융사와 시범 테스트 완료 - 현행 개인정보보호 규제의 엄격함이 가명처리 및 암호화 과정의 시간 지연 야기 - 대안신용평가 활성화를 위해서는 개인정보 활용 규제 합리화가 시급한 상황

주요 내용

신용정보원이 인공지능(AI) 기술을 활용한 가명처리 모델을 개발하고 9개 금융사를 대상으로 시범 테스트를 성공적으로 마쳤다. 이는 대안신용평가 체계 구축의 기술적 토대를 마련했다는 점에서 의미가 크다. 대안신용평가는 기존 신용등급이 낮거나 신용이력이 부족한 금융소외계층에게도 공정한 금융 기회를 제공하는 포용금융의 핵심 수단이다.

그러나 현장에서는 개인정보보호 규제가 지나치게 엄격하다는 지적이 나온다. 금융사들은 고객 데이터를 가명 처리한 후 암호화하는 과정에서 상당한 시간이 소요되며, 이는 실시간 신용평가가 필요한 금융 서비스에서 실용성을 떨어뜨리는 요인이 되고 있다. AI 모델이 개발되었음에도 실제 현업 적용까지는 아직 넘어야 할 산이 많은 상황이다.

금융권에서는 개인정보 활용과 보호 사이의 균형점을 찾는 것이 시급하다고 입을 모은다. 특히 AI 기반 가명처리 기술이 이미 검증된 만큼, 규제 샌드박스 확대나 가명정보 결합 절차 간소화 등 제도적 개선이 필요하다는 목소리가 높다. EU의 GDPR도 가명처리 데이터에 대해서는 일정 부분 규제를 완화하고 있다는 점에서, 우리나라도 포용금융 확대를 위한 규제 합리화를 검토해야 할 시점이다.

신용정보원의 AI 가명처리 모델은 자연어 처리(NLP)와 패턴 인식 기술을 활용해 개인식별정보를 자동으로 탐지하고 가명 처리하는 방식으로, 기존 수작업 대비 처리 속도를 획기적으로 개선했다. 향후 이 기술이 전 금융권으로 확산되면 청년·프리랜서·영세자영업자 등 신용이력이 부족한 계층의 금융접근성이 크게 향상될 것으로 기대된다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 금융권의 AI 가명처리 도입은 개인정보 생명주기 관리의 '최소화 원칙'과 '목적 제한 원칙'을 기술적으로 구현한 모범 사례다. 다만 실무에서는 가명처리 적정성 판단 기준이 모호하고, 재식별 가능성에 대한 책임 소재가 불분명해 금융사들이 보수적으로 접근할 수밖에 없는 구조다. ISMS-P 인증 심사 시에도 가명정보 처리 통제항목(2.8.3)에서 재식별 위험 평가 및 안전조치를 엄격히 검토하는데, 이러한 심사 기준과 현장의 혁신 요구 사이에 간극이 존재한다.

기업 대응 방향으로는 우선 AI 가명처리 모델 도입 시 '개인정보 영향평가(PIA)'를 선제적으로 수행하여 법적 리스크를 최소화해야 한다. 또한 가명정보 처리 전 과정을 문서화하고, 재식별 시도 모니터링 체계를 구축하는 것이 필수적이다. 금융권은 개인정보보호위원회 및 금융위원회와 긴밀히 협의하여 'AI 기반 가명처리 가이드라인' 마련을 요청하고, 규제 샌드박스를 적극 활용해 실증 사례를 축적해 나가야 한다.

CPPG·ISMS-P 연계 포인트

가명정보 처리 (개인정보보호법 제28조의2) 가명정보는 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리된 정보로, 통계작성·과학적 연구·공익적 기록보존 목적으로 정보주체 동의 없이 처리 가능하다. 다만 재식별을 위한 추가정보는 별도 분리 보관해야 하며, AI 가명처리 시에도 이러한 안전조치 의무는 동일하게 적용된다.

ISMS-P 인증기준 2.8.3 (가명·익명처리) 조직은 개인정보 가명·익명처리 시 처리 목적·방법·재식별 위험 등을 고려한 적정성 검토를 수행해야 한다. AI 모델 활용 시에도 처리 알고리즘의 안전성 검증, 처리 결과에 대한 샘플링 검증, 재식별 시도 탐지 체계 등이 심사 시 주요 확인 사항이 된다.