Ⅰ. 서론
현행 개인정보보호법은 개인정보 목적을 달성한 날로부터 3개월 이내 삭제하도록 규정하고 있고, 신용정보법 등에서는 신용정보 제공과 이용자 간의 상거래 효과가 종료된 날로부터 최장 5년 이내에 해당 신용정보를 삭제하도록 규정한다. 이에 신용정보법이 개정된 이후 금융회사는 법령이 정하는 개인신용정보 파기 가이드 기준으로 개인신용정보 유형별 파기 기준을 마련하고, 파기 요건에 맞게 파기 프로세스를 자체 구축하거나, 개인정보 라이프사이클 관리 솔루션으로 개인신용정보를 파기하고 있다.
하지만, 최근 금융감독원은 금융거래 효과가 종료된 날로부터 5년이 경과한 고객의 신용정보를 삭제하지 않거나 다른 고객정보와는 별도의 분리보관 의무를 준수하지 않은 금융회사를 표 1과 같이 제재했다.
표 1. 금융감독원 금융거래 효과 종료고객 관련 제재현황[1]~[4]
Table 1. Financial Supervisory Service (FSS) Sanctions related to non-deletion of closed customers
금융거래 효과가 종료된 고객의 개인신용정보 파기 및 분리보관 작업은 고객정보를 기준으로 고객이 갖는 상품, 거래 성격에 따라 거래가 종료되었다고 고객정보를 일괄 파기하기 어려운 상황이다. 따라서, IT 업무 담당자의 경험으로 사전에 해당 거래의 연관성을 분석하여 파기 대상과 파기 순서를 정해야 한다. 이 분석 과정이 미흡시 보유기간이 경과되었음에도 파기되지 않거나 일부만 파기되어 컴플라이언스 이슈가 발생한다.
본 논문에서는 금융거래 효과가 종료된 고객의 거래기준으로 개인신용정보 파기 대상 범위를 객관적으로 식별하고, 시각화 방안을 제시한다.
Ⅱ. 관련 연구
1. 금융회사의 개인신용정보 법령 및 파기 기준
가. 개인신용정보 파기에 대한 법령 적용 관계
개인신용정보 파기는 개인정보보호법 제21조, 신용 개인정보의 파기, 신용정보법 제20조의 2 개인 신용정보보유 기간 등, 제17조의 2 개인신용정보의 관리방법, 정보통신망법 제29조 개인정보의 파기, 동법 시행령 제16 조에 명시하고 있다.
금융회사의 개인정보와 관련한 법률 간의 해석과 규제 미준수에 따른 과징금 등의 실무적인 처리 혼란으로 금융위원회는 고유식별정보와 신용정보를 구분하지 않고 그림 1과 같이 금융회사가 금융거래 등과 관련된 모든 신용정보를 신용정보법을 적용하고, 일반 상거래회사는 개인정보 보호법과 정보통신망법을 적용하도록 가이드한다.[5]
그림 1. 개인정보 보호 법령 간의 적용 관계
Fig. 1. Applicable relationship between privacy laws
나. 금융회사의 개인신용정보 범위 및 보존 기한
금융회사는 여신, 수신, 내/외국환의 은행 업무, 펀드, 신용카드 등의 경영 업무 및 수납 및 지급대행, 대여금고, 상품권과 같은 판매대행 업무를 수행하기 위해 특정 신용정보 주체를 확인할 수 있는 식별정보, 신용거래정보, 신용도 판단정보, 신용능력정보, 기타 신용평가를 위한 정보, 가명 정보 등의 개인신용정보를 관리하며, 표 2와 같이 개인신용정보를 의무적으로 수집하고 금융거래효과가 종료된 이후의 보존기간이 경과한 시점에 1단계로 3개월이 지난 보유한 고객정보 중 성명, 주민번호, 연락처 등의 필수항목을 제외하고 해당 데이터를 삭제하고, 2단계로 5년이 경과한 데이터는 파기하고, 별도 시스템에 분리 보관하여 내부직원의 접근을 통제해야 한다.[7]
표 2. 금융회사의 개인신용정보 유형별 보존 기한[6]
Table 2. Destruction standards for each type of personal credit information of financial companies Simulation
2. 금융거래 계약
가. 금융거래 계약 유형과 종료 판단 기준
금융거래는 금융회사가 취급하는 다양한 상품을 고객이 계약을 체결하는 것으로 일반적으로 표 3과 같이 1인 다계좌 또는 1계좌 다인의 관계를 가진다.[7] 1인 다계좌는 고객의 여수신 계약이 성립되면 각 업무별 계좌원장과 거래내역이 발생하는 것이고, 1계좌 다인의 관계는 담보 대출과 같이 차주와 보증인, 계좌이체의 송금 인과수취인 간의 연관된 거래내역이 발생한다.
표 3. 금융거래 계약 유형별 파기 제약사항
Table 3. Restrictions on termination by type of financial commerce contract
금융위원회의 가이드라인에 의하면, 신용 정보 주체와 금융회사 간 모든 금융거래가 종료되거나 회원이 탈회한 시점, 모든 계좌가 폐쇄된 시점, 모든 채권과 채무 효과가 종료된 시점, 모든 보험계약 해지 또는 보험기간이 만료된 시점이 금융거래 효과가 종료된 것을 의미한다.[8]
나. 금융거래 계약의 연관 관계
차주와 보증인, 송금인과 수취인 간의 금융거래 효과가 종료는 표 4와 같이 관련자의 거래종료 여부와 상관없이 정보주체인 계약 당사자의 개인신용정보 보존기한이 경과한 시점에 따라 파기 대상을 선정해야 한다.
표 4. 금융거래의 개인신용정보 연관 관계
Table 4. Transaction Associations in Financial Commerce
따라서, 거래 주체와 관련자 간의 개인정보 라이프사이클 보장을 위해 데이터 간의 연관 관계(Relationship)확인이 필요하다. [7]
기존 연구에서는 데이터 역공학(Reverse Engineering) 방식으로 데이터베이스 내 시스템 카탈로그 정보를 분석으로 기본 키와 외래 키의 구성 칼럼을 기준으로 카디널리티를 확인하여 테이블 간 연관 관계를 확인한다. [9]-[10]데이터베이스 설계 및 관리를 위해 정의한 인덱스 구성칼럼을 활용하여 테이블의 부모와 자식 역할을 확인한다. [11] 또한, 한국데이터산업진흥원에서는 네트워크 분석(Network Analysis) 으로 개체 간의 인과적 활동 관계를 노드(Node)와 링크(Link)로 모형화하여 시각화으로써 데이터와 정의된 관계를 파악하고 분석하기 용이하다. [12]이러한 원리를 활용하여 노드 간 연결 관계로 영향도를 분석한다. [13]
3. 금융거래 효과가 종료된 고객의 개인신용정보 파기 방식과 한계
금융기관은 개인정보 라이프사이클 관리 솔루션 또는 자체 개발한 파기 배치 애플리케이션으로 금융거래 효과가 종료된 고객의 정보를 파기하고 있다. 개인정보 라이프사이클 관리 솔루션을 통한 파기는 DataGenor PDS, SQLCanvas CLM 등의 기능으로 자동적으로 파기 대상 SQL을 현행화하여 데이터를 삭제하는 방식으로 DBMS 시스템 카탈로그의 테이블 외래키 정보로 파기 대상 데이터 간의 상하 연관 관계를 자동 식별한다. 하지만, 대형 금융회사는 다양한 거래 패턴, 대용량의 트랜잭션 처리에 대한 서비스의 안정성을 고려하여 금융거래 유형에 맞게 연관되는 거래를 호출하여 데이터를 변경하는 구조로 응용 애플리케이션이 구현되어 있어 테이블 간의 외래키 설정은 거의 하지 않는다. 또한, 금융거래 유형별 개인신용정보 파기 기준이 상이하므로 하나의 규정된 개인정보 라이프사이클을 적용하는 것은 현실적으로 어렵다.
그래서 금융거래 효과가 종료된 거래, 분리보관 대상이 되는 개인신용정보 고객과 거래 정보를 IT 업무 담당자의 판단으로 해당된 파기 대상(개인신용정보, 분리보관, 거래종료 등)과 파기 SQL을 메타시스템으로 관리하여 자체 개발된 파기 애플리케이션을 통해 정기적으로 데이터를 파기하고 있는 상황이다. 하지만 금융거래 유형과 관련된 데이터가 다수의 시스템에 흩어져 있고, 단위 업무에서도 테이블 간의 외래키가 설정되지 않아 데이터 간의 연관 관계를 식별이 어려운 상황으로 해당 과정은 IT 업무 담당자의 과거 경험과 주관적인 판단에 의존하므로 파기되지 못하거나 파기하지 말아야 하는 데이터까지 파기되는 이슈가 발생한다.
따라서, 전사적으로 실행되는 SQL 문에서 금융거래유형과 관련된 테이블의 상하 관계를 분석하고, 네트워크 분석 기법으로 시각화하여 개인신용정보 파기 대상을 객관적으로 판단할 수 있는 모델을 제시하고 구현한다.
Ⅲ. 개인신용정보 파기대상 범위선정 모델 및 시스템 구현
1. 개인신용정보 파기대상 범위 선정 모델
금융거래 서비스는 관련된 응용 애플리케이션의 SQL 에 의해 조건에 맞는 데이터가 변경 처리된다. 개인신용정보 파기대상 범위선정 모델은 3단계로 수행된 SQL 구문 분석을 통해 테이블 목록을 식별하고, 사전에 정의된 테이블의 인덱스 메타정보를 기반으로 테이블 간의 상하연관 관계를 분석한 후 네트워크 분석 기법으로 파기 대상 데이터 간의 관계를 시각화하는 알고리즘은 그림 2와 같다.
Step1: SQL 문에서 참조하는 테이블 목록 식별
응용 애플리케이션에 의해 실행된 SQL에서 참조하고 있는 테이블 목록을 식별하기 위해 정규 표현식(Reqular Expression)으로 표 5와 같이 테이블 정보가 있는 테이블 구성절과 조건 구성절 사이의 내용만 파싱하고, 중복 배제하여 고유한 테이블 목록만 식별한다.
표 5. SQL 유형별 테이블 구성절
Table 5. Table composition clause by SQL type
Step2 : 테이블 간의 상하 연관관계 분석
금융거래 효과가 종료된 고객의 파기 대상 데이터는 신용 정보 주체의 계약 종료에 영향을 받으므로 해당되는상위인 부모 테이블(Parent Table)의 데이터가 파기되면, 하위인 자식 테이블(Child Table)의 데이터는 종료와 상관없이 같이 파기되어야 한다.
Step1의 테이블 목록에서 기준이 되는 테이블의 기본 키(Primary Key) 구성 칼럼과 비교 대상이 되는 테이블의 기본키와 일반 인덱스 메타정보를 기반으로 각각의 테이블이 부모 테이블 또는 자식 테이블 역할을 하는지 확인한다. 기준이 되는 테이블을 선정하고 기본키 구성칼럼과 비교의 대상이 되는 테이블의 기본키와 일반 인덱스 구성 칼럼을 비교하여 두 테이블의 포함관계를 확인한다. 기준이 되는 테이블의 기본키와 비교 대상이 되는 테이블의 기본키 정보가 동일하면 일대일 관계로 볼 수 있고, 포함하는 관계라면 기준 테이블은 부모 테이블, 비교 대상 테이블은 자식 테이블 역할을 한다. 또한, 기준 테이블의 기본키 구성 칼럼이 비교가 되는 테이블의 일반 인덱스 구성 칼럼과 동일한 경우에도 기준 테이블은 부모 테이블 역할을 한다.
이와 같은 과정을 Step1에서 식별된 테이블을 반복적으로 부모와 자식 테이블의 관계를 분석함으로써, 부모 테이블의 데이터가 파기 대상이 된다면 그와 연관된 자식 테이블도 자동적으로 파기 대상으로 선정하면 한다.
Step3: 파기 대상 데이터 간의 관계 시각화
Step2의 테이블 간의 상하 연관 관계를 네트워크 분석(Network Analize) 기법으로 Step1의 식별 테이블을 노드(Node)로 정의하고 Step2에서 분석된 부모 테이블과 자식 테이블 순으로 정의된 노드를 유방향 그래프 방식으로 링크를 상호 의존 관계를 시각화한다. 이 때 그래프의 방향은 테이블의 하위 관계를 의미하는 것으로, 연결 되어 있다면 두 테이블의 관계는 부모 테이블과 자식 테이블의 역할을 수행하다고 IT 업무 담당자에게 직관적으로 제공한다.
그림 2. 개인신용정보 파기대상 범위선정 알고리즘
Fig. 2. Algorithm for selecting the scope of personal credit information destruction
2. 시스템 구현
가. 시스템 구성도
각종 단위 업무에서 실시간 수행한 SQL과 DB 상태정보는 DB 모니터링시스템에 통합 관리하고 있다. DB 모니터링시스템의 Repository 에 저장된 SQL 과 테이블의 인덱스 정보를 그림 3와 같이 수집하여 Python 으로 테이블의 상하 연관 관계를 구현하였다.
그림 3. 시스템 구성도
Fig. 3. System Diagram
나. 시스템 구현 결과
A 금융회사의 DB 모니터링시스템에 저장된 특정 기간의 SQL 정보에서 그림 4와 같이 XXX1L 테이블을 포함하는 SQL 만 검색하고, 각 SQL 별 참고하는 테이블 목록과 중복 배제한 6개의 테이블을 참고하고 있는 것을 확인할 수 있다.
그림 4. SQL 문에서 연관된 테이블 목록 식별 결과
Fig. 4. Result of identifying list of associated tables in a SQL statement
전 단계에서 최종적으로 식별된 6개의 테이블의 인덱스 정보를 통해 6개의 테이블 상하 연관 관계를 분석하여 그림 5와 같이 부모 테이블과 자식 테이블의 쌍으로 표현하였다.
그림 5. 테이블 간의 상하 연관관계 분석 결과
Fig. 5. Results of analysis of parent and child correlations between tables
전 단계의 부모와 자식 간의 테이블 관계를 파악한 노드와 엣지 정보로 그림 6와 같이 시각화 하였다. 6개의 테이블 중 XXX1L, XXX1M, XXX2F 테이블은 XXX6F 테이블의 부모 역할을 하며, XXX1M과 XXX2F 테이블은 일대일의 동일한 관계이며, XXXPD, XXXMG 테이블은 연관 관계가 없는 것 확인할 수 있다.
그림 6. 파기대상 데이터 간의 관계 시각화 결과
Fig. 6. Visualization result of relationship between data to be destroyed
이 결과로 XXX1L, XXX1M, XXX2F 테이블의 데이터가 삭제되면 하위인 XXX6F 테이블의 연관된 데이터까지 파기 대상이 된다. 반대로 XXX6F 데이터 파기 대상이더라고 상위인 테이블이 파기 대상이 되지 않으므로 XXX6F까지 파기대상에서 제외됨을 확인할 수 있다.
Ⅳ. 결론
본 논문에서는 단위 업무시스템에서 처리되고 있는 다양한 금융거래 유형별 개인신용정보 파기 기준에 맞게 데이터의 상하 연관 관계 분석하고 네트워크 분석기법으로 시각화하여 파기 대상과 순서를 객관적으로 판단할 수 있도록 개인신용정보 파기 대상 범위선정 모델을 제시하고, 전산 프로세스를 구현하였다.
이 모델은 기존 ERD 도구 및 데이터베이스 참조 무결성이 정의되지 않은 환경에서도 응용 애플리케이션에서 실행되는 SQL과 인덱스 정보로 참고하는 테이블의 상하계층 관계를 분석하고 시각화하여 IT 업무 담당자가 파기 대상을 쉽게 판단할 수 있도록 제공한다. 이를 통해 개인신용정보 파기가 누락되거나 파기되지 말아야 하는 데이터까지 파기되는 리스크를 예방할 수 있다.
또한, 마이데이터 산업 등으로 산업 간의 경계가 허물어져 가는 빅블러(Bigblur) 현상에서 신용정보법 대상이 아닌 이종 산업 간의 금융 데이터와 결합된 데이터까지도 신용정보법에 의해 개인신용정보 파기 대상이 되므로 해당 모델을 활용할 수 있을 것으로 보인다.
다만, DB 모니터링시스템과 단위 업무의 SQL 이 통합 관리되는 환경이 필요하며, 전사적으로 데이터 표준화가 수립되어 동일 성격의 데이터는 동일한 표준용어로 테이블 칼럼으로 정의한 경우에만 해당 파기 대상으로 선정되는 한계가 있다.
향후 연구에서는 비표준 데이터 업무 환경에서도 테이블의 상하 연관관계를 식별하여 개인신용정보 파기 대상을 판단할 수 있는 모델이 필요하다.
References
- yunhap news, "Financial transaction termination customer credit information not deleted... Kyongnam Bank fined for negligencence" Korean economy, June 2021. https://www.hankyung.com/society/article/202106218534Y
- Jin-sol Kim, "Hyundai Card does not delete personal information of customers who have closed transactions after 5 years", Good Morning Economy, Nov 2020. http://www.kpinews.co.kr/news/articleView.html?idxno=131298
- Seo-yeon Yoon, Gil-Dong Hong, "Financial Supervisory Service imposes fines on Shinhan Card for not deleting customer information", INFOSTOCK DAILY, May 2021. http://www.infostockdaily.co.kr/news/articleView.html?idxno=139077
- Yoon-hee Kim, "A fine of 14.5 million won for 5 business operators who violated their obligation to view and destroy personal information", ZDNet Korea, Nov 2021. https://zdnet.co.kr/view/?no=20211124140053
- Ki-yeol Yoon, "The Concept of the Personal Credit Information in the Credit Information Act of 2020 - From the perspective of the Insurance of Korea -", Korean Insurance Academic Society, pp. 43-47, Apr 2021 DOI: http://dx.doi.org/10.17342/KIJ.2021.126.2
- Personal Information Protection Committee Korea Internet & Security Agency, "Online Personal Information Processing Guidelines", pp. 24, Dec 2020.
- Dong-Gi Kim, "Although the financial sector responded to 'management of customers'... actually", BIKorea, March 2016 http://m.bikorea.net/news/articleView.html?idxno=13714
- Financial Supervisory Service, "Financial sector personal information protection guidelines", pp. 57, Dec 2016.
- In-Hwan Jung, Young-Ung Kim, "ER_Modeler : A Logical Database Design Tool based on Entity-Relationship Model", pp. 1, Oct 2011. DOI : http://www.earticle.net/Article.aspx?sn=159343
- In-Hwan Jung, Young-Ung Kim, "ER_Modeler : A Logical Database Design Tool based on Entity-Relationship Model", pp. 1, Oct 2011. DOI : http://www.earticle.net/Article.aspx?sn=159343
- DongChan Lee and Sangjin Lee, "Reserach of organized data extraction method for digital investigation in relational database system," Graduate School of Information Management and Security Korea University, pp. 566-571, May 2012.
- KOREA Data Agency, "Theory and application examples of network analysis" KOREA Data Agency, Nov 2016. https://dataonair.or.kr/db-tech-reference/d-lounge/technical-data/?mod=document&pageid=1&keyword=network+analysis&uid=235771
- Dae-Gwi Park, Seung-Hee Kim, "Analysis of the Impact Relationship for Risk Factors on Big Data Projects Using SNA", The Journal of The Institute of Internet, Broadcasting and Communication(JIIBC), Vol. 21, No. 1, pp. 81-82, Feb 2021. DOI: http://doi.org/10.72396/JIIBC.2021.21.1.79