eIDAS2 디지털 신분지갑, KYC '데이터 흡수'가 남긴 숙제 — 한국 금융API가 함께 점검해야 할 것들 작성자 정보 세계소식작성 작성일 26/07/04 08:18 컨텐츠 정보 2 조회 eIDAS2 디지털 신분지갑, KYC...동영상 목록 본문 ▶ 동영상 보기 동영상 바로 보기 유럽연합(EU)이 추진하는 eIDAS2 규정과 그 핵심 도구인 유럽 디지털 신분지갑(EUDI Wallet)이 본인확인(KYC) 방식을 근본적으로 바꾸는 단계에 들어섰다. eIDAS2는 2024년 발효된 개정 규정으로, 회원국이 시민에게 신분·자격 정보를 담을 수 있는 디지털 지갑을 제공하도록 요구한다. 은행 계좌 개설, 대출 신청, 정부 서비스 접근 같은 절차에서 개인이 지갑에 담긴 검증된 신원 속성만 선택적으로 제시하도록 설계됐다는 점이 기존 종이·PDF 기반 절차와 크게 다르다. 회원국들의 실제 지갑 배포는 2026년 하반기부터 순차적으로 진행되는 것으로 알려졌으며, 아직 국가별 진척도에는 편차가 있다.최근 유럽 개인정보 보호 진영과 시민단체에서 제기된 '데이터 흡수(data absorption)' 우려의 핵심은 이렇다. 디지털 신분지갑이 KYC를 편리하게 만드는 것은 맞지만, 그 과정에서 금융회사나 서비스 사업자가 필요 이상의 신원 속성을 요청하고 한 번 받은 데이터를 계속 축적·연계할 유인이 생긴다는 것이다. 원래 eIDAS2의 설계 철학은 '선택적 공개(selective disclosure)'와 '데이터 최소화'다. 예컨대 성인 여부만 확인하면 되는 서비스에 생년월일 전체를 넘길 필요가 없다는 개념이다. 그러나 실무에서 사업자가 '최소한'을 어떻게 해석하느냐, 그리고 지갑을 매개로 수집된 데이터가 다른 목적으로 재사용되지 않도록 어떻게 강제하느냐가 규정과 현실 사이의 틈으로 남아 있다. 법적으로 보면 GDPR의 목적 제한·최소 수집 원칙이 이 틈을 메워야 하지만, 지갑 생태계 특유의 데이터 흐름을 얼마나 촘촘히 통제할지는 하위 이행법(implementing acts)의 세부에 달려 있다.이해관계는 단순하지 않다. 은행과 핀테크 입장에서는 검증된 신원을 표준화된 형태로 받을 수 있다면 온보딩 비용과 사기 위험이 줄어드는 명백한 이점이 있다. 반면 이들이 확보한 데이터는 신용평가, 마케팅, 교차판매의 원천이 될 수 있어 규제기관은 경계한다. 여기에 지갑의 기술 표준을 두고 대형 IT 기업과 유럽 토종 신원 사업자 간 주도권 다툼도 얽혀 있다. 유럽 내 반응은 대체로 '방향은 옳지만 안전장치가 관건'이라는 신중론으로 모인다. 일부 회원국과 감독기구는 지갑 사용 이력이 사업자에게 과도하게 노출되면 시민이 추적당한다는 인상을 받아 채택률 자체가 떨어질 수 있다고 지적한다. 편리함과 신뢰는 이 사안에서 상충하는 것이 아니라 함께 확보돼야 하는 조건이라는 얘기다.한국 독자에게 이 사안이 의미 있는 이유는 우리 금융 인프라가 이미 유사한 구조로 이동하고 있기 때문이다. 마이데이터, 오픈뱅킹, 그리고 각종 본인확인 기반 금융API는 '검증된 데이터를 다른 기관이 받아 쓰는' 방식이라는 점에서 eIDAS2의 지갑 생태계와 문제의식이 겹친다. 유럽이 지금 씨름하는 질문들 — 어떤 속성까지 요청하는 것이 '필요 최소'인가, 한 번 넘어간 데이터의 재사용을 어떻게 막는가, 이용자가 자신의 정보 흐름을 실제로 통제하고 있다고 느끼게 만드는가 — 은 한국 금융API를 점검할 때도 그대로 적용된다. 특히 API 연동 과정에서 응답값에 불필요한 개인정보 필드가 관성적으로 포함되지는 않는지, 동의 범위와 실제 데이터 전달 범위가 일치하는지, 로그와 감사 추적이 남는지를 다시 볼 필요가 있다. 다만 유럽의 이행 세부가 아직 확정되지 않았고 회원국별 운영 방식도 유동적이라는 점에서, 현 단계의 결론을 한국에 그대로 이식하기보다는 방향과 리스크 목록으로 참고하는 편이 합리적이다. 정책·표준의 구체 내용은 시간이 지나며 바뀔 수 있으므로 최신 정보 확인을 권한다. 자주 묻는 질문(FAQ) eIDAS2가 기존 본인확인 방식과 가장 크게 다른 점은 무엇인가요?종이나 PDF, 대면 확인 대신 디지털 신분지갑에 담긴 검증된 신원 속성을 이용자가 선택적으로 제시한다는 점입니다. 필요한 정보만 골라 넘기는 '선택적 공개'가 핵심 설계 철학입니다. '데이터 흡수'가 정확히 무엇을 뜻하나요?지갑을 매개로 서비스 사업자가 필요 이상의 신원 정보를 요청하고, 한 번 받은 데이터를 축적·연계해 원래 목적 외로 재사용할 유인이 생기는 현상을 가리킵니다. 규정상 데이터 최소화 원칙과 충돌하는 지점입니다. 한국 금융API 이용자에게 당장 영향이 있나요?직접적인 법적 영향은 없습니다. 다만 마이데이터·오픈뱅킹 등 검증된 데이터를 기관 간 전달하는 구조가 유사하므로, 동의 범위와 실제 데이터 전달 범위의 일치 여부를 점검하는 참고 사례로서 의미가 있습니다. 0 추천
유럽연합(EU)이 추진하는 eIDAS2 규정과 그 핵심 도구인 유럽 디지털 신분지갑(EUDI Wallet)이 본인확인(KYC) 방식을 근본적으로 바꾸는 단계에 들어섰다. eIDAS2는 2024년 발효된 개정 규정으로, 회원국이 시민에게 신분·자격 정보를 담을 수 있는 디지털 지갑을 제공하도록 요구한다. 은행 계좌 개설, 대출 신청, 정부 서비스 접근 같은 절차에서 개인이 지갑에 담긴 검증된 신원 속성만 선택적으로 제시하도록 설계됐다는 점이 기존 종이·PDF 기반 절차와 크게 다르다. 회원국들의 실제 지갑 배포는 2026년 하반기부터 순차적으로 진행되는 것으로 알려졌으며, 아직 국가별 진척도에는 편차가 있다.최근 유럽 개인정보 보호 진영과 시민단체에서 제기된 '데이터 흡수(data absorption)' 우려의 핵심은 이렇다. 디지털 신분지갑이 KYC를 편리하게 만드는 것은 맞지만, 그 과정에서 금융회사나 서비스 사업자가 필요 이상의 신원 속성을 요청하고 한 번 받은 데이터를 계속 축적·연계할 유인이 생긴다는 것이다. 원래 eIDAS2의 설계 철학은 '선택적 공개(selective disclosure)'와 '데이터 최소화'다. 예컨대 성인 여부만 확인하면 되는 서비스에 생년월일 전체를 넘길 필요가 없다는 개념이다. 그러나 실무에서 사업자가 '최소한'을 어떻게 해석하느냐, 그리고 지갑을 매개로 수집된 데이터가 다른 목적으로 재사용되지 않도록 어떻게 강제하느냐가 규정과 현실 사이의 틈으로 남아 있다. 법적으로 보면 GDPR의 목적 제한·최소 수집 원칙이 이 틈을 메워야 하지만, 지갑 생태계 특유의 데이터 흐름을 얼마나 촘촘히 통제할지는 하위 이행법(implementing acts)의 세부에 달려 있다.이해관계는 단순하지 않다. 은행과 핀테크 입장에서는 검증된 신원을 표준화된 형태로 받을 수 있다면 온보딩 비용과 사기 위험이 줄어드는 명백한 이점이 있다. 반면 이들이 확보한 데이터는 신용평가, 마케팅, 교차판매의 원천이 될 수 있어 규제기관은 경계한다. 여기에 지갑의 기술 표준을 두고 대형 IT 기업과 유럽 토종 신원 사업자 간 주도권 다툼도 얽혀 있다. 유럽 내 반응은 대체로 '방향은 옳지만 안전장치가 관건'이라는 신중론으로 모인다. 일부 회원국과 감독기구는 지갑 사용 이력이 사업자에게 과도하게 노출되면 시민이 추적당한다는 인상을 받아 채택률 자체가 떨어질 수 있다고 지적한다. 편리함과 신뢰는 이 사안에서 상충하는 것이 아니라 함께 확보돼야 하는 조건이라는 얘기다.한국 독자에게 이 사안이 의미 있는 이유는 우리 금융 인프라가 이미 유사한 구조로 이동하고 있기 때문이다. 마이데이터, 오픈뱅킹, 그리고 각종 본인확인 기반 금융API는 '검증된 데이터를 다른 기관이 받아 쓰는' 방식이라는 점에서 eIDAS2의 지갑 생태계와 문제의식이 겹친다. 유럽이 지금 씨름하는 질문들 — 어떤 속성까지 요청하는 것이 '필요 최소'인가, 한 번 넘어간 데이터의 재사용을 어떻게 막는가, 이용자가 자신의 정보 흐름을 실제로 통제하고 있다고 느끼게 만드는가 — 은 한국 금융API를 점검할 때도 그대로 적용된다. 특히 API 연동 과정에서 응답값에 불필요한 개인정보 필드가 관성적으로 포함되지는 않는지, 동의 범위와 실제 데이터 전달 범위가 일치하는지, 로그와 감사 추적이 남는지를 다시 볼 필요가 있다. 다만 유럽의 이행 세부가 아직 확정되지 않았고 회원국별 운영 방식도 유동적이라는 점에서, 현 단계의 결론을 한국에 그대로 이식하기보다는 방향과 리스크 목록으로 참고하는 편이 합리적이다. 정책·표준의 구체 내용은 시간이 지나며 바뀔 수 있으므로 최신 정보 확인을 권한다. 자주 묻는 질문(FAQ) eIDAS2가 기존 본인확인 방식과 가장 크게 다른 점은 무엇인가요?종이나 PDF, 대면 확인 대신 디지털 신분지갑에 담긴 검증된 신원 속성을 이용자가 선택적으로 제시한다는 점입니다. 필요한 정보만 골라 넘기는 '선택적 공개'가 핵심 설계 철학입니다. '데이터 흡수'가 정확히 무엇을 뜻하나요?지갑을 매개로 서비스 사업자가 필요 이상의 신원 정보를 요청하고, 한 번 받은 데이터를 축적·연계해 원래 목적 외로 재사용할 유인이 생기는 현상을 가리킵니다. 규정상 데이터 최소화 원칙과 충돌하는 지점입니다. 한국 금융API 이용자에게 당장 영향이 있나요?직접적인 법적 영향은 없습니다. 다만 마이데이터·오픈뱅킹 등 검증된 데이터를 기관 간 전달하는 구조가 유사하므로, 동의 범위와 실제 데이터 전달 범위의 일치 여부를 점검하는 참고 사례로서 의미가 있습니다.