안녕하세요, 법무법인 디라이트 김동환 변호사입니다. 우선 마이데이터 사업에 대한 전반적인 이해를 돕고, 금융분야와 비금융분야를 구분해서 파악해 보도록 하겠습니다.
마이데이터란 “개인정보주체 본인이 개인정보에 대한 관리 및 통제권한을 온전히 보유하고, 이를 기반으로 개인정보의 활용처 및 활용범위 등에 대해 능동적인 의사결정을 하는 개인정보 관리 및 활용체계”를 의미합니다.
기본적인 컨셉은 위의 도식도와 같습니다. 정보 주체 개인의 동의 하에 데이터를 보유하고 있는 개인이, 마이데이터 서비스 제공자에게 정보 주체 개인의 정보를 전송하고, 정보주체가 마이데이터 서비스 제공자의 개인정보 이용상황을 통제하는 구조입니다.
이런 마이데이터 사업과 가장 밀접한 관련이 있는 법적 권리는 GDPR 하에서의 개인정보 이동권입니다. 이동권이란 컨트롤러(개인정보처리자)로부터 개인이 본인이 제공한 개인정보를 직접 제공받거나, 기술적으로 가능한 경우, 제3자에 해당하는 컨트롤러에게 전송하도록 요구할 수 있는 권리입니다.
컨트롤러가 개인정보 이동권 행사에 따라 개인정보를 제공할 때는 상호 운용성을 보장해야 하는데요. 이에 따라 cvs나 xml 같은 보편적으로 사용되는 포맷으로, 무료로 제공해야 합니다. 이러한 개인정보 이동권의 도입을 통해서 마이데이터 사업의 근간이 마련되고 활성화되고 있다고 보시면 됩니다.
우리나라 개인정보보호법에 이런 이동권이 명시적으로 보장되어 있진 않았습니다. (신용정보법이 개정되면서 내년 2월부터는 이동권과 유사한 전송이동권이라는 개념이 도입되는데, 이에 관해서는 뒤에서 자세히 살펴보도록 하겠습니다.)
다만 그렇다 하더라도 마이데이터 사업모델이 구현 불가능한 것은 아니고, 현재에도 어느정도 구현되어 있습니다.
우리나라에는 열람권이라는 권리가 보장되어 있는데, 이런 열람권을 직접, 혹은 대리인지정을 통해서 행사하는 방식으로 이동권과 유사한 효과를 낼 수 있습니다. 정보주체 본인이 개인 데이터를 본인이 원하는 서비스에서 활용될 수 있도록 하는 것입니다. 그러나 열람권 같은 경우 사실상 실무적으로 잘 이용되고 있진 않습니다. 제공을 요청한다 하더라도 이동권과 달리 컴퓨터에서 처리가 용이한 형태로 제공할 의무가 없기 때문입니다.
그래서 실제로 마이데이터 사업모델을 구현하는 경우, 이런 열람권을 이용하지는 않고 ‘제3자 제공동의’란 방식을 통해서 데이터를 제공받고 있습니다.
아래 도식도를 보시면 될 것 같은데요. 왼쪽이 열람권 관련된 내용이고, 오른쪽이 마이데이터 서비스 모델 예시라고 해서 제 3자 제공 동의 기반 개인정보 이동을 나타내는 것입니다. 조금 특이한 점이, 이제 정보 주체 개인이 개인데이터 보유자의 플랫폼에서 추가 동의를 하는 것이 아니고, 마이데이터 서비스 제공자의 플랫폼에서 열람 위임 동의, 또는 제3자 제공 대리 동의를 통해서 데이터를 제공하게 된다는 것입니다. 마이데이터 서비스 제공자는 개인에게 별도의 제3자 제공동의를 받아서 다양한 서비스에서 데이터를 운용하고 그 내역을 정보주체에게 고지하는 방식으로 사업을 구현합니다.
다만 이런 제3자 제공 동의에 의한 개인 데이터의 이동은, 개인이 직접 주도적으로 컨트롤 할 수 있는 것은 아닙니다. 마이데이터 서비스 제공자가 제시한 기관 간에 데이터를 이동시킬 수 있는 권한을 부여하므로, 이동권에 비해 다소 수동적으로 권리가 적용되는 한계가 있다고 볼 수 있습니다.
하나 더 소개하자면, 이건 금융기관의 지침인데요. 2018년 1월부터 시행되고 있는 ‘지급결제항목 지침’, PSD2가 있습니다.
대략 두 가지 개념만 소개해드리면, 계좌정보서비스 제공업자인 AISP와, 지급지시서비스제공업자인 PISP라는 단어가 있습니다. 단어가 다소 좀 어렵게 느껴질 수 있는데요. AISP는 우리나라 신용정보법에서 지정하고 있는 마이데이터 서비스 사업자, 즉 다시 말해서 본인 신용정보 관리회사와 유사한 개념이고요. PISP는 지금 논의되고 있는 마이 페이먼트 서비스와 관련된 개념으로써 향후 우리나라에 도입될 것으로 생각됩니다.
AISP는, 사용자가 보유하고 있는 금융정보에 접근해서, 사용자의 통합정보조회 서비스를 제공 요청할 수 있는 권한을 가진 사업자입니다. 은행은 정보 주체가 동의할 경우 AISP에게 고객 계좌 정보에 대한 접근을 허용해야 하는 의무가 있습니다. 따라서 도식도에서 보시는 것과 같이, 고객들은 기존에는 은행에 각각 접속해서 정보를 파악해야 했던 걸 앞으로는 AISP를 통해서 일괄적으로 파악할 수 있게 됩니다.
PISP는 고객이 동의할 경우 고객의 은행계좌에서 타인의 계좌로 직접 자동이체할 수 있는 권한을 갖고 있습니다. 역시 도식도를 보면, 카드 네트워크나 상점이 가입한 은행을 통하지 않고, 예컨대 카드 결제 등을 하지 않고도 고객이 직접 은행을 통해 직접 예금 계좌에서 결제를 요청하고 관리할 수 있습니다. 이런 서비스를 통해서 이용자 입장에서는 수수료가 낮아질 뿐 아니라 데이터 이동이 효율적으로 이뤄지는 장점이 있습니다.
이러한 지침은 핀테크 사업의 활성화를 위해서 마련된 것인데, 이와 병행해서 기술 체계 또한 별도로 적용하고 있습니다. 뒤에서 간단히 설명해드리겠지만 기업들이 보유하고 있는 데이터를 호환되도록 구축하기 위해서는 법적인 논의와 병행해 기술적인 협의가 무엇보다도 중요한데요. EU를 비롯한 대다수의 나라에서는 오픈 API를 이용해서 기술 표준을 마련하고 마이데이터 생태계를 구축하고 있습니다.
우리나라에서 금융분야에서의 마이데이터 추진 경과를 간략하게 정리했습니다. 워킹 그룹을 운영하여 기술적인 표준을 구축하고 이를 기반으로 금융결제원 주도하에 ‘오픈뱅킹 서비스’를 시작했는데요. 작년 12월부터 전면 서비스를 시행해서, 핀테크 기업들에게도 오픈 API 이용을 허용하고 있습니다. 아직까지 핀테크 기업 입장에서는 수수료 부담 문제가 있는 것 같긴 한데, 점점 API 이용이 활성화되고 있습니다.
올해 8월부터 신용정보법이 개정/시행되면서 신용정보관리업이라는 업종이 새롭게 등장을 했고, 내년 6월부터는 전송요구권이라는 권리가 도입되어 이런 API가 더 활성화 될 걸로 보이고요. 신용정보법이 개정되어 마이데이터사업자에 관해 허가제도가 도입되는데요. 8월 4일까지 63개의 기업이 예비허가 신청서를 제출한 상황입니다. 아직까지 지정된 사례는 없고, 내년 2월까지는 지정을 해서 발표할 거라는 입장입니다.
다만 이제 금융 샌드박스 중에서 혁신금융지정서비스라는 제도가 있는데, 4월에 “레이니스트”라는 업체를 지정하면서 마이데이터 사업자와 유사한 권리를 허용한 사례가 있긴 합니다. 다만 어쨌든 레이니스트가 실질 서비스를 제공하고 있는 상황은 아니고, 부가조건으로 마이데이터 사업자 허가를 받도록 요하고 있어서 결과적으로 큰 차이는 없는 상황입니다.
개정된 신용정보법 설명에 앞서, 기술적으로 간단히 스크린 스크래핑과 오픈 API에 대해서 설명하도록 하겠습니다. 스크린 스크래핑이란 인터넷 웹사이트 화면에서 보이는 데이터 중 필요한 데이터를 자동적으로 수집, 저장하는 기술입니다.
위 그림에서 보시는 것과 같이 사용자로부터 접속정보, 소위 아이디와 패스워드를 제공받고 대리 접속하는 형태로 웹사이트 정보를 긁어오게 됩니다. 우리는 웹사이트에서 잘 정돈된 인터페이스의 정보를 보지만, 홈페이지에는 코드라는 형태가 존재하죠. 이걸 긁어와서 해당 정보를 분석, 이용합니다.
스크린 스크래핑 기술은 일반적으로 사용되는 기술로써, 그 자체로는 법령위반에 해당하지 않습니다. 오히려 공개되어 있지 않은 API를 분석해서 이용하는 경우 정보통신망법상 정보통신망 침입행위에 해당할 가능성이 있기 때문에, API를 공개하지 않는 경우 대체 수단으로 스크래핑 기술을 허용하기도 합니다.
하지만 각 홈페이지마다 필요한 정보를 스크래핑하려면 맞춤형 기술을 개발해야 한다는 점에서 비효율적인 측면이 존재하고요. 고객의 접근권한을 이 서비스 기업이 보유한다는 점에서 개인정보 유출가능성이 높아지는 문제가 있었습니다.
실제로 스크래핑 방식을 이용할 때 어떤 식으로 동의를 받는지 예시를 가져왔는데요. 정보주체로부터 접속정보를 제공받아서 직접 접속 및 수집을 하는 형태이기 때문에 정보조회위임 동의를 받고요. 직접 수집하는 정보에 대한 개인정보 수집 및 이용 동의를 별도로 받고 있습니다. 여길 보시면, 공인인증서와 관련된 정보까지 수집을 하고 있는 걸 볼 수 있습니다.
이와 달리 오픈 API 같은 경우에는 두 사업자 간에 직접 정보를 주고받는 구조를 취합니다. API는 특정 프로그램의 기능이나 데이터를 다른 프로그램이 접근할 수 있도록 미리 정한 통신규칙 정도로 이해하시면 되는데요. 마치 함수값을 불러오듯이, 상대방에게 특정함수를 호출하면 상대방은 이에 대한 특정 데이터를 제공하는 형태로 생각하시면 되겠습니다.
동의내용은 오른쪽에 예시되어 있습니다. 정보를 직접 수집하는 것이 아니라, 제3자 제공 동의를 받아서 데이터 보유 주체로부터 직접 정보를 제공받게 된다는 점이 다르고요. 제공하는 항목도 살펴보시면 공인인증서 같은 접속정보가 아니라 인증토큰 등, 개인 식별할 수 있는 별도의 값이 있습니다.
두 부분을 대략 비교한 내용입니다. 스크린 스크래핑 같은 경우 결과적으로는 공인 인증정보의 저장이 필요한데, 사실 우리나라 법상 정보통신서비스 제공자는 비밀번호를 상시 이용 가능한 형태로 보관하기가 어렵습니다. 그렇기 때문에 정기적으로 데이터를 수집하는 것 또한 어려운 상황인데요.
그리고 이제 과거 사례에서도 살펴볼 수 있듯이, 공인인증서를 활용하는 기존 은행과 전혀 다른 방식으로 접속시스템이 설계된 카카오뱅크 같은 경우에는 카카오뱅크에서 협력하지 않는 이상 스크린 스크래핑 기술을 적용하는 것이 여의치 않았습니다. 이런 점도 고려해야 하고요. 또 나아가서 올해 12월부터는 현행법상 공인인증서라는 개념이 사라졌기 때문에, 앞으로도 일괄적인 인증수단을 사용할 거라는 보장이 없는 상황이라 갈수록 스크린 스크래핑의 필요성은 낮아질 거라고 볼 수 있을 것 같습니다.
그리고 스크린 스크래핑은 스크린상의 데이터에서 필요한 데이터를 추출하기 때문에, 개인정보 침해 위험성도 많고 표준화도 불가능하다 볼 수 있고, 표준화가 되어있지 않기 때문에 확장도 불가능합니다. 향후 추진할 것으로 예상되는 페이먼트 서비스 같은 경우에도 스크래핑 기술을 이용해서는 확장할 수가 없죠. 그렇기 때문에 제한적인 기술로 볼 수 있습니다.
표준 API 같은 경우에는 이런 단점이 보완될 가능성이 있습니다. 고객의 인증정보 입력도 불필요하고, 인증 토큰 값을 저장하기 때문에 해킹 등의 피해가 발생하더라도 토큰 값만 처분하면 되는지라 개인 정보 측면에서 훨씬 안전하다고 보실 수 있을 것 같습니다. 게다가 결정적으로, API 같은 경우 사업자 간에 협의해서 필요한 보안대책, 필요한 보안기술을 더 적용할 수 있기 때문에 보다 안전한 환경을 구축할 수 있을 것 같습니다.
이렇게 설명하면 스크린 스크래핑이 단점이 많은 기술인 것 같은데요. 사실 API는 호출할 수 있는 정보에 제한이 존재하고, 이용할 때마다 과금이 이뤄지는 체계입니다. API가 표준화됨에 따라 기존의 선점적인 지위를 보유한 당사자들이 그 지위를 상실할 수 있다는 점이 얽혀 있기도 합니다. 그럼에도 안전하고 효율적인 시스템 구축을 위해 표준 API를 이용해야 하지 않느냐는 논의가 이미 많이 이루어졌고요. 그래서 금융분야 마이데이터 사업에는 내년 8월부터 스크린 스크래핑을 사용할 수 없도록 예정되어 있습니다.
이제 개정된 법령에 따른 마이데이터 사업에 대해 살펴보도록 하겠습니다.
마이데이터 사업자에 해당하는 개념이 신용정보법상의 ‘본인신용정보관리업’이라는 개념입니다. 본인신용정보관리업이란 신용정보주체의 신용관리를 지원하기 위해서 금융회사나 공공기관 등이 보유하고 있는 개인신용정보등을 수집하고, 신용정보의 전부 또는 일부를 신용정보주체가 조회, 열람할 수 있게 하는 방식으로 통합해서 그 신용정보주체에게 제공하는 업무를 의미합니다. 그렇기 때문에 금융회사나 공공기관에서 개인정보를 수집하지 않거나, 또는 수집하더라도 신용정보주체가 열람할 수 없는 방식으로 수집하는 경우에는 신용정보관리업에 해당하지 않습니다.
신용정보관리업은 금융위원회의 허가가 필요한데, 이미 현재 유예기간에 들어간 상태고요. 유예기간이 내년 2월 5일까지로 예정되어 있어서 2월 5일까지 허가 받지 않은 사업자는 영업을 할 수 없게 될 것으로 보입니다. 다만 사실 마이데이터 사업을 하고 계신 분들은 이미 대부분 예비허가 신청을 넣으신 상태라서 그 부분이 문제가 되진 않을 겁니다.
그리고 마이데이터 사업자에게 허용된 겸영, 부수업무 같은 경우 범위가 상당히 넓은데요. 전자금융업을 허용했기 때문에 마이데이터 사업자가 직접 전자지급서를 발행할 수도 있겠고요. 그리고 로보어드바이저를 통한 투자자문 투자일임업도 가능해져서, 본인이 수집한 데이터와 결합해 정보주체에게 보다 적합한 투자자문을 제공할 수도 있겠습니다.
나아가 데이터 분석 컨설팅도 포함되어 있어, 굳이 금융분야 금융서비스 제공에 한정하지 않고 뒷단의 데이터 사업도 가능하고요. 금융상품 광고 및 홍보, 본인인증 및 식별확인 업무 또한 부수로 영위할 수 있습니다. 현재 마이데이터 서비스 모델에서 가능한 사업모델들은 대부분 기재돼 있는 셈입니다.
뿐만 아니라 비금융 업무의 경우에는 개별 법령에서 허용하는 한 자유로운 겸영을 허용한 상황이라서, 사실 마이데이터 사업자가 영위가능한 사업의 범위는 상당히 넓습니다. 지금 당장 특정 업무가 불가능해서 문제가 될 경우는 없는 걸로 보입니다.
겸영업무와 부수업무는 기존 신용정보업과 마찬가지로 사전에 금융위원회에 신고해야 합니다. 부수업무 중에서도 눈 여겨 볼 부분은, 3번의 “신용정보주체의 정보관련 권리를 대리행사하는 업무”인데요. 마이데이터 서비스 사업자가 마이데이터 서비스를 영위할 수 있는 법적 근거가 명시적으로 제시되었다는 의미가 있습니다.
전송요구권과 관련된 내용은 다음과 같습니다. “신용정보주체는 신용정보제공, 이용자등에 대하여 그가 보유하고 있는 본인에 관한 개인신용정보를 다음 각 호의 어느 하나에 해당하는 자에게 전송하여 줄 것을 요구할 수 있다”. 본인 뿐 아니라 본인 신용정보관리회사에게도 보내줄 것을 요구할 수 있고, 전송할 때는 컴퓨터 등 정보처리장치로 처리가 가능한 형태로 해야 합니다. 따라서 본인 신용정보관리회사에서 대리 행사를 해서 개인신용정보를 컴퓨터 파일로 제공을 받고, 이를 마이데이터 사업에 이용할 수 있는 그런 순환구조가 형성될 수 있습니다.
그리고 4항에는 “개인신용정보의 정확성 및 최신성이 유지될 수 있도록 정기적으로 같은 내역의 개인신용정보를 전송하여 줄 것을 요구할 수 있다”는 내용이 있습니다. 기존에는 금융실명법에 따라 금융회사가 제 3자에 금융거래정보를 제공할 경우 당사자에게 건별로 동의를 받아야 하고, 제공한 이후에도 텀별로 통보를 해야 하는 것이 원칙이었는데요. 정기적으로 전송이 가능해짐에 따라 편리성이 크게 증대되었다고 볼 수 있습니다.
단, 전송을 요구할 수 있는 신용정보의 범위에는 제한이 있습니다. 개인신용정보들을 기초로 별도로 생성하거나 가공한 신용정보가 아닐 것 등을 명시하고 있으므로 참고하시기 바랍니다. 지금 당장 큰 이슈는 아니지만, 마이데이터 사업이 활성화됨에 따라서 실제로 제공을 요구할 수 있는 신용정보의 범위에 대한 논의가 점점 더 활발해질 것으로 예상합니다.
본인신용정보관리회사가 관리할 수 있는 개인신용정보의 범위는 위와 같습니다. 폭넓게 지정이 되어 있습니다.
눈여겨볼 점은 가장 아래에 있는 ‘전자지급수단 관련 정보’인데요. 전자지급수단 내지 전자자금 관련 정보만을 다루는 경우에도 본인신용정보관리업 허가가 필요한지가 이슈가 될 것 같습니다. 그렇다면, 예를 들어서 아직 특금법이 시행되지 않아서 가상자산에 대한 명확한 법정 규제가 존재하지 않는 상황이긴 한데요, 개인이 보유한 가상자산에 대한 명부만을 통합 관리하는 가상자산사업자에게도 관련 규제가 적용될 수 있는 것은 아닌지도 이슈가 될 것 같고요.
허가요건은 위와 같습니다. 지금 논란이 되고 있는 부분은 신용정보회사라고 해도 마이데이터 서비스를 위해서 기존의 DB서버와 구분되는 별도 DB서버를 구축을 요구한다는 점, 개인신용정보 취급자 컴퓨터에 대한 물리적, 논리적 망분리까지 요구한다는 점 등인데요. 사실 금융회사 같은 경우에는 큰 부담이 아닐 수 있겠지만 새로 마이데이터 서비스를 제공하려고 하는 기업일 경우에는 이 부분이 금전적으로 부담될 수 있을 듯 합니다.
나머지 관련 이슈입니다. 현재 하나의 기업진단에 하나의 본인신용정보관리회사만으로 시스템 구축이 가능한 사항인데요. 다만 금융회사 같은 경우에는 복수의 계열회사가 신청 중인 상황이고, 은행 같은 경우에도 자회사 업종에 본인신용정보관리업이 추가됨에 따라서, 마이데이터 사업을 직접 하지 않고도 자회사를 통해 갖출 수 있는 근거가 마련되었습니다.
금융지주 회사 외에 일반지주 회사 같은 경우에는 공정거래법에 따라서 금융회사를 계열사로 보유할 수 없는데, 이 부분에 대해서도 공정거래위원회와 논의중으로 본인신용정보관리회사를 계열회사로 보유 가능할 수 있도록 유권해석을 할 계획이라고 합니다. 그래서 이 부분은 걱정되는 부분은 아니고요.
그렇게 되면 이제 기존의 소위 빅테크 기반 아이티 기업들과 일반 지주회사 간의 차별 논란 등이 불거질 수 있습니다. 또 본인신용정보관리회사가 아니면 마이데이터라는 단어를 사용할 수 없게 된다는 이슈도 있습니다. 다만 신용정보를 수집하지 않는 경우에는 마이데이터라는 단어를 사용할 수 있는데요. 사실 마이데이터 사업자가 수집할 수 있는 신용정보의 범위가 상당히 폭넓은 상항이고, 비금융 분야에서도 마이데이터라는 단어가 빈번하게 사용되고 있고, 헬스케어 등 여러 분야로 서비스범위가 확대될 것으로 예상되기 때문에, 마이데이터란 단어 사용을 규제한다는 것은 향후 혼란을 초래하지 않을까 하는 우려도 있습니다.
관련된 규제는 위와 같습니다.
우선 스크린 스크래핑 방식의 정보수집이 금지됩니다. 지금 당장 금지되는 것은 아니고, 내년 8월까지 유예기간이 있습니다. 유의할 점은 본인신용정보관리업과 관련이 없는 부분에서도 스크래핑 방식으로는 개인정보를 수집할 수 없다는 겁니다. 예를 들어, CV 사업자가 별도로 개인신용정보관련 허가를 받는 경우, 본인의 본래 CV 업무를 위해서라 해도 스크래핑 방식으로 정보를 수집하는 것이 금지됩니다.
또 일반적으로 정보주체의 전송요구권을 침해하는 행위를 금지하고 있습니다. 마지막에 “본인신용정보관리회사의 이익을 위해 금융소비자에게 적합하지 않다고 인정되는 계약체결을 추천, 또는 권유하는 행위”가 있죠. 이런 행위는 정보주체의 전송요구권을 직접적으로 침해하는 행위는 아니긴 한데요. 예를 들어 마이데이터 서비스 제공자가 여러 데이터를 통합 관리한 다음, 금융 상품을 추천하면서 항상 본인 계열사의 금융상품을 우선순위로 준다거나 하는 식으로 금융소비자의 이익을 침해할 경우 여기서 말하는 ‘금지되는 행위’가 될 수 있다는 점을 유의하시기 바랍니다. 그리고 이 규정과 별도로 공정거래법에서도 부당지원행위, 불공정거래행위로 간주될 수 있습니다.
비금융분야에서의 마이데이터 산업 추진경과는 위와 같습니다. 과기정통부에 관련된 사업을 주로 기재했습니다.
작년에 8건, 올해 8건 등의 마이데이터 실증서비스 과제를 진행하거나 선정한 상황이고요. 작년과 달리 올해는 PDS, 즉 개인이 주도적으로 데이터를 유통 활용할 수 있는 플랫폼을 구축하고 운영하는 것을 중요한 목표로 삼고 있습니다.
그리고 Kdata에서 마이데이터 서비스 안내서를 발표했습니다. 마이데이터 서비스를 제공하는 과정에서 이루어지는 개인정보의 수집, 이용 동의 과정 방식 등을 권고하고 있으며, 정보주체가 개인정보를 통제하는데 중점을 두고 있습니다. 가이드이기 때문에 법적인 구속력은 없지만, 기존 개인정보 관련 실무에서 유추해볼 때, 마이데이터 서비스 제공 사업을 준비하는 기업들은 이 가이드라인에 따라서 실질적인 사업을 제공할 필요가 있을 것입니다.
금융분야에서 마이데이터 사업을 하는 본인신용정보관리회사 같은 경우에도, 가이드라인을 참고해서 UI를 구성하는 것이 바람직할 것으로 보입니다.
기타 법률 이슈를 살펴보겠습니다.
기타 법률 이슈로는 네가지 정도가 있습니다. 전자지급수단 관련 이슈의 경우 금융회사에선 크게 염려하실 부분이 없는데요. 비금융회사에서는 마이데이터 서비스를 구현하고 그에 대한 리워드를 직접 지급하려고 하는 경우 해당 리워드 포인트가 전자지급수단에 해당될 가능성이 있습니다. 그럼 예외적인 규정이 적용되지 않는 이상 금융위원회의 허가가 필요할 것이기에, 그 부분도 한번 체크해보시면 좋을 것 같습니다.