토스 CI. 사진=비바리퍼블리카
토스 CI. 사진=비바리퍼블리카

토스 운영사 비바리퍼블리카가 개인신용정보 부당이용 및 신용정보시스템 안전보호 의무 위반 등으로 금융감독원으로부터 기관경고 제재를 받았다. 과징금만 60억원에 달한다.

28일 금융감독원 전자공시에 따르면 토스는 지난 25일 금융감독원으로부터 기관주의 및 과징금 60억 2800만원의 제재를 받았다. 감봉, 견책, 주의적 경고 등 경고를 받은 임직원은 퇴직자를 포함해 총 11명이다.

먼저 정보집합물 부당결합을 통한 개인신용정보 부당 이용 및 제공·활용 동의 절차 부당 운영이 문제로 지적됐다.

신용정보법 제33조 제1항에 따르면 개인신용정보는 해당 신용정보주체가 신청한 금융거래 등 상거래 관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이용하거나 그 외 다른 목적으로 이용 시 신용정보주체로부터 동의를 받은 경우 등 허용된 경우에만 이용해야 한다.

그러나 토스는 2021년 11월 2일부터 2022년 4월 13일까지 전자영수증 솔루션업체 A로부터 제공받은 전자영수증 거래정보 2928만2869건을 정보주체 동의 없이 사업성 분석 목적으로 토스가 보유하고 있는 회원 카드 거래 내역과 결합해 이용한 사실이 적발됐다.

또한, 신용정보회사 등은 자사가 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합하려는 경우 데이터전문기관을 통해 결합해야 한다. 하지만 토스는 데이터전문기관을 통하지 않고 해당 영수증 정보를 결합한 것으로 알려졌다.

필수적 동의사항과 선택적 동의사항 구분에서도 문제가 발견됐다. 개인신용정보의 제공 및 활용과 관련한 동의를 받을 때는 필수, 선택적 동의사항을 구분해 설명한 후 각각 동의를 받아야 한다.

토스는 검사대상 기간 중 회원가입 시 동의받는 △개인정보 수집·이용동의서△ 상 △신규 서비스 개발을 위한 연구분석, 맞춤형 리포트 제공△ 등과 같이 토스의 전자금융 및 마이데이터 서비스 제공을 위해 필수적이지 않은 사항도 필수적 동의사항으로 표시해 개인신용정보 수집·이용 동의(검사 대상 기간 중 총 463만 1801명 동의)를 받았다.

특히 필수적 동의사항은 서비스 제공 관련성을 설명해야 하지만, 해당 필수적 동의사항과 서비스 제공 관련성도 설명하지 않았다고 금감원은 밝혔다.

신용정보 전산시스템 안전보호 의무도 위반했다. 신용정보 회사 등은 신용정보 전산시스템 보호를 위해 개인신용정보처리 시스템 접속 기록을 1년 이상 저장하고 위·변조되지 않도록 별도 저장장치에 백업·보관해야 한다.

그러나 토스는 전산시스템 '하둡'에만 정보를 저장하고 별도 물리 저장장치에는 백업하지 않았다.

또한 개인신용정보처리 시스템 접근 권한은 최소 인원에만 부여해야 함에도 2022년 4월 18일 기준 261명에게 하둡 접근 권한을 부여하고 일반 직원과 인사부서 등 직급과 담당 업무 구분 없이 같은 조회 권한을 줬다.

아울러 월 1회 개인정보 신용 취급자가 시스템에 접속한 기록을 확인·감독해야 함에도 정기적 확인·감독을 실시하지 않았고 개인정보 취급자가 입력하는 조회 사유의 정확성에 대한 점검도 실시하지 않았다.

이와 더불어 솔루션 업체 A에서 입수한 영수증 정보 이용 과정에서 다수의 위법 사항이 있었음에도 담당 임직원 대상 신용정보보호 관련 법령 및 규정 준수 점검을 실시하지 않은 것으로 드러났다.

금감원은 토스의 겸영업무 신고 의무 위반도 적발했다. 본인 신용정보관리회사는 공인전자문서 중계업을 영위하고자 하는 경우 미리 금융위원회에 신고해야 한다.

그러나 토스는 금융위 신고 없이 B사와 △전자고지서비스 제공 계약△을 체결해 2022년 3월 14일 공인전자문서 '민방위 교육 훈련 통지서' 1만 4138건을 발송하고 수수료로 48만 6000원을 수령했다.

토스는 수수료 수령 약 3주 후인 같은 해 4월 8일 금융위원회 신고 수리를 마쳤다.

'내 보험 조회 서비스' 관련 개인신용정보 부당 수집·이용 및 프로그램 변경·통제도 문제가 됐다.

토스는 2022년 5월 9일부터 6월 15일까지 개인신용정보 수집에 동의하지 않은 이용자 274명의 보험 가입 내역, 보험 계약 현황 등 개인신용정보를 토스 서버에 수집·저장했다.

이는 해당 서비스의 개인정보 수집·이용 동의 절차 관련 프로그램을 변경하면서 이용자 동의 거부 시 서비스 동작의 정확성 등에 대한 충분한 테스트를 실시하지 않은 데 따른 것이다.

또한 해당 개인정보를 이용해 이용자 274인에게 총 2012회에 걸쳐 '내 보험 조회 서비스'를 제공했다고 금감원은 밝혔다.

마지막으로 토스는 검사 대상 기간 중 정보처리시스템 구축을 위해 총 5건의 전산 장비를 구매 또는 증설하는 사업을 추진하면서 내규상 타당성 검토 대상에 해당함에도 독립 조직인 IT 예산 심의 위원회로부터 승인을 받지 않았다.
 

검사기간 토스 정보처리시스템 구축사업 추진 내역. 사진=금융감독원
검사기간 토스 정보처리시스템 구축사업 추진 내역. 사진=금융감독원

토스는 2021년 2월 22일부터 12월 27일까지 정보처리시스템 구축 사업을 위해 총 108억 2860만원을 지출했다.

키워드
#토스 #비바리퍼블리카 #금융감독원 #제재 #기관경고 #개인정보 #개인신용정보
저작권자 © 뉴스저널리즘 무단전재 및 재배포 금지