토스뱅크가 비대면 미성년자 명의 계좌 개설 과정에서 고객 확인 의무와 전자금융거래의 안전성 확보 의무 등을 위반해 금융당국으로부터 제재를 받았다.

20일 금융권에 따르면 금융감독원은 최근 토스뱅크에 △기관주의와 과태료 1500만원 △직원 견책 및 주의에 해당하는 제재를 내렸다.

토스뱅크가 위반한 항목은 △금융거래 실명확인 의무 및 고객확인 의무 △전자금융거래의 안전성 확보 의무 등이다.

금융감독원 제재 공시에 따르면 토스뱅크는 지난 2023년 10월 10일부터 2024년 2월 10일까지 4개월 동안 비대면 미성년자 명의 계좌(아이통장·적금) 발급 업무를 처리하면서 프로그램 오류로 인해 계좌 개설 신청자인 부모가 미성년자의 법정대리인(친권자)으로서의 권한을 적정하게 확인하지 못했다.

그 결과 법정대리인이 아닌 부모에 의해 총 2464건(8900만원)의 계좌가 개설됐다. 해당 상품은 미성년자의 법정대리인인 부모가 비대면 방식으로 가족관계증명서와 미성년자 명의의 기본증명서를 제출해 미성년자 고객 명의로 예금 계좌를 개설할 수 있는 상품이다.

'금융실명거래 및 비밀보장에 관한 법률(금융실명법)' 제3조 제1항 및 '특정금융거래정보의 보고 및 이용 등에 관한 법률(특정금융정보법)'에 따르면 금융회사는 거래자의 실지명의를 확인한 후 신규 계좌 개설 등 금융거래를 해야 한다.

또 부모가 미성년자를 대신해 금융거래를 요청하는 경우 법정대리인의 권한 유무를 반드시 확인해야 한다. 비대면 실명확인의 경우 부모가 제출한 가족관계증명서와 기본증명서를 통해 친권을 확인해야 한다.

토스뱅크는 전자금융거래의 안전성 확보 의무도 위반했다. 토스뱅크는 2023년 6월 12일부터 2023년 10월 9일까지 4개월간 미성년자 대상 비대면 상품 '아이통장·적금'을 개발하면서 비대면 실명확인을 위해 대법원 전자가족관계등록시스템에서 미성년자의 기본증명서를 스크래핑(데이터 추출)하는 프로그램의 설정 기준을 잘못 지정했다.

이로 인해 기본증명서 양식 가운데 일반 등록사항 기재 내용(친권자 정보 등)을 적정하게 스크래핑하지 못하는 상태였음에도 대법원의 전자가족관계등록시스템에서 직접 스크래핑을 실행하는 테스트를 수행하지 않아 이를 발견하지 못했다.

임직원 대상 테스트(CBT)에서도 친권 변동이 없는 한정된 사례로만 테스트를 실시해 프로그램의 무결성을 충분히 검증하지 못했다.

전자금융거래법 제21조 제2항, 전자금융감독규정 제7조 및 제29조 제6호에 따르면 금융회사는 프로그램 운영 시 기밀성·무결성·가용성을 충분히 검증하고 테스트해야 한다.