[디지털데일리 박기록기자] 금융당국과 시장에선 신기술에 기반한 '혁신의 메기' 역할을 기대했지만 실상은 자사 마켓팅을 목적으로 관련 법규정에 어긋나게 개인신용정보를 활용하는 등 방만하게 운영됐음이 드러났다.

28을 금융감독원에 따르면, 금융감독원이 지난 25일자로 핀테크 대표 기업인 비바리퍼블리카(이하 '토스')에 대해 개인신용정보 부실 및 부당이용 등의 사유료 기관주의 및 과징금(53억7400만원), 과태료(6억2800만원) 등 60억원의 벌금을 부과했다. 또한 임직원에 대해서도 감봉 3개월 1명, 견책1명 등 다수에 대해 제재했다.

벌금의 규모 등을 봤을때, 이례적으로 강도가 높은 제재 수준이다.

금융감독원이 공개한 제재안에 따르면, 토스는 ▲ 정보집합물 부당결합을 통한 개인신용정보 부당 이용 및 제공·활용동의절차 부당 운영 ▲ 신용정보전산시스템 안전보호 의무 위반 ▲겸영업무 신고의무 위반 ▲'내보험 조회서비스' 관련 개인신용정보 부당 수집·이용 및 프로그램변경․통제 불철저 등의 사유로 제재가 결정됐다.

먼저, '정보집합물 부당결합을 통한 개인신용정보 부당 이용 및 제공·활용동의절차 부당 운영'과 관련해, 토스의 정보집합물 부당결합을 통한 개인신용정보 부당 이용이 지적됐다.

현행 신용정보법(제33조 제1항)에 따르면, 개인신용정보는 해당 신용정보 주체가 신청한 금융거래 등 상거래 관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이용하거나, 그 외의 다른 목적으로 이용할 경우 신용정보주체로부터 동의를 받은 경우만 이용해야한다. 또 자기가 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합할 경우에는 데이터전문기관을 통해 결합해야한다.

그러나토스는 조사대상기간(2021.11.2~2022.4.13)중, 전자영수증 솔루션업체인 A로부터 제공받은 전자영수증 거래정보 2928만2869건을 정보주체의 동의없이 사업성 분석 목적으로 데이터전문기관을 통하지 않고, 토스가 보유하고 있는 토스 회원의 카드거래내역과 직접 결합해 이용했다.

또 현행 신용정보법(제32조 제4항)에선 개인신용정보의 제공 및 활용과 관련해 동의를 받을 때는 필수적 동의사항과 선택적 동의사항을 구분해 설명한 후 각각 동의를 받아야하며, 필수적 동의사항의 경우 서비스 제공과의 관련성을 설명해야한다.

그런데 토스는 필수적이지 않은 사항임에도 '필수적 동의사항'으로 표시해 개인신용정보 수집·이용 동의(검사대상기간중 총 463만1801명 동의)를 받았으며, 필수적 동의사항과 서비스제공의 관련성도 설명하지 않았다.

이와함께 금감원은 토스의 '신용정보전산시스템 안전보호 의무 위반'과 관련, ▲신용정보전산시스템 접속기록 백업 미실시 ▲신용정보전산시스템 관리적 보안대책 등을 위반했다고 적시했다.

현행 신용정보법(제19조 제1항 등)에 따르면, 신용정보회사 등은 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된정보의변경·훼손 및 파괴, 그 밖의 위험에 대비한 안전보호를 위해 개인신용정보처리시스템의 접속기록을 1년 이상 저장하고, 위·변조되지 않도록 별도 저장장치에 백업·보관해야한다.

하지만 토스는 고객의 거래내역 등 개인신용정보를 처리할 수 있도록 체계적으로 구성한 '개인신용정보처리시스템’인 하둡시스템(이하 하둡)의 접속기록을 별도의 물리적인 저장장치에 백업해 보관하지 않고 하둡내에 저장했다.

토스는 서비스운영 데이터베이스처리시스템에 저장된 개인신용정보테이블 150개를 하둡으로 매일 이관해 저장했다. 주요 정보는 고객번호, 거래일시·금액, 카드승인번호·승인일시·승인금액, 선불충전 거래액·요청금액·잔액, 신용점수, 연체·대출건수, 신용정보조회·연대보증건수, 확정 금리·한도, 대출 기간·승인 시각, 보험상품명칭 등이다.

현행 현행 신용정보법(제19조 제1항 등)에 딱르면, 개인신용정보처리시스템에 대한 접근권한을 서비스제공을 위해 필요한 최소한의 인원에게만 부여하고, 개인신용정보처리시스템의 접속기록을 위·변조되지 않도록 별도저장장치에 백업·보관해야 한다.

토스는 현재(2022.4.18기준) 임직원 261명에게 하둡에 대한 접근권한을 부여하고, 하둡에 저장된 전체 개인신용정보 대해 직급(부문장, 팀장급, 직원등) 이나 담당업무(서비스개발, 서비스운영, 재무·회계, 마케팅·영업, 인사채용등)에 따른 구분 없이 동일한 조회권한을 부여한 것으로 드러났다.

전체 91개 부서중 61개 부서(서비스 개발·운영 부서 및 재무·회계, 마케팅·영업, 인사채용 등 업무부서 포함)에 접근권한을 부여했다는 것이 금감원측의 설명이다.

여기에는 고객번호, 거래일시·금액, 카드승인번호·승인일시·승인금액, 선불충전 거래액·요청금액·거래 후 잔액, 신용점수, 연체·대출건수, 신용정보조회·연대보증건수, 확정 금리·한도,대출 기간·승인 시각, 보험상품명칭 등의 정보가 포함된다.

토스는 임직원이 하둡에 접속해 개인신용정보를 처리한 접속기록에 대한 정기적 확인·감독을 실시하지 않았고 개인신용정보취급자가 입력하는 조회사유의 정확성에 대한 점검을 실시하지 않았다.

'겸영업무 신고의무 위반'과 관련해선, 현행 신용정보법(제11조 제1항 등)에 따라 본인신용정보관리회사는 공인전자문서중계업을 영위하고자 하는 경우 미리 금융위원회에 신고를 해야한다. 그러나 토스는 금융위원회에 미리 신고하지 않고 업체와 ‘전자고지서비스제공 계약’을 체결해 지난 2022년3월14일 공인전자문서(민방위 교육훈련통지서)를 1만4138건을 발송했다.

'내보험 조회서비스' 관련 개인신용정보 부당·수집 이용 및 프로그램 변경·통제 불철저와 관련해선, 현재 '내보험 조회서비스 관련 개인신용정보 부당 수집·이용'은 신용정보법(제15조 제2항 등)에 따라 신용정보회사등이 개인신용정보를 수집하는 때에는 해당 신용정보주체의 동의를 받아야한다.

이와관련 토스는 해당 기간(2022.5.9. 14:05 ~ 2022.6.15)중 개인신용정보수집에 동의하지 않은 이용자 274명의 보험가입내역, 보험계약현황등개인신용정보를 토스 서버에 수집·저장했다. 또 부당하게 수집된 개인신용정보를 이용해 274명의 이용자 본인에게 2102회에 걸쳐 '내보험조회서비스'를 제공했다.

이밖에 토스는 지난 2022년 5월, 자사 모바일 앱내 '내보험 조회 서비스'의 개인정보수집·이용 동의 절차 관련 프로그램을 변경하면서 이용자의 동의거부시서비스 동작의 정확성 등에 대한 충분한 테스트를 실시하지 않았다. 테스트 시나리오, 테스트 케이스 등 테스트를 실시한 명문화된 증빙자료가 없음도 지적받았다.

또 토스는 조사대상기간중 정보처리시스템 구축을 위해 총 5건의 전산장비(서버, 네트워크 등)를 구매 또는 증설하는 사업을 추진하면서 내규상타당성 검토 대상에 해당(사업금액 10억원 초과)함에도 동 5건의사업모두 독립적인 조직인 IT예산심의위원회으로부터 승인을 받지않았다.

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지