개인신용정보 무단 이용한 넋나간 '토스'…금감원, 60억 과징금 '폭탄'

금융감독원이 고객의 개인신용정보를 무단으로 수집ㆍ사용한 비바리퍼플리카(토스)에 과징금과 과태료를 부과하는 조치를 내렸다.

28일 금융권에 따르면 토스는 이달 25일 금융감독원으로부터 기관주의ㆍ과징금 60억2800만원의 제재를 받았다. 감봉견책, 주의적 경고 등 경고를 받은 임직원은 퇴직자를 포함해 총 11명이다.

앞서 금융감독원은 지난 2022년 빅테크의 금융업 진출 확대에 따른 소비자 피해를 방지하기 위해 대형 전자금융거래업자를 대상으로 수시검사를 실시한 바 있다. 그 결과 토스는 정보집합물을 부당하게 결합해 고객의 개인신용정보를 무단 이용한 것으로 드러났다.

신용정보법 제33조 제1항에 따르면 개인신용정보는 신용정보주체로부터 동의를 받은 경우에만 이용해야 한다. 아울러 관련 정보 결합도 데이터전문기관을 통해 이뤄져야 한다.

그러나 토스는 지난 2021년 11월 2일부터 2022년 4월 13일까지 정보주체의 동의없이 전자영수증 솔루션업체로부터 받은 2928만2869건의 거래정보를 데이터전문기관을 통하지 않고 토스 회원의 카드거래 내역과 직접 결합해 이용한 것으로 적발됐다.

이어 데이터전문기관을 통하지 않고 영수증 정보를 결합한 점도 드러났다. 원칙 상 신용정보회사 등은 자사가 보유한 정보집합물은 제3자가 보유한 정보집합물과 결합하려는 경우 데이터 전문기관을 통해 결합해야 한다.

필수적 동의사항과 선택적 동의사항 구분에서도 문제가 발견됐다. 필수적 동의사항은 서비스 제공 관련성을 설명해야 하지만, 해당 필수적 동의사항과 서비스 제공 관련성도 설명하지 않은 것이다.

토스는 검사대상 기간 중 회원가입 시 동의받는 △개인정보 수집ㆍ이용동의서 △신규 서비스 개발을 위한 연구분석, 맞춤형 리포트 제공△ 등과 같이 토스의 전자금융과 마이데이터 서비스 제공을 위해 필수적이지 않은 사항도 필수적 동의사항으로 표시해 개인신용정보 수집·이용 동의(검사 대상 기간 중 총 463만 1801명 동의)를 받았다.

아울러 부당하게 수집된 개인신용정보를 이용해 274명의 이용자 본인에게 2102회에 걸쳐 '내보험 조회서비스'를 제공했다. '내보험 조회서비스' 관련해 개인신용정보수집에 동의하지 않은 이용자 274명의 보험가입내역, 보험계약현황 등 개인신용정보를 토스 서버에 수집ㆍ저장했다.

토스는 신용정보법상 신용정보 전산시스템 안전보호 의무도 위반했다. 토스는 고객의 거래내역 등 개인신용정보를 처리할 수 있도록 구성한 전산시스템인 '하둡' 시스템의 접속기록을 별도의 물리적인 저장장치에 백업해 보관하지 않았다.

또한, 개인신용정보처리 시스템 접근 권한은 최소 인원에만 부여해야 함에도 지난 2022년 4월 18일 기준 261명에게 '하둡' 접근 권한을 부여하고, 일반 직원과 인사부서 등 직급과 담당 업무 구분 없이 같은 조회 권한을 줬다.

월 1회 개인정보 신용 취급자가 시스템에 접속한 기록을 확인ㆍ감독해야 함에도 정기적 확인·감독을 실시하지 않았고, 개인정보 취급자가 입력하는 조회 사유의 정확성에 대한 점검도 실시하지 않은 것이다.

'겸영업무 신고의무 위반'과 관련해선 현행 신용정보법(제11조 제1항 등)에 따라 본인신용정보관리회사는 공인전자문서중계업을 영위하고자 하는 경우 미리 금융위원회에 신고를 해야 한다. 그러나 토스는 금융위원회에 미리 신고하지 않고 업체와 ‘전자고지서비스제공 계약’을 체결해 지난 2022년 3월 14일 공인전자문서(민방위 교육훈련통지서)를 1만4138건을 발송했다.

이외에도 토스는 조사 대상 기간 중 정보처리시스템 구축을 위해 총 5건의 전산장비(서버, 네트워크 등)를 구매하거나 증설하는 사업을 추진하면서 내규상타당성 검토 대상에 해당(사업금액 10억원 초과)함에도 동 5건의 사업 모두 독립적인 조직인 IT예산심의위원회으로부터 승인을 받지 않았다.