토스, 고객정보 무단 수집·이용에 60억 과징금 폭탄 


신용정보법 개정안 시행 후 첫 적용 사례

비바리퍼블리카가 개인신용정보 부실 및 부당이용 등의 사유로 금융감독원으로부터 기관주의 및 과징금·과태료 처분을 받았다. /더팩트 DB

[더팩트│황원영 기자] 금융감독원이 고객정보를 무단으로 수집하고 이용한 비바리퍼블리카(토스)에 과징금·과태료를 부과했다. 관련 임직원에게도 신분제재를 처분했다.

금감원은 지난 25일 토스에 개인신용정보 부실 및 부당이용 등의 사유로 기관주의 및 과징금 53억7400만원, 과태료 6억2800만원을 부과했다. 임직원들에 대해서도 감봉, 견책, 주의, 주의적 경고 등을 적용했다.

토스가 이 같은 대규모 과징금·과태료를 제재를 받은 사유는 △정보집합물 부당결합을 통한 개인신용정보 부당 이용 및 제공·활용동의절차 부당 운영 △신용정보전산시스템 안전보호 의무 위반 △겸영업무 신고의무 위반 △내보험 조회서비스 관련 개인신용정보 부당 수집·이용 및 프로그램변경․통제 불철저 등이다.

앞서 금감원은 지난 2022년 빅테크의 금융업 진출 확대에 따른 소비자 피해를 방지하기 위해 대형 전자금융거래업자를 대상으로 수시검사를 진행했다. 검사 결과 토스는 정보집합물을 부당하게 결합해 고객의 개인신용정보를 무단 이용한 것으로 나타났다.

우선 토스는 전자영수증 솔루션업체 A로부터 제공받은 전자영수증 거래정보 2928만2869건을 정보주체 동의 없이 데이터전문기관을 통하지 않고 자사 회원의 카드거래 내역과 직접 결합해 이용했다.

신용정보법(제33조 제1항)에 따르면 개인신용정보는 신용정보주체로부터 동의를 받은 경우에만 이용해야 한다. 또 자기가 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합할 경우에는 데이터전문기관을 통해 이뤄져야 한다.

아울러 토스는 회원가입 때 동의받는 개인정보 수집·이용 동의서에서 전자금융·마이데이터서비스제공을 '선택적 동의사항'이 아닌 '필수적 동의사항'으로 표시해 463만1801명의 개인신용정보 수집·이용 동의를 받았다. 이 과정에서 동의사항과 서비스의 관련성도 설명하지 않았다.

신용정보법(제32조 제4항)에선 개인신용정보의 제공 및 활용과 관련해 동의를 받을 때는 필수적 동의사항과 선택적 동의사항을 구분해 설명한 후 각각 동의를 받아야 하며, 필수적 동의사항의 경우 서비스 제공과의 관련성을 설명해야 한다.

또 토스는 '내보험 조회서비스' 관련해 개인신용정보수집에 동의하지 않은 이용자 274명의 보험가입내역, 보험계약현황 등 개인신용정보를 토스 서버에 수집·저장했다. 이렇게 부당하게 수집된 개인신용정보를 이용해 274명의 이용자 본인에게 2102회에 걸쳐 '내보험 조회서비스'를 제공했다.

신용정보법상 신용정보 전산시스템 안전보호 의무도 위반했다. 토스는 고객의 거래내역 등 개인신용정보를 처리할 수 있도록 구성한 전산시스템인 '하둡' 시스템의 접속기록을 별도의 물리적인 저장장치에 백업해 보관하지 않았다.

임직원 261명에게 하둡에 대한 접근권한을 부여하고, 하둡에 저장된 전체 개인신용정보에 대해 직급이나 담당업무에 따른 구분 없이 동일한 조회 권한을 부여했다.

이어 임직원이 하둡에 접속해 개인신용정보를 처리한 접속기록에 대한 정기적 확인·감독을 실시하지 않았고, 개인신용정보 취급자가 입력하는 조회사유의 정확성에 대한 점검도 실시하지 않은 것으로 드러났다.

wony@tf.co.kr

Copyright@더팩트(tf.co.kr) All right reserved.