[초점] 지난달 개인정보보호 표창받은 토스, 이달엔 부당이용으로 벌금 60억 철퇴

[초점] 지난달 개인정보보호 표창받은 토스, 이달엔 부당이용으로 벌금 60억 철퇴

포인트경제 2024-10-29 11:21:47 신고

토스... 개인정보 부실·부당이용, 안전보호 의무 위반 등
과징금 53억7400만원, 과태료 6억2800만원 등
임직원들에 대해 감봉, 견책, 경고, 주의 등 다수 제재

[포인트경제] 지난달 개인정보 보호 책임자 분야 국가 유공 표창받은 토스가 이번달엔 개인정보 부당 이용 등으로 벌금 60억이 부과됐다.

금융시장에서 혁신적 스타트업으로 주목받으며 성장하고 있는 토스가 실상 자사 마케팅을 목적으로 법규정을 지키지 않으며 개인신용정보를 활용하며 방만한 운영을 해왔음이 드러난 것이다.

토스 갈무리 (포인트경제) 토스 갈무리 (포인트경제)

금융감독원은 ‘토스’ 운영사인 비바리퍼블리카에 고객의 개인신용정보를 부실 및 부당 이용 등의 사유로 기관주의와 함께 과징금 53억7400만원, 과태료 6억2800만원 등 60억원의 벌금을 부과했다. 또한 임직원들에 대해 감봉, 견책, 경고, 주의 등 다수에 대한 제재도 내려졌다.

토스가 이러한 제재를 받은 사유는 구체적으로 무엇일까?

금융감독원의 토스 제재 사유

▲ 정보집합물 부당결합을 통한 개인신용정보 부당 이용 및 제공·활용동의절차 부당 운영 ▲ 신용정보전산시스템 안전보호 의무 위반 ▲겸영업무 신고의무 위반 ▲'내보험 조회서비스' 관련 개인신용정보 부당 수집·이용 및 프로그램변경․통제 불철저 등

28일 금감원에 따르면 토스는 전자영수증 솔루션업체로부터 제공받은 전자영수증 거래정보 2928만2869건을 정보주체 동의 없이 사업성 분석 목적으로 데이터전문기관을 통하지 않고 토스가 보유한 토스 회원의 카드거래 내역과 직접 결합해 이용했다.

현행 신용정보법(제33조 제1항)에 따르면, 개인신용정보는 해당 신용정보 주체가 신청한 금융거래 등 상거래 관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이용하거나, 그 외의 다른 목적으로 이용할 경우 신용정보주체로부터 동의를 받은 경우만 이용해야한다. 또 자기가 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합할 경우에는 데이터전문기관을 통해 결합해야한다.

토스 CI 토스 CI

토스는 회원가입 때 동의받는 개인정보 수집·이용 동의서에서 전자금융·마이데이터서비스제공을 위해 필수적이지 아닌 사항을 ‘선택적 동의사항’이 아닌 ‘필수적 동의사항’으로 표시해 463만1801명의 개인신용정보 수집·이용을 동의 받았다. 현행 신용정보법(제32조 제4항)에선 개인신용정보의 제공 및 활용과 관련해 동의를 받을 때는 필수적 동의사항과 선택적 동의사항을 구분해 설명한 후 각각 동의를 받아야하며, 필수적 동의사항의 경우 서비스 제공과의 관련성을 설명해야한다.

게다가 토스는 고객의 거래내역 등 개인신용정보를 처리할 수 있도록 구성한 전산시스템인 ‘하둡(Hadoop) 시스템’의 접속기록을 별도의 물리적인 저장장치에 백업해 보관하지 않아 신용정보법상 신용정보 전산시스템 안전보호 의무도 지키지 않았다. 하둡은 Java 기반의 오픈소스 프레임워크로, 애플리케이션의 대규모 데이터의 저장과 처리를 관리한다.

현행 신용정보법(제19조 제1항 등)에 따르면, 신용정보회사 등은 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된정보의변경·훼손 및 파괴, 그 밖의 위험에 대비한 안전보호를 위해 개인신용정보처리시스템의 접속기록을 1년 이상 저장하고, 위·변조되지 않도록 별도 저장장치에 백업·보관해야한다.

토스는 서비스운영 데이터베이스처리시스템에 저장된 개인신용정보테이블 150개를 하둡으로 매일 이관해 저장했다. 저장된 주요 정보는 고객번호, 거래일시·금액, 카드승인번호·승인일시·승인금액, 선불충전 거래액·요청금액·잔액, 신용점수, 연체·대출건수, 신용정보조회·연대보증건수, 확정 금리·한도, 대출 기간·승인 시각, 보험상품명칭 등이 포함된다.

개인신용정보처리시스템에 대한 접근권한을 최소한의 인원에게만 부여하고 접속기록을 위변조하지 않도록 별도저장장치에 백업 및 보관해야 하지만, 토스는 임직원 261명에게 하둡에 대한 접근권한을 부여하고, 하둡에 저장된 전체 개인신용정보 대해 직급(부문장, 팀장급, 직원등) 이나 담당업무(서비스개발, 서비스운영, 재무·회계, 마케팅·영업, 인사채용등)에 따른 구분 없이 동일한 조회 권한을 부여한 것으로 드러났다. 전체 91개 부서중 61개 부서(서비스 개발·운영 부서 및 재무·회계, 마케팅·영업, 인사채용 등 업무부서 포함)에 접근권한을 부여했다.

금융감독원 /사진=뉴시스 (포인트경제) 금융감독원 /사진=뉴시스 (포인트경제)

토스는 임직원이 하둡에 접속해 개인신용정보를 처리한 접속기록에 대한 정기적 확인·감독을 실시하지 않았고 개인신용정보취급자가 입력하는 조회사유의 정확성에 대한 점검을 실시하지 않았다.

토스는 금융위원회에 미리 신고하지 않고 업체와 ‘전자고지서비스제공 계약’을 체결해 지난 2022년3월14일 공인전자문서(민방위 교육훈련통지서)를 1만4138건을 발송했다.

‘내보험 조회서비스’ 관련해서도 개인신용정보수집에 동의하지 않은 이용자 274명의 보험가입내역, 보험계약현황 등 개인신용정보를 토스 서버에 수집·저장한 것으로 드러났다. 또 부당하게 수집된 개인신용정보를 이용해 274명의 이용자 본인에게 2102회에 걸쳐 '내보험조회서비스'를 제공했다.

토스는 지난 2022년 5월, 자사 모바일 앱내 '내보험 조회 서비스'의 개인정보수집·이용 동의 절차 관련 프로그램을 변경하면서 이용자의 동의거부시서비스 동작의 정확성 등에 대한 충분한 테스트를 실시하지 않았다. 테스트 시나리오, 테스트 케이스 등 테스트를 실시한 명문화된 증빙자료가 없음도 지적받았다.

또 토스는 조사대상기간중 정보처리시스템 구축을 위해 총 5건의 전산장비(서버, 네트워크 등)를 구매 또는 증설하는 사업을 추진하면서 내규상타당성 검토 대상에 해당(사업금액 10억원 초과)함에도 동 5건의 사업모두 독립적인 조직인 IT예산심의위원회으로부터 승인을 받지않았다.

이번에 내려진 토스 임직원 제재는 감봉 3개월 1명, 견책 1명, 퇴직자 견책 2명, 주의적 경고 1명, 퇴직자 주의적 경고 1명, 주의 4명, 퇴직자 주의 1명 등이다.

아이러니하게도 토스는 지난달 30일 개인정보보호위원회가 주최한 '개인정보 보호의 날' 행사에서 탁월한 성과를 인정받아 우수 개인정보 보호 책임자 분야에서 국가 유공 표창을 수상했다. 금감원의 이번 제재와는 전혀 상반되는 수상으로 보인다. 또 지난 2021년에 토스는 정보보호산업 발전에 기여한 공로로 장관 표창을 받기도 했다.

한펴, 토스는 이달 초 '개인정보보호 리포트'를 발간한 바 있다. 당시 토스 관계자는 “이번 리포트를 통해 토스가 개인정보 보호를 최상위 가치로 삼고 있으며, 이를 위해 얼마나 많은 노력을 기울이고 있는지 종합적으로 소개하고자 했다”라고 말했다.

Copyright ⓒ 포인트경제 무단 전재 및 재배포 금지

실시간 키워드

  1. -
  2. -
  3. -
  4. -
  5. -
  6. -
  7. -
  8. -
  9. -
  10. -

0000.00.00 00:00 기준

이 시각 주요뉴스

당신을 위한 추천 콘텐츠

알림 문구가 한줄로 들어가는 영역입니다

신고하기

작성 아이디가 들어갑니다

내용 내용이 최대 두 줄로 노출됩니다

신고 사유를 선택하세요

이 이야기를
공유하세요

이 콘텐츠를 공유하세요.

콘텐츠 공유하고 수익 받는 방법이 궁금하다면👋>
주소가 복사되었습니다.
유튜브로 이동하여 공유해 주세요.
유튜브 활용 방법 알아보기