금융감독원이 고객정보를 무단으로 수집하고 이용한 비바리퍼블리카(토스)에 과징금과 과태료를 부과했다. 여기에 더해 관련 임직원에게도 신분제재를 처분했다.
28일 금융권에 따르면 금감원은 토스에 기관주의, 과징금 53억7400만원, 과태료 6억2800만원을 부과했다고 밝혔다. 임직원들에게는 감봉, 견책, 주의, 주의적 경고 등을 적용했다.
지난 2022년 금감원은 빅테크의 금융업 진출 확대에 따른 소비자 피해를 방지하기 위해 대형 전자금융거래업자를 대상으로 수시검사를 진행한 바 있다. 금감원 검사 결과 토스는 정보집합물을 부당하게 결합해 고객의 개인신용정보를 무단 이용한 것으로 나타났다.
전자영수증 솔루션업체 A로부터 제공받은 전자영수증 거래정보 2928만2869건을 정보주체 동의 없이 사업성 분석 목적으로 데이터전문기관을 통하지 않고 토스가 보유한 토스 회원의 카드거래 내역과 직접 결합해 이용했다.
신용정보법에 따르면 개인신용정보는 신용정보주체로부터 동의를 받은 경우에만 이용해야 하며, 관련 정보 결합도 데이터전문기관을 통해 이뤄져야 한다.
아울러 토스는 회원가입 때 동의받는 개인정보 수집·이용 동의서에서 전자금융·마이데이터서비스제공을 '선택적 동의사항'이 아닌 '필수적 동의사항'으로 표시해 463만1801명의 개인신용정보 수집·이용 동의를 받았다.
이 과정에서 동의사항과 서비스의 관련성도 설명하지 않았다. 또 토스는 ‘내보험 조회서비스’ 관련해 개인신용정보수집에 동의하지 않은 이용자 274명의 보험가입내역, 보험계약현황 등 개인신용정보를 토스 서버에 수집·저장했다.
이렇게 부당하게 수집된 개인신용정보를 이용해 274명의 이용자 본인에게 2102회에 걸쳐 ‘내보험 조회서비스’를 제공했다.
신용정보법상 신용정보 전산시스템 안전보호 의무도 위반했다. 토스는 고객의 거래내역 등 개인신용정보를 처리할 수 있도록 구성한 전산시스템인 ‘하둡’ 시스템의 접속기록을 별도의 물리적인 저장장치에 백업해 보관하지 않았다.
임직원 261명에게 하둡에 대한 접근권한을 부여하고, 하둡에 저장된 전체 개인신용정보에 대해 직급이나 담당업무에 따른 구분 없이 동일한 조회 권한을 부여했다. 이어 임직원이 하둡에 접속해 개인신용정보를 처리한 접속기록에 대한 정기적 확인·감독을 실시하지 않았고, 개인신용정보 취급자가 입력하는 조회사유의 정확성에 대한 점검도 실시하지 않았다.