“개인정보 무단 수집·이용” 금감원, 토스에 벌금 60억·기관주의 조치

김서지 기자김서지 기자 입력 수정
160X600_GIAI_AIDSNote 
과징금 철퇴 맞은 토스, 개정 신정법 따른 첫 제재 사례
지난 2022년에도 개인정보 판매로 구설수 휩싸여
신정법 위반 혐의 받는 카카오페이, 토스 전철 밟을까
toss_20241029

모바일 금융 플랫폼 ‘토스’ 운영사인 비바리퍼블리카가 ‘신용정보의 이용 및 보호에 관한 법률(이하 신정법)’ 위반 등으로 과징금 철퇴를 맞았다. 2020년 시행된 개정 신정법에 따른 최초 제재 사례가 등장한 것이다. 이에 업계의 이목은 토스와 동일하게 신정법 위반으로 제재 절차를 밟고 있는 카카오페이의 처분에 집중되고 있다.

금융당국, 토스에 과징금·과태료 부과

28일 금융권에 따르면 금감원은 최근 제재 공시를 통해 고객 거래 정보를 무단으로 수집해 이용한 토스에 대해 신정법 등을 위반한 혐의로 과징금 53억7,400만원, 과태료 6억2,800만원을 부과했다고 밝혔다. 기관주의 조치와 함께 감봉 3월 1명과 견책 1명 등 전·현직 임직원 11명에게도 제재를 부과했다.

금감원 조사 결과 토스는 2021년 11월 2일부터 2022년 4월 13일까지 전자영수증 솔루션 업체로부터 받은 2,928만여 건의 거래 정보를 정보 주체 동의 없이 사업성 분석 목적으로 직접 토스 회원의 카드 거래 내역과 결합해 이용했다. 신정법에 따르면 개인신용정보는 해당 신용정보 주체가 신청한 금융 거래 등 상거래 관계의 설정과 유지 여부 등을 판단하기 위한 목적으로만 이용해야 하며, 그 외 다른 목적으로 이용할 때는 반드시 정보 주체의 동의를 받아야 한다. 또 자사가 보유한 정보 집합물을 제3자가 보유한 정보 집합물과 결합하려는 경우엔 데이터 전문 기관을 통해야만 한다.

토스는 개인신용정보 제공·활용 동의 절차도 제대로 지키지 않았다. 신용정보회사는 개인신용정보의 제공·활용과 관련해 동의를 받을 때 필수·선택적 동의 사항을 구분해 설명한 후 각각 동의받아야 하지만 토스는 선택적인 동의 사항도 필수적인 것으로 표시해 463만1,801명으로부터 부당하게 개인신용정보 제공·활용 동의를 받았고, 관련한 설명도 제공하지 않았다. 이외로도 △신용정보 전산시스템 접속 기록 백업 미실시 △전산시스템 관리적 보안 대책 위반 △’내보험 조회 서비스’ 관련 개인신용정보 부당 수집·이용 등의 문제가 금감원 검사 과정에서 적발됐다.

토스의 ‘개인정보 판매’ 논란

토스는 앞서 지난 2022년에도 개인정보 판매로 이익을 얻으며 각종 구설수에 휩싸인 바 있다. 우선 2022년 6월에는 토스가 ‘내 보험’ 서비스를 이용한 고객 중 1,700여 명의 개인정보를 유료로 600여 명의 보험 설계사에게 제공했다는 소식이 전해졌다. 당시 토스는 개인정보 판매와 관련해 고객들에게 미리 동의를 받았으며 법적으로도 문제가 없다고 밝혔다. 그러나 토스가 보험 설계사에게 정보를 제공한다고 했을 뿐 판매한다고는 고지하지 않았다는 사실이 확인되며 여론이 악화했고, 결국 토스는 고객이 보험 상담을 선택할 때 ‘설계사가 유료로 고객 정보를 조회한다’는 내용을 동의 과정에 명시했다.

같은 해 9월에는 토스가 고객의 개인정보를 판매해 대규모 이익을 창출했다는 사실이 확인되기도 했다. 당시 국회 정무위원회 소속 더불어민주당 황운하 의원 측은 토스가 2018년부터 2022년까지 여러 법인 보험 대리점(GA)과 보험 설계사에게 개인정보 82만 명분을 팔아 총 292억원을 벌었다고 지적했다. 이때 집계된 이익은 법인 보험 대리점 ‘리드’의 매출이다. 리드는 보험 상담 신청 고객 중 법인 보험 대리점과 실제로 연결돼 매출 정산 대상이 되는 고객의 데이터를 뜻한다.

이 같은 논란과 관련해 토스 측은 자사가 2022년 1월 ‘본인신용정보관리업'(마이데이터) 사업자 자격을 획득해 합법적으로 데이터 판매 및 중개 업무를 수행할 수 있으며, 개인·신용정보 판매 역시 법적으로 문제가 없다는 입장을 표명했다.

kakao_fe_20241029

카카오페이도 대규모 과징금 내나

이처럼 2년 전 법령의 허점을 틈타 한 차례 위기를 넘긴 토스는 이번 금감원 제재로 끝내 ‘덜미’를 잡히게 됐다. 당국이 토스 측에 막대한 벌금을 부과한 가운데, 업계는 지난 2020년 신정법 개정 이후 첫 제재 사례가 등장했다는 점에 주목하고 있다. 기존 신용정보법은 사안 발생 당해 ‘관련 매출의 3%’를 과징금 상한선으로 정했으나, 개정법은 이를 당해 ‘전체 매출의 3%’로 확대했다. 신정법 시행령은 해당 회사의 직전 3개 사업연도 연평균 매출 3% 이하에서 과징금을 부과할 수 있다고 명시하고 있다.

시장은 토스와 함께 신정법 위반으로 제재 절차를 밟아온 카카오페이의 처분에 촉을 곤두세우고 있다. 지난 8월 금감원은 카카오페이가 2년에 걸쳐 4,045만 명의 개인신용정보(542억 건)를 이용자 동의 없이 중국 계열 기업인 알리페이에 제공한 사실을 적발한 바 있다. 금감원은 카카오페이가 제3자인 알리페이에 개인정보를 제공하며 신정법을 위반했다고 보고 있다.

만약 금감원 조사 결과대로 카카오페이의 신정법 위반 사실이 확인될 경우, 카카오페이 역시 대규모 ‘과징금 철퇴’를 맞게 될 것으로 보인다. 카카오페이의 직전 3개 사업연도 매출은 △2021년 4,586억원 △2022년 5,214억원 △2023년 6,154억원이다. 3개 사업연도 평균 매출은 5,318억원으로, 신정법과 그 시행령에 따르면 최대 159억5,400만원에 달하는 과징금이 부과될 수 있다. 다만 실제 과징금 부과액은 심의 과정에서 이보다 낮아질 수 있다. 금융당국은 위반 행위의 동기와 중대성, 사전 인지 여부 등을 고려해 제재 수위를 결정한다.

김서지 기자

김서지 기자

[email protected] 매일같이 달라지는 세상과 발을 맞춰 걸어가고 있습니다. 익숙함보다는 새로움에, 관성보다는 호기심에 마음을 쏟는 기자가 되겠습니다.

관련기사