[박나룡 보안칼럼] 토스(toss) 제재에서 ‘느끼는’ 금융 컴플라이언스

‘최근 금융감독원이 토스에 60억원에 달하는 벌금을 부과한 내용에 대한 의견’

▶개인신용정보취급자가 입력하는 조회 사유의 정확성에 대한 점검 미실시

▶‘개인정보 수집·이용 동의’ 화면에서 ‘닫기’ 버튼을 눌러 서비스 이용 동의를 “거부”하였으나, 개인정보 수집 저장함

▶제공받은 전자영수증 거래정보 3천만 건을 정보주체 동의 없이 사업성 분석 목적으로, 토스 회원의 카드 거래내역과 직접 결합하여 이용한 사실

▶토스의 전자금융 및 마이데이터 서비스 제공을 위하여 필수가 아닌 사항에 대하여 선택적 동의 사항이 아닌 필수적 동의 사항으로 표시

▶하둡 시스템의 접속기록을 별도의 물리적인 저장장치에 백업하여 보관하지 않음

▶하둡에 직급이나 담당업무에 따른 구분 없이 동일한 조회 권한 부여

29일, 금융감독원은 지난 2022년 조사에서 확인된 부분에 대해 ‘토스’ 운영사인 비바리퍼블리카에 고객의 개인신용정보 부실 및 부당 이용 등의 사유로 기관에 대해서는 기관주의와 함께 과징금 53억7400만원, 과태료 6억2800만원 등 60억원이 넘는 벌금을 부과했다.

또한, 임직원에 대한 제재로 감봉 3월 1명, 견책 1명, 퇴직자 위법·부당사항(견책 상당) 2명, 주의적 경고 1명, 퇴직자 위법·부당사항(주의적 경고 상당) 1명, 주의 4명, 퇴직자 위법·부당사항(주의 상당) 1명 등 가볍지 않은 제재 조치를 취했다.

금융감독원에서 공개한 ‘241025_㈜비바리퍼블리카_제재내용 공개’ 자료를 기반으로 구체적인 내용을 살펴보면,

1. 정보집합물 부당 결합을 통한 개인신용정보 부당 이용

-제공받은 전자영수증 거래정보 약 3천만 건을 정보주체 동의 없이 사업성 분석 목적으로 데이터 전문기관을 통하지 않고, 토스가 보유하고 있는 토스 회원의 카드 거래내역과 직접 결합하여 이용한 사실.

신용정보법 제33조 제1항에 의하면 개인신용정보는 해당 신용정보 주체가 신청한 금융거래 등 상거래 관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이용하거나, 그 외의 다른 목적으로 이용하는 것에 대하여 신용정보주체로부터 동의를 받은 경우 등 허용된 경우에만 이용하여야 하며, 동법 제17조의2 제1항에 의하면 신용정보회사등은 자기가 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합하려는 경우에는 데이터전문기관을 통하여 결합하여야 하는데도 토스는 2021.11.2. ~ 2022.4.13. 기간 중 전자영수증 솔루션업체인 A로부터 제공받은 전자영수증 거래정보 29,282,869건을 정보주체의 동의 없이 사업성 분석 목적으로 데이터 전문기관을 통하지 않고 토스가 보유하고 있는 토스 회원의 카드 거래 내역과 직접 결합하여 이용한 사실이 있음.

2. 개인신용정보의 제공·활용 동의 절차 부당 운영

-개인정보 수집 동의서 상에서 ‘신규서비스 개발을 위한 연구분석, 맞춤형 리포트 제공’ 등과 같이 토스의 전자금융 및 마이데이터 서비스 제공을 위하여 필수적이지 아니한 사항에 대하여 선택적 동의 사항이 아닌 필수적 동의 사항으로 표시하고, 필수 동의 사항과 서비스 제공의 관련성도 설명하지 않음.

신용정보법 제32조 제4항에 의하면 신용정보회사 등은 개인신용 정보의 제공 및 활용과 관련하여 동의를 받을 때에는 필수적 동의사항과 선택적 동의사항을 구분하여 설명한 후 각각 동의를 받아야 하며, 필수적 동의 사항의 경우 서비스 제공과의 관련성을 설명하여야 하는데도 토스는 검사대상 기간 중 회원가입 시 동의받는 ‘개인정보 수집·이용 동의서(이하 ’동의서‘라 함)’상에서 ‘신규서비스 개발을 위한 연구분석, 맞춤형 리포트 제공’ 등과 같이 토스의 전자금융 및 마이데이터 서비스 제공을 위하여 필수적이지 아니한 사항에 대하여 선택적 동의 사항이 아닌 필수적 동의 사항으로 표시하여 개인신용정보 수집·이용 동의(검사대상기간 중 총 4,631,801명 동의)를 받았으며, 동 필수적 동의 사항과 서비스 제공의 관련성도 설명하지 아니하였음.

3. 신용정보전산시스템 접속기록 백업 미실시

-토스는 서비스 운영 데이터베이스 처리시스템에 저장된 개인신용정보 테이블 150개를 하둡으로 매일 이관하여 저장하는 상황에서, 개인신용정보처리시스템인 하둡 시스템의 접속기록을 별도의 물리적인 저장장치에 백업하여 보관하지 않음.

신용정보법, 신용정보업 감독규정 등에 의하면 신용정보회사는 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경·훼손 및 파괴, 그 밖의 위험에 대비한 안전보호를 위하여 개인신용정보처리시스템의 접속기록을 1년 이상 저장하고, 위ㆍ변조되지 않도록 별도 저장장치에 백업·보관해야 함에도 토스는 고객의 거래내역 등 개인신용정보를 처리할 수 있도록 체계적으로 구성한 전산시스템인 하둡 시스템의 접속기록을 별도의 물리적인 저장장치에 백업하여 보관하지 아니하였음(하둡 내에 저장)

4. 신용정보전산시스템 관리적 보안대책 등 위반

-직급이나 담당업무에 따른 구분 없이 동일한 조회 권한을 부여하고, 하둡 접속기록에 대한 정기적 확인·감독과 개인신용정보취급자가 입력하는 조회 사유의 정확성에 대한 점검 미실시, 위법 사항에 대한 임직원의 신용정보보호 관련 법령 및 규정 준수 점검 미실시.

신용정보회사등은 개인신용정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 최소한의 인원에게만 부여하고, 개인신용정보 조회 권한이 직급별ㆍ업무별로 차등 부여하며, 개인신용정보취급자가 입력하는 조회사유의 정확성 등 신용조회기록의 정확성을 점검해야 하지만, 2022.4.18 기준 임직원 261명에게 하둡에 대한 접근권한을 부여하고, 하둡에 저장된 전체 개인신용정보에 대해 직급(부문장, 팀장급, 직원 등)이나 담당업무(서비스개발, 서비스운영, 재무·회계, 마케팅·영업, 인사채용 등)에 따른 구분 없이 동일한 조회 권한을 부여하였고, 임직원이 하둡에 접속하여 개인신용정보를 처리한 접속기록에 대한 정기적 확인·감독을 실시하지 않았고, 개인신용정보취급자가 입력하는 조회 사유의 정확성에 대한 점검도 실시하지 않음.

또한, 임직원 등의 신용정보보호 관련 법령 및 규정 준수 여부를 점검하고 점검업무처리에 따른 기록을 3년간 보존해야 하며, 점검결과를 경영진에게 보고하고 업무처리절차에 적절히 반영하여야 함에도, A로부터 입수한 영수증 정보의 이용 과정에서 다수의 위법사항이 있었음에도 이를 담당하는 임직원의 신용정보보호 관련 법령 및 규정 준수에 대한 점검 미실시.

5. ‘내보험 조회서비스’ 관련 개인신용정보 부당 수집·이용

-수집에 동의하지 않은 이용자 274명의 보험가입내역, 보험계약현황 등 개인신용정보를 토스 서버에 수집·저장하고, 부당하게 수집된 개인신용정보를 이용하여 2022.5.9. ~ 2022.6.23. 기간 중 274명의 이용자 본인에게 2,102회에 걸쳐 ‘내보험 조회 서비스’를 제공

개인신용정보는 해당 신용정보 주체가 신청한 금융거래 등 상거래 관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이용하거나, 그 외의 다른 목적으로 이용하는 것에 대하여 신용정보주체로부터 동의를 받은 경우 등 허용된 경우에만 이용하여야 하는데도, 토스는 2022.5.9. 14:05 ~ 2022.6.15. 15:21 기간 중 개인신용정보 수집에 동의하지 않은 이용자 274명의 보험가입내역, 보험계약현황 등 개인신용정보를 토스 서버에 수집·저장하고, 부당하게 수집된 개인신용정보를 이용하여 2022.5.9. ~ 2022.6.23. 기간 중 274명의 이용자 본인에게 2,102회에 걸쳐 ‘내보험 조회 서비스’를 제공한 사실이 있음.

6. ‘내보험 조회서비스’ 프로그램 변경․통제 불철저

-‘개인정보 수집·이용 동의’ 화면에서 ‘닫기’ 버튼을 눌러 서비스 이용 동의를 거부하였음에도 이용자의 동의 거부 시 서비스 동작의 정확성에 대한 충분한 테스트를 실시하지 않아, 이용자 274명의 보험가입내역, 보험계약현황 등 개인신용정보를 토스 서버에 수집·저장.

전자금융업자는 전자적 전송이나 처리를 위한 운영 시스템 적용 시 처리하는 정보의 기밀성‧무결성‧가용성을 고려하여 충분한 테스트를 실시하여야 하는데도, 토스는 2022.5.9. 자사 모바일 앱內 ‘내보험 조회 서비스’의 개인정보 수집·이용 동의 절차 관련 프로그램을 변경하면서 이용자의 동의 거부 시 서비스 동작의 정확성 등에 대한 충분한 테스트를 실시하지 아니하여 개인신용정보 수집에 동의하지 않은* 이용자 274명의 보험가입내역, 보험계약현황 등 개인신용정보를 토스 서버에 수집·저장하였음 (*‘개인정보 수집·이용 동의’ 화면에서 ‘닫기’ 버튼을 눌러 서비스 이용 동의를 거부)

7. 정보처리시스템 구축 사업 관련 의무 위반

-사업 추진 시 사전에 충분한 타당성 검토 후 결과는 전산운영위원회 등 독립적인 조직의 승인을 받아야 하나, 내규상 타당성 검토 대상에 해당하는 건에 대해 승인받지 않음.

전자금융업자는 전자금융감독규정에 따라 내부 직무전결 기준상 부서장 전결 금액 이상의 정보처리시스템 및 전자금융 거래 관련 사업 추진 시 사전에 충분한 타당성 검토를 실시하고, 그 결과는 전산운영위원회 등 독립적인 조직의 승인을 받아야 하는데도, 토스는 검사대상기간 중 정보처리시스템 구축을 위해 총 5건의 전산 장비(서버, 네트워크 등)를 구매 또는 증설하는 사업을 추진하면서 내규상 타당성 검토 대상에 해당(사업금액 10억원 초과)함에도 동 5건의 사업 모두 독립적인 조직인 IT예산심의위원회로부터 승인을 받지 않은 사실이 있음

추가로, 겸영업무 신고의무 위반 건으로, 신용정보법에 의하면, 본인신용정보관리회사는 공인전자문서중계업을 영위하고자 하는 경우 미리 금융위원회에 신고를 하여야 함에도, 토스는 금융위원회에 미리 신고하지 않고 B와 ‘전자고지 서비스 제공 계약’을 체결하여, 2022.3.14. 공인전자문서(민방위 교육훈련 통지서) 14,138건을 발송하고 그 수수료 약 486천원을 수령하였음 (*검사 기간 중 금융위원회 신고 수리 완료(2022.4.8.)).