토스 개인정보보호법 위반 해석 놓고 부처간 책임 떠넘기기 '눈살'

배옥진 2022. 1. 13. 14:02
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

토스가 마이데이터 서비스 제공 과정에서 촉발된 개인정보보호법 위반 여부를 놓고 개인정보보호위원회(개보위)와 금융위원회가 서로 책임 떠넘기기를 하고 있어 눈살을 찌푸리게 하고 있다.

위반 논란 핵심은 표준API 방식 마이데이터 전면 시행을 앞두고 토스가 통합인증에 대한 사용자 동의를 제대로 받지 않고 안내문만 노출한 것에서 시작했다.

토스는 마이데이터 통합인증 시 사용자가 개인정보 제공에 대한 동의의사를 표현하는 수단인 체크박스 기능을 없애 문제가 됐다.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
마이데이터 통합 인증 때
사용자 동의 제대로 안받아
"우리가 판단할 영역 아니다"
개보위-금융위 서로 미뤄

ⓒ게티이미지뱅크

ⓒ게티이미지뱅크

토스가 마이데이터 서비스 제공 과정에서 촉발된 개인정보보호법 위반 여부를 놓고 개인정보보호위원회(개보위)와 금융위원회가 서로 책임 떠넘기기를 하고 있어 눈살을 찌푸리게 하고 있다.

위반 논란 핵심은 표준API 방식 마이데이터 전면 시행을 앞두고 토스가 통합인증에 대한 사용자 동의를 제대로 받지 않고 안내문만 노출한 것에서 시작했다. (본지 1월 6일자 [단독]토스, 마이데이터 통합인증 '명시적동의' 논란 참조)

토스는 마이데이터 통합인증 시 사용자가 개인정보 제공에 대한 동의의사를 표현하는 수단인 체크박스 기능을 없애 문제가 됐다. 사용자가 의사표현을 할 수 있는 방법을 차단한 것이다.

토스 측은 “통합인증은 필수동의로만 돼 있어 별도 체크박스 없이 '고객 동의사실 확인 문구'만 제공해도 개보법 위반이 아니다”라고 주장했다. 또 “다른 금융사들은 기존 제공하던 방식을 그대로 채택해 필수동의에도 체크박스를 넣은 것 같다”고 해석했다.

동종업계 해석은 정반대로 엇갈렸다. 기본적으로 이용자 의사를 명확히 확인할 수 있도록 체크 표시를 하는 명시적 동의가 필요한데 토스는 안내문 형태의 '고객 동의사실 확인 문구'만 제공해 법 위반이라는 의견이 상당수다.

개보위가 발간한 '온라인 개인정보 처리 가이드라인'에 따르면 “이용자가 동의여부를 결정하고 자발적 의사에 따라 선택할 수 있는 방법을 마련해야 한다”고 명시돼 있다. 또 명시적·실질적 동의를 위해 “이용자가 명확히 인식·확인하게 한 상태에서 자발적 의사에 따라 동의 여부를 판단·결정한 것으로 볼 수 있어야 한다”고 언급돼 있다.

토스 법 위반 문제가 불거지자 지난 5일 금융위원회와 금융보안원은 전체 마이데이터 사업자에게 '개인정보보호법에 따라 고객으로부터 각각 명시적 동의를 받아야 한다'며 관련 이용약관과 동의서를 다시 안내했다. 토스도 당국 의견에 따라 해당 부분을 수정하고 적법한 사용자 데이터 확보를 위해 추가 동의 절차를 반영하고 있다.

토스의 통합인증 시 공동인증서 선택에 대한 사용자 동의안내 변경 전(왼쪽)과 후(오른쪽) 화면 비교. 변경 전에는 흐릿한 글씨로 고객 동의사실 확인 문구만 제공하고 있다. (사진=전자신문DB)

토스의 통합인증 시 공동인증서 선택에 대한 사용자 동의안내 변경 전(왼쪽)과 후(오른쪽) 화면 비교. 변경 전에는 흐릿한 글씨로 고객 동의사실 확인 문구만 제공하고 있다. (사진=전자신문DB)

서비스상 문제가 된 부분은 수정됐지만 토스의 법 위반 판단을 부처가 미루는 형국이다.

개보위는 금융 마이데이터 서비스 과정에서 발생한 문제이기 때문에 금융위가 해석하는 게 맞다고 주장한다. 금융위는 개보법에 근거한 규정이므로 개보위가 정확한 해석을 내리는 게 맞다고 맞섰다.

업계는 토스의 위반 행위에 대해 주무부처인 금융위원회가 나서야 한다고 목소리를 내고 있는 상황이다. 마이데이터 서비스 과정에서 소비자 알권리와 정보 주체에 대한 정확한 고지 의무를 지키지 않았기 때문에 법적 근거가 제시되지 않을 경우 제2, 제3의 정보보호 위반 사례가 나올 수 있다는 판단에서다.

토스는 지난해 11월 과기정통부로부터 전자서명인증사업자 인정까지 받았다. 전자서명인증사업자 인정은 공인인증서(현 공동인증서)와 동일한 자격의 민간 인증서를 서비스할 수 있는 요건을 갖춘 기업에 부여한다.

이 같은 업계 비판에 대해 금융위 관계자는 “통합인증 이용동의는 '개인신용정보'가 아닌 '개인정보'를 다루는 영역이어서 마이데이터 가이드라인에도 포함되지 않았다”며 “개인정보는 개보위가 다루는 개보법에서 판단하는게 정확하다”고 말했다.

반면에 개보위는 “마이데이터에서는 개인정보도 개인신용정보에 포함되기 때문에 금융 마이데이터 정책을 주관하는 금융위가 판단할 사안”이라고 맞섰다. 또 “정확한 해석을 원하면 금융위가 공문으로 유권해석을 요청해달라”고 덧붙였다.

현재 마이데이터 업계는 토스 서비스 수정 조치 이후 명확히 법 위반이라는 설명이 없어 논란이 가중되고 있다.

한 기업 관계자는 “토스처럼 간단하게 구현해도 별다른 제재가 없다는 것을 알았다면 우리도 사용자 편의를 위해 시도했을 것”이라며 “규정을 지키려는 노력이 헛수고 같다는 느낌을 지울 수 없다”고 토로했다.

모 시중은행 관계자는 “만약 시중은행이 동일한 잘못을 저질렀다면 금감원에서 '경고' 이상의 징계를 받을 수 있는 무거운 사안”이라며 “기울어진 운동장을 다시 체감하게 된다”고 말했다.

배옥진기자 withok@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
전자신문에서 직접 확인하세요. 해당 언론사로 이동합니다.