토스뱅크가 비대면 계좌 상품을 취급하면서 고객 확인 의무와 안전성 확보 의무 등을 위반해 금융당국으로부터 제재를 받았다.

20일 금융권에 따르면 금융감독원은 최근 토스뱅크에 △기관주의와 과태료 1500만원 △직원 견책 및 주의에 해당하는 제재를 내렸다. 토스뱅크가 위반한 것은 △금융거래 실명확인 의무 및 고객확인 의무 △전자금융거래의 안전성 확보 의무다.

금융감독원 제재 공시를 보면 토스뱅크는 2023년 10월 10일부터 2024년 2월 10일까지 4개월 동안 비대면 미성년자 명의 계좌(상품명 '아이통장·적금') 발급 업무를 취급하면서 프로그램 오류를 이유로 계좌개설 신청인인 부모가 미성년자의 법정대리인(친권자)으로서 권한을 보유하는지 여부를 적정하게 확인하지 못했다.

그 결과 계좌 명의인의 법정대리인이 아닌 부모에 의해 총 2464건(8900만원)의 계좌가 개설됐다. 해당 상품은 미성년자의 법정대리인인 부모가 비대면 방식으로 부모 명의의 가족관계증명서와 미성년자 고객 명의의 기본증명서를 제출해 미성년자 고객 명의로 예금계좌를 개설할 수 있는 상품이다.

'금융실명거래 및 비밀보장에 관한 법률(금융실명법)' 제3조 제1항 및 '특정금융거래정보의 보고 및 이용 등에 관한 법률(특정금융정보법)'에 따르면 금융회사 등은 거래자의 실지명의를 확인한 후 신규 계좌 개설 등 금융거래를 해야 한다.

또 부 또는 모가 명의인인 미성년자를 대신해 금융거래를 요청하는 경우 그 법정대리인의 권한 유무를 확인해야 한다. 비대면 실명확인의 경우 미성년자의 법정대리인인 부모가 제출하는 가족관계증명서와 기본증명서를 통해 법정대리권(친권)을 확인해야 하는 것이다.

토스뱅크는 또 2023년 6월 12일부터 2023년 10월 9일까지 4개월 간 미성년자를 대상으로 한 비대면 상품 '아이통장·적금' 상품을 개발하면서 비대면 실명확인을 위해 대법원 전자가족관계등록시스템에서 명의자(미성년자)의 기본증명서 내용을 스크래핑(데이터 추출) 하는 프로그램 상 스크래핑 범위를 지정하는 기준을 잘못 설정했다.

이에 기본증명서 양식 가운데 일반 등록사항 기재 내용(친권자 정보 등)을 적정하게 스크래핑하지 못하는 상태였는데도 대법원의 전자가족관계등록시스템에서 직접 스크래핑을 실행하는 테스트를 수행하지 않아 이를 발견하지 못했다.

임직원 대상 테스트를 할 때도 친권 변동이 없는 한정된 케이스로만 테스트를 실시하는 등 무결성 검증을 위한 테스트를 소홀히 해 전자금융거래의 안전성 확보 의무를 위반했다.

전자금융거래법 제21조 제2항, 전자금융감독규정 제7조 및 제29조 제6호에 따르면 금융회사는 프로그램의 운영시스템 적용 시 처리하는 정보의 기밀성·무결성·가용성을 고려해 충분한 테스트를 실시해야 한다.

황금빛 기자