토스, 80만 정보로 292억 수익 '논란'…"마이데이터 관리 통합 필요" [데이터링]

[아이뉴스24 박진영 기자] 토스가 이용자의 80만 개인정보를 다른 사업자에 팔아 수익을 챙기면서 법적 논란이 일어났다. 이 가운데 신용 정보를 판매·중개할 수 있는 금융 마이데이터 사업자의 무분별한 개인정보 침해 가능성과 함께, 이를 관리할 수 있는 통합된 법적 체계의 필요성이 제기된다.

◆토스 이용자정보 팔아 수익 남겨…"법적 문제 없어"

토스가 마이데이터사업자 허가 이전부터 제 3자에게 개인정보를 유상 판매한 사실이 확인됐지만, 법적으로는 문제없다는 입장이다.

31일 황운하 의원실(더불어민주당) 자료에 따르면, 토스는 2018년부터 2022년 8월까지 토스 앱 내 보험상담을 신청한 이용자의 개인·신용정보 84만 9천501건을 법인 보험대리점과 개인 보험설계사에게 판매해 292억 원 상당의 매출을 올린 것으로 확인됐다.

이에 토스는 약관을 통해 고객들로부터 동의 받았고, 2020년 이후 개인정보 판매업을 함께 시행할 수 있는 마이데이터 사업권을 얻었기에 불법이 아니라는 입장을 밝혔다.

앞서, 지난 6월 토스는 앱 이용자의 개인정보를 1건당 6만9천원에 판매하여 논란이 있었다.

당시 토스는 "본인신용정보관리업(마이데이처) 사업자 자격을 올해 1월부터 획득하였기 때문에 관련 법령에 따라 '데이터 판매 및 중개 업무'를 수행할 수 있으므로, 개인·신용정보 판매는 법적으로 문제가 없다"면서, "현행법상 개인·신용정보 제3자 제공 동의만 받으면 유상고지를 하지 않아도 문제가 없다"는 입장을 표명했다.

하지만 개인정보 유상판매 논란이 지속되자, 결국 토스는 지난 6월 경 앱 이용자 약관에 이용자 정보가 유상판매 될 수 있다는 동의 내용을 명시하도록 약관을 개정했다. 한편, 현재 토스는 여전히 이용자 개인정보를 보험설계사에게 유상판매하는 서비스를 제공 중인 것으로 확인됐다.

토스의 주장처럼 현행 법률상 마이데이터사업자가 개인정보 제3자 제공 동의만 받으면 개인정보를 제3자에게 유상으로 판매해도 법률상 문제가 없는 것은 일부분 타당성이 있다.

하지만, 일반 이용자 입장에서 약관을 확인하지 않거나, 관련 내용을 잘 모르기 때문에 개인정보를 판매하는지 인식하지 쉽지 않아 이용자 보호를 강화해야 할 필요성이 제기된다.

이에 정치권에서는 금융기관 등 마이데이터 사업자가 무분별하게 개인정보를 판매하지 않도록 제도적 방안을 마련하고 있다.

이에 황 의원은 마이데이터 사업자가 개인정보를 제3자에게 유상 판매할 경우, 개인정보를 제공받는 자를 명확히 하고, 그 대가를 사전에 고지한 후 실제 개인정보가 유상제공 되었을 때 관련 내역을 개인정보주체에게 고지하는 등의 내용을 담아 개인정보보호법, 신용정보의 이용 및 보호에 관한 법률 개정안을 준비 중이다.

황 의원은 "현행법상 플랫폼 사업자가 이용자의 정보를 모두 팔아 이익을 취해도 막을 수 없는 구조"라며, "마이데이터 사업 합법화로 이용자의 모든 금융정보까지 유통될 수 있는 위험이 있는 만큼, 법 개정을 통해 소비자를 두텁게 보호할 필요성이 있다"고 강조했다.

토스 개인정보 판매 현황 [사진=비바리퍼블리카(토스) 제공 자료 황운하의원실 가공]

◆금융위, 개인정보위 등 부처간 책임 떠넘기기…"법적 정비 필요"

이 가운데 토스 통합인증에 대한 사용자 동의와 관련, 마이데이터 관계 부처인 금융위원회와 개인정보보호위원회 간 의견차이가 있었는데, 이러한 논란은 여전히 해결돼야할 과제다.

앞서 토스가 마이데이터 통합인증에 대한 필수동의 체크박스 등 명시적 과정을 거치지 않고 안내문만 노출한 것과 관련해 개인정보보호법 위반 논란이 있었다. 개인정보위 '온라인 개인정보 처리 가이드라인'에는 "(명시적·실질적 동의)는 이용자가 명확히 인식·확인하게 한 상태에서 자발적 의사에 따라 동의 여부를 판단·결정한 것으로 볼 수 있어야 한다"고 적시돼있다.

당시 금융위원회와 금융보안원은 전체 마이데이터 사업자에게 '개인정보보호법에 따라 고객으로부터 각각 명시적 동의를 받아야 한다'고 강조했다. 이에 토스도 금융당국 의견에 따라 해당부분을 수정한 바 있다.

이에 대해 개인정보위 측은 금융 마이데이터 서비스 과정에서 발생한 문제기 때문에 금융위가 해석하는 게 맞다고 주장했다.

이에 대해 최근 고학수 개인정보위 위원장은 지난 21일 정무위원회 국감에서 "(현재로썬) 애매하다"면서, "면서, "현재 금융 마이데이터는 신용정보법에 기반한 것이고, 토스 사례도 그러하다. 현재는 개보법 개정안에 마이데이터 관련 내용이 담겨있는데, 개정안이 통과되면 전체 영역에 대한 관할 권한이 생길 것"이라고 밝혔다.

현재 신용정보법에 기반한 금융 마이데이터 사업만이 허가되고 있지만, 향후 의료 행정 교육 등 전분야 확산을 대비해 이를 관리할 수 있는 통합적 체계의 필요성이 높아지고 있다.

같은 날 윤창현 의원(국민의 힘)은 "마이데이터 사업자가 얻은 정보를 제3자에게 유료로 제공하려면 명시적 동의가 필요한데, (금융위와 개인정보위 간 소관업무 책임 떠넘기기에서 보듯이) 향후 복지, 행정, 교육, 의료 분야로 확산되면 마이데이터 사업 간 부처간 갈등 가능성이 있지 않느냐"고 지적했다.

이에 고 위원장은 "현재로서는 (갈등) 가능성 배제할 수 없다"면서, "현행법에선 신정법 기반의 마이데이터 서비스가 가능하고, 부분적으로 행정영역에 도입되고 있다. (개인정보법 개정안의 방향은) 마이데이터 서비스의 분야에 제한을 두지 않는 범용성을 갖추되, 정보 주체의 권리와 권한을 최대한 행사할 수 있도록 하겠다"고 밝혔다.

/박진영 기자(sunlight@inews24.com)