[뉴스웍스=이한익 기자] 토스가 금융당국이 제시한 마이데이터 관련 기술·서비스 가이드라인 규정을 위배했다는 의혹이 제기됐다.

31일 금융당국의 가이드라인에 따르면 마이데이터 사업자는 은행·증권·카드·보험 등 정보제공자를 고객이 개별로 추가·수정할 수 있도록 규정했지만, 토스는 개별 선택이 불가능한 구조를 가진 '한 번에 연결하기' 기능을 통해 가이드라인에 위배된 서비스를 실시한 것으로 밝혀졌다.

또한 토스는 마이데이터 사업자가 고객의 접근수단을 직접 보관하거나 접근 권한을 확보하거나, 접근 수단에 대한 지배권 등을 확보하는 방법으로 사용 및 보관해 고객에게 교부할 신용정보를 수집해서는 안 된다는 가이드라인을 어기고 사용자인척 인증을 진행했다는 논란도 받았다.  

이와 관련, 최근 한 온라인 커뮤니티에는 '가이드 좀 지켜서 만들어라', '필수 동의만 체크했는데, 선택 동의까지 되어 있었다' 등의 다수의 게시물이 올라왔다.

마이데이터 관련 개발자로 추정되는 한 커뮤니티 유저는 "누구는 그렇게 안만들고 싶어서 안했나"라며 "이런 식으로 가입자 다 빨아들이고 나중에 고치려는 것도 너무 티난다. 금융위원회, 금융감독원은 토스의 마이데이터 사업자 지위를 박탈시켜야 한다"고 주장했다. 해당 게시물에는 "토스가 직접 사용자가 로그인한척 위장해서 정보를 빼가는 것"이라는 댓글도 달렸다.

또 다른 게시물에는 "토스 개인정보 처리 동의를 테스트해 봤다"며 "탈퇴하고 재가입하면서 필수 동의만 체크했지만, 개인정보 처리 동의란에 들어가보니 모두 선택 동의(결제·내 계좌 모두 찾기·내 보험·내 카드·신용 등)가 되어 있었다"고 지적했다. 이어 "가입 과정에서 인지할 수 있는 안내가 없었고 선택 과정도 없었다"고 주장했다.

금융권에 따르면 이른바 데이터 3법이 통과되면서 시행된 마이데이터 사업은 신용정보법상의 기준을 두고 있으며 세부적인 내용은 가이드라인을 준수토록 하고 있다. 시스템 관련 사항은 금융보안원에서 만든 '마이데이터 기술 가이드'를, 사업적인 사항은 신용정보원의 '마이데이터 서비스 가이드'를 마이데이터 사업자·서비스 제공자가 준수해야 한다.

한 은행의 마이데이터 사업 담당자는 "가이드라인에 따르면 한꺼번에 모든 기관을 선택하지 못하도록 되어있다"며 "토스가 가이드라인을 무시한 것으로 생각된다. 가이드라인에 맞춰 충실하게 서비스를 꾸민 사업자 입장에서 볼 때 상당히 억울한 일"이라고 말했다.

또 다른 은행 관계자 역시 "마이데이터 사업은 금융보안원에서 기능적합성 심사를 통과해야만 할 수 있다"며 "토스는 심사 때 제출했던 프로세스와 실제 고객 서비스 프로세스가 다른 것 아니냐는 의심까지 살 수 있다"고 말했다.

이 같은 지적이 나오자 토스는 부랴부랴 문제가 된 기능의 수정에 나섰다.

토스 측은 "금융보안원과 협의를 통해 '한 번에 연결하기' 기능을 31일부로 수정했다"며 "이제부터는 연결기관을 따로 선택할 수 있다"고 밝혔다.

단, 인증 절차와 관련해서는 "금융회사로부터 자산목록 찾을때 1회, 자산목록 기반으로 실제 데이터 전송을 요구할 때 1회 등 토스도 2단계로 적용하고 있다"며 "이는 가이드에 맞게 서비스를 한 것으로, 앞으로도 안정적인 서비스를 위해 최선을 다하겠다"고 해명했다.

한편 일각에서는 금융당국의 관리 소홀에 대한 지적도 나온다. 한 금융권 관계자는 "정보보호와 보안을 위해 가이드라인을 따르는 것인데, 토스는 공격적으로 그 선을 넘나들고 있다"며 더 적극적인 금융당국의 관리감독이 필요하다는 시각을 보였다.