토스가 개인식별정보 전송을 위한 필수 조치인 통합인증거래 명시적 이용 동의 절차를 위반했다는 주장이 제기돼 논란이 일고 있다.

5일 업계에 따르면 토스는 이날 16시 마이데이터 전면 시행을 앞두고도 인증절차에 대한 명시적 동의 절차 없이 사용자로부터 일괄 동의를 받았다.

사용자가 마이데이터에서 기관 연결을 요청하면 '알고하는 동의' 과정 후 '통합인증거래 이용동의'를 거쳐야 한다.

통합인증거래는 본인인증을 위해 개인식별정보인 CI 정보를 전송하기 위해 필수적인 절차다. CI 정보는 주민등록번호를 대체하는 식별값으로 사실상 온라인에서 주민번호를 대신해 본인인증에 사용되는 필수 정보다. 개인정보보호법상 인증 시 반드시 사용자로부터 명시적 동의를 받아야 한다.

명시적 동의는 사용자가 동의 여부에 대한 의사를 표현할 수 있도록 직접 항목에 체크하는 방식을 뜻한다.

Photo Image
<토스의 통합인증거래 이용동의 화면 (자료=전자신문DB)>
Photo Image
<국민은행의 통합인증거래 이용동의 화면 (자료=전자신문DB)>

본지 취재 결과 시중은행을 비롯한 대다수 마이데이터 사업자는 통합인증거래 과정에서 명시적 동의 절차를 구현했다. 반면 토스는 인증서 선택 화면에서 관련 문구 3줄만 넣어 암묵적 동의 방식으로 구현했다.

통합인증거래 이용동의는 모두 필수 사항이다. 한 가지 항목이라도 동의하지 않으면 서비스 이용이 불가능하다. 토스는 이같은 특성을 이용해 명시적 동의 절차를 거치지 않고 간단한 암묵적 동의 화면으로 갈음했다. 사용자 입장에서는 마이데이터 이용 절차가 하나 줄어든 것이어서 쉽고 편하다고 느낄 수 있다.

업계는 이같은 방식이 명백한 개인정보보호법 위반이라고 지적했다. 마이데이터 가이드라인 위배와 별도로 위법 행위에 해당한다고 봤다.

금융위원회는 본지 지적으로 해당 문제를 인지하고 토스에 수정을 통보했다. 토스는 이에 “즉시 프로세스를 개선조치하겠다”고 밝혔다.

토스는 마이데이터 전면 시행을 앞두고 서비스 연동 과정에서 위반 사례가 적발돼 비판을 받은 바 있다. 사용자가 일일이 선택해야 하는 연결기관 선택 기능을 일괄 연결로 제공해 뒤늦게 수정한 것이 대표적이다. 정보제공 시 거쳐야 하는 인증 과정에 간편 핀번호 입력 기능을 제공했다가 철회하기도 했다.

업계 한 관계자는 “마이데이터 가입 절차가 워낙 까다로워 사용자가 어려워할 것을 예상하면서도 규정을 준수한 타 사업자들의 노력에 찬물을 끼얹은 행위”라고 지적했다.

금융위원회 관계자는 “필수 동의절차를 거치지 않은 데이터는 추후 추가 동의절차를 받아야 할 것”이라고 설명했다.

배옥진기자 withok@etnews.com