금감원, 토스 '마이데이터' 사업 현미경 검사

[이데일리 서대웅 기자] 금융감독원이 비바리퍼블리카(토스)에 대한 수시검사 기간을 연장해 4주째 검사를 진행하고 있다. 수시검사에 통상 1~2주가 소요되는 점을 감안하면 이례적이다. 검사를 담당한 곳이 신용정보법 준수여부를 담당하는 부서라는 점에서 토스의 본인신용정보관리업(마이데이터) 서비스에 문제를 발견한 것 아니냐는 관측이 나온다.

20일 금융당국에 따르면 금감원 IT(정보기술)검사국과 금융데이터실은 지난달 28일 토스 수시검사에 착수했다. IT검사국은 지난 15일 검사를 끝낸 반면 금융데이터실은 오는 22일까지 검사 기간을 연장했다. 경우에 따라 추가 연장도 가능할 전망이다.

토스에 대한 수시검사를 3주간 진행한 데 이어 일주일 추가 검사에 나선 것을 두고 당국 내에서도 이례적이라는 반응이 나왔다.

금감원의 한 관계자는 “과거 부문검사에 해당하는 수시검사는 짧으면 1주, 길어야 2주면 끝난다”며 “옛 종합검사 격인 정기검사가 3~4주 걸린다”고 설명했다. 또 다른 관계자는 “예삿일은 아니다”라고 했다.

추가 검사를 결정한 곳이 금융데이터실인 만큼 토스의 마이데이터 사업에 문제를 발견한 것 아니냐는 관측이 나오고 있다. 금융데이터실은 금융회사의 빅데이터, 개인신용정보 보호업무에 대한 감독과 함께 마이데이터 사업자 인·허가 및 감독·검사 등을 담당한다.

앞서 토스는 마이데이터 서비스 시행 단계에서 정부 가이드라인을 따르지 않아 논란을 일으켰다. 크게 △개인신용정보의 전송요구 대상(마이데이터 연결 대상)을 신용정보주체(고객)의 선택 과정 없이 일괄 연결한 점 △개인신용정보를 정기적으로 전송하는 점을 필수사항으로 둔 점 △개인신용정보 전송요구와 변경 시 필요한 본인 인증 수단에 공동인증서(옛 공인인증서) 사용을 못하도록 하고 토스 인증서 사용을 유도한 점 등이 문제가 됐다.

논란이 커지자 토스는 지난 1월 정부 가이드라인에 맞춰 서비스를 개선했지만 법과 정부 가이드라인을 위반한 채 편의성만 앞세워 고객 모집에 나섰다는 비판이 이어지고 있다.

한 유관기관의 마이데이터 실무 책임자는 “공동인증서 문제는 ‘접근매체’에 대한 해석상의 문제로 위법 여부가 불투명하다”면서도 “신용정보 전송요구 대상을 일괄 연결한 점은 신용정보법을 위반한 것”이라고 말했다. 이어 “정보를 정기적으로 전송토록 하려면 법상 고객의 ‘명시적 요청’을 받아야 한다”며 “이 과정을 거치지 않았으므로 이 역시 위법”이라고 했다.

금융당국은 검사가 진행 중인만큼 말을 아끼는 모양새다. 금융위원회 관계자는 “금감원 검사 결과를 봐야 정확한 판단이 가능할 것”이라고 말을 아꼈다. 금감원 관계자도 “검사를 진행 중인 내용에 대해서는 밝히기 어렵다”고 했다.

토스 마이데이터 가입자 수는 300만명대로 2위군 금융사(100만명대)보다 마이데이터 시장에서 우위를 점하고 있다.

한편 금감원은 지난해 3월부터 시행한 금융소비자보호법(금소법) 저촉 여부도 들여다본 것으로 알려졌다. 금소법을 소관하는 금융소비자보호처에는 검사 부서가 없어 업권별 검사국이 금소법 위반 여부 등을 검사한다. 토스와 같은 전자금융거래업자는 기본적으로 금소법 적용 대상이 아니지만 ‘금융상품 판매대리·중개업’을 영위하면 금소법을 적용받는다.