토스가 마이데이터(본인신용정보관리업) 시행을 앞두고 가입자들을 끌어모으는 과정에서 제대로 규정을 지키지 않았다는 사실이 확인됐다. 토스는 부적절한 방식으로 동의를 받은 고객들을 대상으로 이번주 중 ‘재동의’ 절차에 착수할 계획이다.
10일 금융권에 따르면 금융당국은 최근 토스 측에 마이데이터 가이드라인을 위반한 채 가입시킨 고객들을 대상으로 ‘재동의 절차를 거쳐야 한다’고 권고했다. 이에 토스는 문제가 된 고객들을 추려 현재 재동의 절차를 받기 위한 프로세스 구축 막바지 단계에 착수했다. 금융보안원 관계자는 “토스가 수립하고 있는 재동의 절차가 ‘기능 적합성 심사’에 위배되는 것은 없는지 살펴보고 있다”고 설명했다.
앞서 토스는 마이데이터 서비스 시행을 앞둔 지난 12월 말쯤 기존 고객들을 표준 응용프로그램 인터페이스(API) 연결 방식으로 전환하면서, 금융당국이 수립한 가이드라인을 지키지 않는 등 일종의 꼼수를 사용했다는 지적을 받아왔다.
가이드라인에 따르면 마이데이터 사용자는 ‘알고 하는 동의’가 이뤄질 수 있도록 직접 데이터를 연결하고 싶은 금융기관을 선택하도록 규정하고 있다. 그런데 토스는 전체 기관을 선택 과정 없이 일괄적으로 연결할 수 있도록 화면을 구성했다.
예를 들어 A 은행에서는 마이데이터 연결 동의 시 고객이 연결하고 싶은 기관을 B 은행이나 C 카드사 등으로 선택할 수 있도록 절차를 마련하고 있는데, 토스는 모든 금융기관이 한 번에 연결될 수 있도록 과정을 간소화했다는 것이다.
토스가 지키지 않았던 또 다른 가이드라인은 ‘정기 전송 요구권’이다. 고객의 금융 패턴을 주기적으로 받아 데이터 분석을 얼마나 잘하느냐가 마이데이터의 경쟁력을 좌우하는데, 고객이 정기 전송 요구에 동의하면 주 1회 자동으로 정보 제공이 전송 가능해진다. 이 역시 가이드라인에 따르면 정기 전송 요구권은 고객의 선택이 가능하게 돼 있어야 하는데, 토스는 이를 필수항목에 집어넣었다.
본인인증 과정에서도 문제가 됐다. 마이데이터 사업자는 정보 제공 시 거쳐야 할 인증서의 선택지로 사설인증서뿐만 아니라 공동인증서까지 모두 인증 수단으로 제공해야 한다. 그런데 토스는 일정 기간 기존 회원을 대상으로 토스인증서를 반드시 설치해야만 앞으로 토스 서비스를 이용할 수 있는 것처럼 안내했다.
마이데이터 서비스는 개개인의 금융 정보 분석을 위한 편리성을 제공하기에 앞서, 정보의 주체권을 개인에게 돌려주자는데 근본 의의가 있다. 한 금융업계 관계자는 “토스의 행태는 이런 취지를 무시하고 묵시적으로 정보 제공 동의를 강요한 셈”이라며 “토스인증서 사용 유도와 관련해서도 자체 인증서 사용자를 늘리고자 하는 꼼수가 아녔느냐는 지적이 나온다”고 전했다.
이런 문제가 알려지자 토스는 금융당국으로부터 시정 조치를 받았다. 토스는 지난 5일 마이데이터 전면 적용 직전인 주말 사이, 이런 문제에 대한 개선 조치를 완료했다.
그럼에도 전통 금융사와 핀테크 업계에서의 불만은 끊이지 않는 분위기다. 토스가 문제의 방식으로 끌어모은 가입자들을 원상 복구하고, 다시 재가입 선택권을 줘야 하는 것이 타당하지 않으냐는 문제 제기가 금융당국에 접수됐다.
한 마이데이터 사업자는 “빡빡한 가이드라인을 누가 지키고 싶어서 지킨 줄 아느냐”며 “소수 고객에게만 제대로 된 동의 절차를 밟아놓고 모두 정당한 고객인 것처럼 이어가는 것은 엄연한 반칙”이라고 주장했다.
또 다른 관계자는 “마이데이터 사업자들도 사업 초기에 토스가 기존 이용자들을 쉽게 전환하기 위해 의도적으로 기준을 지키지 않은 것이 아닌지 우려하고 있다”며 “전통 금융기관 쪽에서 핀테크 업체 같은 기존 마이데이터 사업자들을 모두 부도덕하다는 시선으로 바라보는 계기가 되는 것은 아닌지 마음을 졸이며 이번 사태를 바라보고 있다”고 토로했다.