금감원 평가 '무더기 낙제'…토스 "성실히 개선하겠다"

글자 작게 글자 크게 인쇄하기

작년 부정결제 사건 단초…첫 검사
경영유의 2건·개선사항 13건 조치
내부통제 미흡·토스머니 문제점 꼽혀
"컴플라이언스 부서 선제 신설 등 노력"

금감원 평가 '무더기 낙제'…토스 "성실히 개선하겠다"

국내 대표 모바일 금융 플랫폼 '토스'가 출범 이후 처음 받은 금융당국 검사에서 무더기 낙제점을 받았다. 보안부터 내부 관리, 마케팅 부문에서 미흡한 사례가 대거 적발됐다.

간편송금 및 결제뿐만 아니라 은행, 증권 등 영역을 확장하며 규모는 커졌지만 전자금융·정보기술(IT) 부문 업무 전반에 걸친 능력은 그에 맞춰 개선되지 않은 것으로 평가됐다.

7일 금융권에 따르면 금융감독원은 토스에 경영유의 2건, 개선사항 13건 조치 등을 내렸다.

금감원은 “내부통제 체계를 강화하고 전자금융·IT 부문 업무 전반에 걸쳐 발견된 미흡 사항에 대한 구체적 개선 계획을 수립하라”고 요구했다.

경영유의는 경영상 취약한 부분이 있으니 금융회사에 주의나 자율 개선을 요구하는 행정 지도 성격의 조치다. 경영유의를 받은 금융사는 6개월 이내에 조치 내용을 금감원에 보고해야 한다.

이번 금감원 검사는 토스가 출범 이후 처음 받은 IT 부문 검사다. 지난해 발생한 토스 부정결제 사건이 실마리로 작용했다. 당시 게임사 등 온라인 가맹점에서 총 8명의 가입자 명의가 도용돼 부정결제가 일어났다.

우선 금감원은 경영유의를 내리면서 내부통제 미흡, 신규 영업 전 법률 여부 검토 부족 등을 문제 삼았다.

이승건 비바리퍼블리카 대표
<이승건 비바리퍼블리카 대표>

금감원 측은 “토스는 선불충전, 결제대행(PG) 등 전자금융업을 하면서도 내부통제 체계가 미흡하다”면서 “주기적으로 점검할 수 있는 IT 부문을 포함, 감사 기능을 신설하고 자체 점검 항목을 마련하라”고 권고했다.

금감원은 “신규 금융서비스 출시 전 전자금융거래법 등 법률 위반 소지에 대한 사전 검토 절차가 부족, 소비자 피해가 우려되므로 강화 방안을 수립하라”고 요청했다.

정보처리 시스템 사고 때 미흡한 통제, 선불 충전 수단인 토스머니에 대한 불합리한 문제점 등을 포함해 지적 받은 개선 사항은 무려 13건에 이른다.

토스머니가 계좌 간 직접 송금 시 거래 내역 조회가 불가능한 점, 충전 잔액 이상 송금 시 이용자 의사와 관계없이 자동으로 재충전해서 기존 잔액을 유지하는 점이 지적됐다.

금감원은 또 토스가 정보처리시스템 장애 사고 때 관리가 부족하다고 봤다.

금감원은 “정보처리시스템 장애 발생 건에 대한 상황기록부 내용을 확인한 결과 장애 개요, 원인 분석 내용, 조치 결과, 재발 방지 대책 가운데 일부 항목이 누락된 채로 작성됐다”면서 “프로그램 오류 장애 시 피해 고객에 대한 전수조사 등 영향도 분석과 장애 조치의 적정성 사후점검 절차 등도 없었다”고 비판했다.

이상금융거래탐지시스템(FDS) 절차도 미흡했다.

토스는 FDS를 통해 부정의심 거래가 탐지되면 이용자 계정을 즉시 차단했지만 이용자에게 관련 사실을 통지하지 않은 것으로 확인됐다.

이용자가 계정 차단 해제를 위해 고객센터에서 본인 확인을 할 때 촬영 사진 방식을 요구받는데 금감원은 촬영 사진의 임의 조작 등 위·변조에 취약한 점을 우려, 자동화된 비대면 본인인증시스템 구축을 권고했다.

이 밖에 전자금융 기반 시설 취약점 분석·평가 관리, 문서파일·전산자료 반출통제, 접근통제시스템 운영·관리도 미흡한 것으로 조사 결과 나타났다.

한편 토스는 전자금융거래 안정성 확보 의무 위반, 전자금융거래 변경 약관 게시 및 이용자 통지 의무 위반으로 제재를 받았다. 클라우드를 이용하면서 이용 절차를 수행하지 않았다는 이유다. 또 소비자 개인정보보호 등 보안을 위한 망분리도 미비했다. 기관 과태료 3720만원, 임원 주의 2명, 주의 상당 1명(퇴직자 위법·부당사항), 직원 주의 상당 1명(퇴직자 위법·부당사항) 등 조치를 받았다.

이와 관련 토스는 “IT 부문 검사에서 지적된 사항에 대해 성실히 개선하고 있고, 관련 업무를 위해 컴플라이언스 부서를 지난해 선제적으로 신설, 현재 5명 규모로 확대했다”면서 “앞으로 높은 수준의 IT·보안 컴플라이언스 수준을 달성할 수 있도록 최선의 노력을 다하겠다”고 말했다.


<표> 경영유의사항 등 조치 내용

<표> 제재 조치 내용

금감원 평가 '무더기 낙제'…토스 "성실히 개선하겠다"
금감원 평가 '무더기 낙제'…토스 "성실히 개선하겠다"

김지혜기자 jihye@etnews.com