"편해서 넣었는데…" 토스, 마이데이터 규정 위배 논란

표준API 전환 정보제공 간소화
심사 땐 없었던 '일괄동의' 넣어
업계 전반 "원칙 어긴 것" 반발
토스 "내일까지 오류 수정 계획"

"편해서 넣었는데…" 토스, 마이데이터 규정 위배 논란

토스가 기존 스크래핑 기반 서비스에 표준API를 순차적으로 확대 적용하는 가운데 개인신용정보 제공 오남용 방지를 위한 필수 규정을 준수하지 않아 업계가 반발하고 있다. 정보제공 동의 절차를 간소화한다는 취지이지만 사용자 불편을 감수하더라도 정보제공 오남용을 막기 위해 금융당국이 정한 규정을 위반한 것이어서 논란이 되고 있다.

29일 금융·핀테크 업계에 따르면 토스를 서비스하는 비바리퍼블리카는 지난주부터 일부 서비스에 한해 순차적으로 마이데이터 오픈API를 적용하면서 기술·서비스 가이드라인을 준수하지 않아 반발을 사고 있다. 이미 유관기관인 신용정보원과 금융보안원이 가이드라인을 다시 설명하고 준수해줄 것을 요청했지만 제대로 받아들여지지 않은 모습이다.

복수 기업 관계자와 유관기관들에 따르면 이날 오전부터 토스는 일부 사용자에 대해 스크래핑 방식 대신 마이데이터 API를 적용하면서 사용자가 일일이 선택해야 하는 연결기관 선택 기능을 일괄 연결로 제공하고 있다.

마이데이터는 사용자가 '알고하는 동의'를 이용해 직접 연결기관을 선택하도록 규정돼 있다. 반면 토스는 전체 기관에 대한 선택 기능을 미리 제공해 마이데이터 규정을 위반했다.

또 정보제공 시 거쳐야 하는 인증 과정에는 간편인증을 적용했다. 통상 공동인증서와 사설인증서 중 선택해 비밀번호를 입력하는 과정을 거치는데 토스는 기존 사용자에게 제공해온 간편인증 기능인 토스 핀번호 인증을 제공했다.

신용정보법 감독규정 내 신설된 마이데이터 사업자에 대한 행위규칙에 따르면 '개인인 신용정보주체의 접근수단에 접근할 수 있는 권한을 확보하는 방법'을 해서는 안 된다. 접근수단인 인증서에 접근할 수 있는 권한을 토스가 확보한 것으로 해석할 수 있다.

토스는 마이데이터 시범서비스 전 필수로 거쳐야 하는 기능적합성 심사에서는 현재와 같은 버전을 구현하지 않았다. 심사 통과 후 규정을 자의적으로 해석해 심사 당시에는 없었던 일괄동의 기능을 넣은 셈이다.

이미 토스는 지난주부터 신용정보원과 금융보안원으로부터 가이드라인을 다시 숙지받고 기능 수정을 요구받았다. 문제는 표준API를 순차 적용하다 보니 앞서 전환한 기능은 규정에 맞게 수정했지만 추후 전환하는 기능에서 오류를 일으키고 있는 것이다. 이날 발생한 알고하는 동의 기능 문제도 금융위원회나 유관기관에 사전 공유하지 않은 버전으로 보인다.

마이데이터 서비스 내 '알고하는 동의'와 기관연결 선택 기능은 사용자가 자신의 개인신용정보 제공 동의에 따른 효과와 추후 발생 가능한 문제 여파를 사전 숙지하는 핵심 기능이다. 기관 연결이 많아지면 한 번에 통합 조회해 볼 수 있는 자산이 늘어나므로 편리하지만 반대로 정보유출·보안 사고가 발생하면 걷잡을 수 없이 피해가 커질 수 있어 유의해야 한다.

토스는 오픈뱅킹 서비스에서도 금융기관 연결을 사용자 개별 선택이 아닌 일괄 연결 방식을 채택했다. 사용자 편의성을 높인다는 명목으로 마이데이터에서도 같은 방식으로 구현했다가 규정을 위반하게 된 것으로 보인다.

토스 서비스는 대부분 스크린 스크래핑 기반이다. 이 때문에 업계는 토스가 스크래핑 사용자를 마이데이터 표준API로 단기에 전환하기 위해 편법을 쓴 것 아니냐고 의문을 제기하고 있다.

업계 한 관계자는 “시범서비스 기간이기에 일부 오류는 있을 수 있지만 불법이 용인되는 것은 아니다”라며 “사용자 불편을 감내하고 대부분 사업자가 지켜낸 기본 원칙이자 가장 중요한 원칙을 토스는 어긴 것”이라고 꼬집었다.

다른 관계자는 “불법으로 스크래핑 사용자를 마이데이터 API로 전환한 것”이라며 “기 전환된 데이터는 원복하고 규정을 어긴 사업자에 대한 처벌까지 검토할 만한 사안”이라고 주장했다.

이에 대해 토스 측은 “현재 마이데이터 예상 사용자 800만명 중 10%에 한해 표준API로 전환하는 과정에서 기능적합성 심사 당시 없었던 일괄동의 기능과 간편인증 기능을 사용자 편의 측면에서 반영했다”며 “문제를 인지했으며 오는 31일까지 오류를 수정해 나갈 계획”이라고 입장을 밝혔다.

배옥진기자 withok@etnews.com