[뉴스토마토 이종용 선임기자] 금융감독원이 윤석열정부 시절인 지난해 토스 운영사인 비바리퍼블리카(이하 토스)에 대해 '봐주기 징계'를 했다는 정황이 드러났습니다. 당시 금감원 검사국에서는 신용정보법 위반 규모가 상당하다며 이승건 대표이사 등에 대한 중징계를 요구했는데요. 제재심의원회(제재심)에서는 제재 양정 기준이 되는 위반 건수를 대거 낮춰 잡고 경징계로 결론 내린 것으로 나타났습니다. 제재심 위원들은 '대표이사 업무가 과중하다'거나 '고의성이 있어 보이지 않는다'고 판단하며 과도하게 편을 들어주기까지 했습니다. 

 

 

신장식 조국혁신당 의원실이 25일 금감원으로부터 제출받은 자료에 따르면 금감원 제재심 위원들이 토스에 대한 제재 과정에서 신용정보법을 과도하게 온정적으로 해석한 것으로 나타났습니다. 금감원 제재 과정은 검사국이 현장검사를 토대로 제재 대상과 제재 범위를 담은 사전 조치안을 만들면 제재심을 거쳐 최종 확정하는 구조입니다. 

 

당시 금감원 검사국에서는 기관경고와 감독자(이승건 대표이사, 신용석 당시 정보보호최고책임자 등)에 대한 직무정지 3개월 처분 등 중징계를 요구했지만, 제재심에서는 각각 기관주의와 주의적 경고로 감경해 의결했습니다. 제재 조치 시점은 지난해 10월25일입니다. 윤석열정부에서 금감원 제재심에 상정된 안건 가운데 감독자 징계를 두 단계 이상 감경한 사례는 토스가 유일했습니다. 

 

앞서 토스는 지난 2021년 11월~2022년 2월 기간에 전자영수증 솔루션 업체로부터 제공받은 전자영수증 거래정보(영수증) 약 2900만건을 토스가 보유하고 있는 토스 회원의 카드 거래 내역과 결합해 사업성 분석 목적으로 이용한 사실이 적발됐습니다. 토스는 정보 주체의 동의를 받지 않았으며, 데이터 전문 기관을 거치지 않고 직접 가공했습니다. 

 

 

신용정보법에 따르면 개인신용정보는 해당 신용정보 주체가 신청한 금융거래 등 상거래 관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이용해야 합니다. 그 외 다른 목적으로 이용할 경우 신용정보 주체로부터 동의를 받도록 하고 있습니다. 신용정보회사 등이 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합하려는 경우에도 데이터 전문 기관을 통해 결합해야 합니다. 

 

이에 따라 금감원 검사국은 토스를 비롯해 대표이사 등 감독자에 대해 중징계 처분을 내려야 한다는 의견을 냈습니다. 검사국에서는 "솔루션 업체로부터 전달받은 고객 데이터의 고객 주체 모두에게 (정보 이용에 대한) 동의를 받아야 하지만 토스 고객이 아닌 경우에는 애초에 동의를 받을 수가 없는 구조"라며 "부당 결합과 부당 이용이 필요적으로 수반될 수밖에 없는 사업"이라고 지적했습니다. 

 

금감원 조사 결과 토스는 전체 영수증 데이터 7500만건 중 특정 날짜의 정보에 해당하는 2900만건을 분석 대상으로 선정한 것으로 나타났습니다. 검사국은 나머지 4600만건은 이용 행위라 볼 수 있는 추출이나 매칭에 이용되지 않았다고 보고, 2900만건을 부당 결합과 부당 이용에 활용된 위반 건수로 산정했습니다. 

 

개인 신용정보 등의 부당 이용 또는 유출에 대한 제재 기준을 보면 부당 이용 500건 이상, 업무 목적 외 유출 50건 이상, 업무 목적 유출 5만건 이상일 경우 업무정지(정직) 이상의 중징계 처분을 내릴 수 있습니다. 

 

하지만 제재심 위원들은 "신용정보법에 명시된 양정 기준이 신용정보의 '결합'이라는 개념이 나오기 전에 만들어진 것이라 위반 건수를 2900만건이 아닌 결합 횟수 64회로 봐야 하는 것이 적당하다"고 의견을 모았습니다. 이는 토스 측이 주장하는 논리와도 일치합니다. 당시 토스는 "위반 건수 2900만건이 아니라 쿼리 명령을 통해 실제 결합한 횟수인 64회 또는 결합한 날짜 기준인 6회를 위반 건수로 봐야 한다"는 소명 의견을 냈습니다. 

 

 

 

토스 책임자에 대한 금감원의 제재 감경도 납득하기 어렵다는 지적이 나옵니다. 금감원 검사국에서는 토스의 이승건 대표, 신용석 최고정보보호책임자(CISO) 등 감독자에 대한 대한 중징계가 불가피하며, 제재를 감경해서는 안 된다는 의견을 냈습니다. 

 

검사국은 "금융사 임직원이라면 고객 신용정보를 다른 목적으로 이용할 때 동의가 필요하다는 사실은 당연히 인지하고 있어야 한다"며 "또한 대표이사가 법무법인 검토 문서를 참고하라고 지시했다는 것은 이미 무단 이용 우려를 인지하고 있었다고 볼 수 있다"고 했습니다. 

 

하지만 금감원 제재심 위원들은 "토스의 의사결정 형태, 내부의 조직 체계를 고려할 때 대표이사의 업무부담이 과중한 상황이었다"며 "대표이사가 행위자와 동일한 고의를 가지고 본 건의 업무를 수행했다고 보기는 어려운 측면이 있다"고 의견을 모았습니다. 

 

당시 이승건 대표는 임기 만료(올해 4월)를 앞두고 있는 시점이었습니다. 이 대표가 중징계를 받았다면 금융지배구조법상 3년간 취업이 제한되지만, 제재심에서 경징계로 낮아지면서 결국 연임에 성공했습니다. 

 

이 대표의 거취 문제가 예민한 시점에 '봐주기 징계'를 했다는 의혹이 나오는 이유입니다. 이 대표는 윤석열정부때인 지난 2023년 윤 대통령의 미국 방문과 함께하는 경제사절단에 금융사 대표 중 유일하게 합류했습니다. 징계 대상이었던 신용석 전 CISO는 대통령실 사이버안보비서관으로 가기도 했습니다. 

 

토스가 이 대표의 연임을 위해 정관계 인맥들을 대거 활용했다는 의혹도 있었습니다. 금감원 부원장 출신인 박세춘 법무법인 화우 고문이 지난해까지 토스뱅크 사외이사로 재직했고, 금융위 사무처장을 지낸 손병두 전 한국거래소 이사장은 지난해 10월 토스인사이트 대표에 선임됐습니다. 

 

신장식 의원은 "현행 법에서는 개인 신용정보의 부당 이용에 대해서 중징계를 처분하게 되어 있음에도 제재심에서 온정적 감경 징계가 이뤄진 것은 쉽게 납득할 수 없다"며 "지난 정부와 토스의 커넥션이 있는 게 아닌지 국정감사를 통해서 살펴볼 예정"이라고 밝혔습니다. 

 

이에 대해 금감원에서는 "협의체 기구인 제재심에서 검사국, 제재 대상자 진술, 전문가 의견 등을 종합적으로 청취해 결론을 낸 것으로 안다"고 밝혔습니다.

 

 

이종용 선임기자 yong@etomato.com