서울 역삼동 토스(비바리퍼블리카) 본사. 사진=한경DB
서울 역삼동 토스(비바리퍼블리카) 본사. 사진=한경DB
"1건당 6만9000원."

간편금융 모바일 앱 '토스(비바리퍼블리카)'가 보험대리점과 개인 보험설계사를 대상으로 회원 데이터베이스(DB)를 유료로 판매한 것으로 드러났다. 토스는 현행법상 문제가 없다는 입장이지만, 보험대리점은 물론 보안에 취약한 개인 보험설계사에까지 회원 DB를 개별 판매함에 따라 개인정보가 불법적으로 2차 유통될 우려가 제기되고 있다. 고객들의 신상정보를 돈벌이에 악용하고 있다는 지적도 피할 수 없게 됐다.

7일 <한경닷컴> 취재에 따르면, 토스는 회원 DB를 계열사 토스인슈어런스(법인보험대리점)와 개인 보험설계사들에 유료로 판매해 온 것으로 확인됐다. 회원 DB 판매는 토스 법인 보험대리점인 '토스인슈어런스'와 토스의 보험설계사 전용 앱 '토스보험파트너' 2가지 통로로 이뤄졌다. 토스인슈어런스에는 단체 회원 DB를, 토스보험파트너에는 개인 보험설계사를 대상으로 개별 회원 DB를 판매해 영업에 활용토록 한 것으로 파악됐다.

토스가 회원 DB 1건당 판매한 가격은 6만9000원이다. 토스인슈어런스의 정규직 보험설계사 수는 130명, 토스보험파트너에 가입된 보험설계사 수는 13만명 수준으로 알려졌다. 토스에 따르면 지난 5월 말 기준(올해 2월 시범 서비스 개시) 토스보험파트너를 통한 회원 DB 유료 판매 금액은 총 9960만원으로 집계됐다. 토스인슈어런스 포함 판매 총액은 1억원을 웃돌 것으로 추산된다.
토스의 보험설계사 전용 앱 '토스보험파트너' 화면. 보험설계사는 해당 앱을 통해 토스 가입 회원 개인정보를 구매해 활용할 수 있었다. 사진=토스보험파트너 화면 캡쳐
토스의 보험설계사 전용 앱 '토스보험파트너' 화면. 보험설계사는 해당 앱을 통해 토스 가입 회원 개인정보를 구매해 활용할 수 있었다. 사진=토스보험파트너 화면 캡쳐
토스가 판매한 회원 DB에는 크게 일반정보와 보험가입정보가 포함됐다. 일반정보로는 △이름 △휴대폰번호 △생년월일 △보험연령 △성별이 제공됐고, 보험가입정보로는 △보험사정보 △상품명 △계약자의 성명 △피보험자의 성명 △납입여부 △보험가입일 △보험료 △보험기간 △납입기간 △보장내용 △보장금액이 전달됐다.

사실상 보험 영업에 필요한 모든 개인정보가 포함된 셈이다. 토스는 가입자의 보험 내역 중 필요한 내용만 골라 알려드린다는 안내의 '내 보험-5분 상담 신청하기' 서비스 제공 과정에 '제3자 정보 제공 동의' 항목을 끼워 넣어 개인정보 매매의 합법적 근거를 확보했다. 고객들은 자신의 보험을 조회하고 월 보험료의 적정성, 불필요한 상품 가입 여부 등을 확인하고자 필수 항목에 동의한 것인데 이것이 보험 영업을 하고자 하는 설계사들에게 자신의 정보를 팔아도 된다는 허락으로 변질된 것이다.

현행 법규상에서는 오직 제3자 정보 제공 동의를 하지 않은 이용자의 개인정보 매매만 처벌 대상으로 두고 있다. 정보통신망법·개인정보보호법·신용정보법에는 이런 행위에 대해 5년 이하의 징역 또는 5000만원 이하의 벌금형에 처할 수 있다고 규정하고 있다.

이같은 지적에 토스 측은 "토스인슈어런스가 아닌 토스보험파트너를 통해 개인 보험설계사에 판매되는 회원 DB의 경우 휴대폰번호가 안심번호(가상번호)로 제공되며, 고객이 정보 제공을 철회하면 설계사는 더 이상 고객 정보를 확인할 수 없다"며 "마이데이터(본인신용정보관리업) 사업자 부수업무로서 '데이터 판매 및 중개업'을 수행하고 있는 만큼 현행 법규상 문제가 되는 부분은 없는 것으로 판단하고 있다"고 입장을 밝혔다.
'내 보험-5분 상담 신청하기' 서비스 제공 과정에 '제3자 정보 제공 동의' 항목이 끼워져 있다. 고객들은 단순한 상담신청이라고 생각했지만, 실제로는 보험설계사에 정보를 통째로 넘겨주는 꼴이 됐다. 사진=토스 화면 캡쳐
'내 보험-5분 상담 신청하기' 서비스 제공 과정에 '제3자 정보 제공 동의' 항목이 끼워져 있다. 고객들은 단순한 상담신청이라고 생각했지만, 실제로는 보험설계사에 정보를 통째로 넘겨주는 꼴이 됐다. 사진=토스 화면 캡쳐
그러나 가입자가 제3자 정보 제공 동의를 했더라도 동의서 내 기재된 제공 목적 등 항목에 구체성이 떨어진다면 불법으로 판단될 수 있다. 제공 목적이 실제 정보 판매 및 이용 목적과 다르거나, 동의 절차에서 고객이 자신의 정보가 어떠한 이유로 판매 또는 제공되는 것인지 인지하기 어려운 경우 위법 행위로 간주될 수 있어서다.

토스가 특정 법인이 아닌 앱에 가입한 개인 보험설계사 다수에게 회원 DB를 유상 판매한 것 자체도 문제가 될 소지가 있다. 보안이 취약한 개인 보험설계사에게 회원 DB를 판매하는 행위가 개인정보 다량 유출 등 불법 2차 유통 사고로 이어질 가능성이 있기 때문이다.

금융감독원은 한경닷컴 취재가 시작된 지난 3일 토스 측에 회원 DB 유료 판매 건에 대한 소명자료를 요청해 사업의 적법성, 타당성 검토에 착수한 상태다. 금감원은 이번 주 내로 토스의 DB 유료 판매 행위가 위법한지를 검토하고, 법 위반이 발견되면 상응하는 조치를 취한다는 계획이다.

금감원 관계자는 "제3자 정보 제공 동의 과정에서의 위법성을 집중 검토하고 있다. 아울러 개인 보험설계사에 회원 DB를 판매한 행위에서 정보 관리 및 정보 보호 조치 미흡 사례가 발생할 수 있는 만큼, 후속 조치에 대해 면밀히 논의 중"이라며 "내부 검토를 거친 뒤 금융위원회와 추가 조치 여부에 대해 협의할 예정이다. 이번 주 중으로 입장을 정리하겠다"고 밝혔다.

토스 관계자는 "(금융당국 판단에 따른) 추가 조치에 대해서는 내부에서 면밀히 검토하고 있다"고 말했다.

김수현 한경닷컴 기자 ksoohyun@hankyung.com