[단독]토스플레이스, '15만 신용카드 가맹점주 정보' 동의없이 수집했다
by서대웅 기자
2022.09.07 05:00:00
밴대리점 ID로 밴사에서 가맹점 정보 ‘스크래핑’
가맹점주 동의 없어 위법 논란..“제3자 정보제공”
회사측 “처리위탁으로 문제없어..정보는 곧 삭제”
[이데일리 서대웅 김정현 기자] 비바리버블리카(토스)의 신용카드 단말기 제조·공급 업체인 토스플레이스가 15만 곳 이상의 신용카드 가맹점주 정보를 동의 없이 수집한 것으로 확인돼 파장이 일고 있다. 가맹점주의 이름, 사업자 등록번호, 전화번호, 승인건수 등 개인정보이자 신용정보를 수집한 사실이 뒤늦게 드러나면서 밴(VAN)사들의 반발이 거세다. 토스 측은 “가맹점을 모집·관리하는 밴대리점과 (일부 업무에 대해)위탁·관리 계약을 체결했기 때문에 문제가 없다”면서도 밴업계 반발이 거세자 뒤늦게 “이번주 내로 모집한 정보를 삭제하겠다”고 밝혔다.
6일 이데일리 취재 결과 토스플레이스는 100여곳의 밴대리점과 ‘토스매장 파트너 서비스 이용약관’ 등의 계약을 체결하고 해당 서비스를 제공했다. 토스매장 파트너는 밴대리점이 각각의 밴사에 일일이 접속하지 않고도 한 곳에서 모든 밴 업무를 볼 수 있도록 만든 일종의 플랫폼이다. 밴사는 카드사 결제망을 구축하고 밴대리점을 관리하며, 밴대리점은 밴사 업무를 위탁받아 신용카드 가맹점을 모집·관리한다.
토스플레이스는 이 같은 서비스를 제공하는 과정에서 100여개 밴대리점이 보유한 각종 가맹점주 정보를 가맹점주 동의 없이 수집했다. 토스플레이스가 수집한 정보는 가맹점 이름, 업태, 사업자 등록번호, 대표자 이름, 전화번호, 주소, 폐업여부, 전월 객단가, 전월 순승인금액, 전월 순승인건수 등이다. 주요 밴대리점 한 곳당 통상 1500개 가맹점을 관리하는 점을 감안하면 이 회사가 수집한 가맹점 수는 최소 15만 곳 이상으로 추산된다.
토스플레이스가 이들 가맹점주 정보를 수집할 수 있었던 것은 밴대리점이 보유하고 있는 밴사 아이디(ID)와 비밀번호(PW)를 밴대리점으로부터 넘겨받았기 때문이다. 토스플레이스는 이를 통해 밴사 홈페이지에 접속하고 가맹점주 정보를 스크래핑했다.
논란이 된 것은 이 부분이다. 가맹점주 정보는 엄연히 개인정보이면서 동시에 신용정보이므로 가맹점주 동의 없이 이를 긁어오는 것은 ‘제3자 정보제공’에 해당해 위법하다는 것이다. 밴대리점 이익을 대변하는 한국신용카드조회기협회조차 지난 5일 전국 중앙회의를 열어 이와 관련한 안건을 상정, 토스플레이스의 이 서비스가 분쟁 소지가 있다는 결론을 내렸다. 밴대리점과 가맹점주가 체결하는 카드단말기 할부·임대·유지보수 및 서비스 표준계약서에도 제3자 정보제공 동의란은 가맹점주 개인정보가 금융결제원에 제공된다는 항목뿐이다. 업계 고위 관계자는 “본인 정보가 토스플레이스와 같은 회사로 넘어갈 수 있다는 점을 인지할 가맹점주가 얼마나 있을지 의문”이라고 했다.
토스플레이스의 ‘개인정보 처리방침’이 취약하다는 지적도 제기됐다. 토스플레이스는 ‘대표자명(가맹점주명), 휴대전화번호, 주소 등’을 자사가 처리하는 개인정보라고 안내하고 있다. 개인정보분쟁조정위원회 한 조정위원은 “회사가 처리하는 개인정보는 처리방침에 명확히 명시해야 하며 ‘등’으로 두면 안된다”고 했다. 또 “개인정보 처리를 위해선 (가맹점주로부터) ‘개인정보 처리 동의서’를 받아야 하고, (토스플레이스와 밴대리점이 체결한) ‘이용약관 동의’만으론 부족하다”고 했다.
이에 대해 토스플레이스 측은 밴대리점이 해야 할 업무를 위탁받아 대신 처리하는 ‘처리위탁’이므로 적법하다는 입장이다. 회사 관계자는 “자사가 밴대리점에 제공하는 정보는 밴대리점이 밴사에서 모두 확인 가능한 정보이며, 이를 한 곳에 모아준 것뿐”이라며 “승인금액과 건수도 고객의 원천데이터를 모아 통계낸 것이 아니라 밴사가 보유한 통계 정보를 그대로 대리점들에 보여주는 것”이라고 했다. 또 “밴사에서 취득한 정보를 밴대리점에 대한 서비스 제공 목적이 아닌 자사의 다른 사업 목적으로 사용한다면 ‘제3자 정보 제공’에 해당하지만, 토스플레이스는 이 정보를 마케팅 등 목적에 활용할 계획이 없다”고 밝혔다. 이와 함께 토스플레이스는 “수집한 가맹점주 정보를 이번주 내 모두 삭제할 계획”이라는 입장을 밝혀왔다.
금융감독원 고위 관계자는 이에 대해 “업무 위수탁 범위 내에서 가맹점주 정보를 수집했는지 여부를 자세히 살펴보겠다”고 말했다.