불법이 때론 서비스를 편리하게 만든다

법보다 서비스가 미칠 영향과 책임을고려해야 하지않을까?

1. 뭘 쓰겠다고 하면 글이 안 써져!

 '바람의 정의'를 쓰겠다고 예고를 했는데 벌써 몇 주째 잘 써지지 않네요. 항상 주제를 미리 언급하면 글이 잘 안 써지니 앞으로는 언급하지 말아야겠어요. 결국 '바람의 정의'는 다음에 쓰기로 하고 오늘은 회사에서 영업정지에 대한 이슈가 있었기 때문에 작성했던 아티클로 대신하려 해요. 서비스와 법이 저촉될 때, 어떤 기준을 가져야 할까에 대한 내용입니다.

2. 토스의 ‘간편 송금’은 여전히 불법이라 할 수도 있다.

 법을 지키지 않는 방법으로 서비스 혁신을 이뤄낸 서비스로 가장 대표적인 것은 토스의 간편 송금입니다. 10만 원에서 시작해서 지금은 200만 원까지 간편 송금이 가능하죠. 그런데 다른 금융권에서는 여전히 1. 공인인증서 2. 보안카드 3. ARS 등의 2 채널 인증 등의 방법(OTP 같은 방법은 일단 생략!)이 사용되고, 계좌 비밀번호는 거의 필수적으로 사용되고 있습니다. 최근 토스에 미치지는 못하지만, 적은 금액을 간편 송금할 수 있는 서비스들이 나오고 있음에도, 여전히 토스가 가장 편리한 송금 방식, 최대 송금금액으로 사용하고 있지요. 그런데, 어떻게 토스만 간편한 송금을 할 수 있을까요?

 우선 방법을 살펴보면 자동이체방식이기 때문입니다. 우리가 자동이체를 등록할 때는 위에서 언급한 방식들을 사용하지 않지요? 그저 계좌주의 이름과 계좌번호만 일치하면 자동이체가 등록됩니다. 토스도 이 방법을 사용하고 있어요. 1회성 자동이체를 설정하고, 자동이체로 돈이 빠져나가면 자동이체를 취소하는 방법이지요. 막상 듣고 보니 굉장히 쉬운 방법이죠?

 다만 이러한 체계를 만들기 위해서는 모든 은행과 자동이체 계약을 설정해야 해요. 송금 자체는 이러한 계약 없이 가능 하지만, 토스와 같은 간편 송금을 하기 위해서는 각각의 은행과 자동이체 계약이 되어있어야 합니다. 이를 통해 한 가지 더 알 수 있는 점은, 계좌이체가 바로 되는 것이 아니라는 점이죠. 개인이 은행과 자동이체 계약을 한 것이 아니라 토스가 은행과 계약을 한 것이기 때문에요. 그러니까 구조적으로 [이체하는 사람 > 토스 > 이체받는 사람]이라는 구조가 됩니다. 

 그런데 이것이 자동이체라 불법이 아닌 것이지, 송금이라는 개념으로 보면 여전히 불법입니다. 토스 이후 핀테크를 육성하겠다는 정부의 의지로 은행의 API를 끌어올 수 있는 오픈 API가 생겼습니다만, 이 오픈 API 역시 기존의 공인인증서와 기타 인증 방식을 그대로 사용해야 해요. 의지는 있지만 여전히 방법은 그에 따라가고 있지 못하죠.

 그러나 토스는 (정확히는 토스를 운영하는 비바 리퍼블리카) 처벌받지 않지요. 이는 자동이체라는 방법으로 합법한 활동을 했기 때문입니다. 하지만 ‘간편 송금’이라는 서비스명을 생각했을 때, 법의 허점을 이용한 탈법이라고 할 수도 있고 법이 정의해 놓지는 않았지만, 법이 정한 목적(안전한 송금)에 반하는 불법이라고 할 수도 있습니다. 일반적으로 이러한 탈법 행위, 불법행위가 나타나면 국회 혹은 정부에서는 법을 보완하는데요. 송금에 대해서는 법을 보완하지 않았죠. 이는 토스가 송금 사이에 껴서 모든 책임을 지기 때문이에요. 그래서 회사의 규모에 따라 송금 금액을 키워온 것이고요. 

 그럼 다시 정리하면, ‘명문화된 법을 지키지 않는 불법이더라도 법의 목적을 크게 반하지 않기 때문에 위법은 아니고, 회사가 책임을 지는 구조라면 그대로 둔다’라는 결론을 내릴 수 있을 거예요. 하지만 이렇게 모든 책임을 사업자가 지어선 사업을 할 수는 없겠죠? (이런 설계 잘못했다가 소송에 불려 다니다가 끝나는 스타트업도 많아요! 대기업에서 이런 걸 이용해서 반복된 소송으로 망하게 하는 경우도 있고요.) 그래서 ‘면책’이 중요해져요. 대부분의 약관은 이 면책을 위해서 만들어집니다. 면책에 대해서는 스위스 치즈 모델에서 다시 자세히 이야기하도록 할게요!  

3. 법을 지킨다고 모두 해결되는 것은 아니다, 타다 이재웅

 그렇다면, 반대로 법은 모두 지켰지만, 소송을 당한 케이스를 한 번 볼까요? 타다의 이재웅 전 대표가 좋은 예가 될 거 같아요. 타다라는 서비스는 여전히 운영 중이지만 이재웅 개인은 민사소송이 아닌 형사소송을 치르고 있고, 타다의 대표에서 물러났지요. 이재웅 전 대표의 개인적인 약점과 가치관으로 벌어진 일이기는 한데, 사업체의 측면에서 이재웅 대표가 불법을 저질렀다고 하기엔 애매한 부분이 꽤 있지요. 실제로 법원의 판단은 무죄로 나오기도 했습니다. 

 그러나 택시 업계와 상생해야 할 모델을 지니고 있음에도 이재웅 전 대표가 주장한 건 굉장히 수리적인 논리였어요. 타다는 서울에서 2%에 불과한데, 이것이 왜 그렇게 큰 문제라는 것인지 모르겠다. 가 주된 논리였습니다. 그러나 택시를 운영하는 기사님들은 이 설명에 납득하지 못했고, 형사 고소에 이르게 됐지요. 형사 고소가 되더라도, 검사가 받아들여주지 않으면 기소가 되지 않아요. 범죄 구성요건과 기소의 필요성이 인정되어야 기소되는 것인데, 기사님들의 감정에 응한 것이지, 논리적으로 기소될 만한 근거가 충분한지에 대해서는 의문입니다. 

 그러나 법은 논리의 영역만이 아니에요. 법의 3요소는 정의, 합목적성, 법적 안정성이에요. 3가지가 갖춰져야 법이라는 의미입니다. 그중에서 합목적성이란 법을 통해 달성하려는 목적이 달성되어야 한다는 가치지만 쉽게는 국민의 감정과 생각이라고 볼 수도 있는 것이거든요. 그래서 대부분의 사람이 법이 불합리하다고 느끼는 부분은 합목적성을 갖추지 못했을 때에요. ‘아니 그런 법이 어딨어?’라는 말은 이 법이 달성하려는 목적에 나는 공감을 하지 못하겠다는 뜻이고, 그것은 법을 개정해야 할 굉장히 큰 이유죠. 

 그래서 정의되어있는 법을 지키는 합법보다는 법이 추구하고자 하는 가치를 지키는 적법이 훨씬 더 중요한 요소라고 생각해요. 정부에서 가이드라인을 제공하는 이유도 마찬가지입니다. 가이드라인이 법은 아니고, 개별적 판단, 소송에서 판단의 근거를 제공하는 것이지 이게 꼭 지켜야 할 법은 아니거든요. 가이드라인보다 적법하다면, 가이드라인을 뒤엎는 판결도 충분히 있을 수 있습니다. 그럼에도 불구하고, 가이드라인을 지키는 게 실무적으로 훨씬 쉽겠죠? 아주 특별한 이유가 아니라면, 그냥 가이드라인을 확인하고 지키는 쪽으로 서비스를 구성하는 게 좋을 거 같아요. 이 같은 한계에도 정부가 가이드라인을 제공하는 건, 법에서는 일반적인 큰 줄기로만 규정하지 모든 사항을 가정해 해결할 수 있는 법을 만들지 않기 때문에 구체적인 예에서 사업자가 사업을 할 수 있도록 이렇게 하면 적법한 거 같다는 가이드를 제공하는 겁니다. 실제로 가이드를 지켰는데도 불법이 된 경우도 있어요.(그래서 가이드를 따르란 거야 말란 거야!?)  

4. 때론 적법과 합법보다 면책에 집중한다. 스위스 치즈 모델

 자 그럼 실무에서는 어떻게 구성되어야 하는가? (사실 합법이고 불법이고 난 그런 거 관심 없...) 기업이 이런 법적인 검토를 다하면서 사업을 하기란 어렵죠. 특히 작은 기업이나 스타트업에서는 더더 욱요. 그래서 대부분 어떻게 면책을 할 수 있는가? 에 집중을 하게 되는데요. 대부분 3중의 거름망을 거치면 면책이 된다고 보아요. 이 3중의 거름망을 어떻게 구성할 것이냐가 문제가 되는 것인데, 저는 스위스 치즈 모델을 기준으로 생각합니다.

 스위스 치즈 모델이란 한 개의 거름망에서 모든 문제를 대응할 수 없지만, 거름망의 모양이 다르다면 모든 문제에 대응이 가능하다는 논리예요. 하나의 에러로 3개의 거름망을 통과하지 못한다는 이론으로 사고 발생을 예방하는 이론인데요. 

 법적으로 면책은 대부분 의무를 지키기 위한 노력을 했는가? 에 집중되어 있어요. 그러면 의무를 지키기 위해 3중의 거름망을 두었다, 그리고 이 거름망이 합리적인가?라는 기준으로 판단을 내려요. 그런데 누가 보기에도 3중의 거름망이 허술하다? 그러면 면책이 되지 않아요. 그래서 스위스 치즈 모델처럼 하나의 에러로 3중 망을 뚫을 수 없는 구조를 기준으로 생각하는 것이죠.

 다시 은행의 송금을 예로 돌아가 이야기를 이어가겠습니다. 1. 공인인증서 2. 보안카드 3. ARS 등의 2 채널 인증이라는 3중 망을 사용하죠. 공인인증서가 유출되든, 보안카드가 유출되든, 핸드폰 등 개인 인증 수단이 유출되든 하나의 문제 만으로 송금은 불가능하죠? 3가지 모두에서 문제가 발생한다? 이러면 범죄자의 의도에 따른 것이기 때문에 은행에서 책임지지 않아요. 살인은 불법이고 살인을 막기 위해 경찰이 있으며, 살인 방조죄를 통해 살인을 막을 의무를 모든 사람에게 부여했죠. 하지만 그래도 살인은 발생하고, 최종 책임은 범죄자가 처벌을 받음으로 책임을 지게 되는 것처럼요. 살인을 막아야 할 국가의 책임이 있지만, 국가의 거름망을 피해 살인이 벌어지면, 범죄자의 책임이 된다고 보시면 돼요. 그런데, 경찰(공권력)이 제대로 동작하지 않았다? 혹은 살인, 살인방조죄를 너무 가볍게 처벌해서 살인이 계속 일어난다? 그러면 국가도 면책되지 않고 책임을 지는 겁니다. 어떤 일을 막기 위한 노력을 증명하는 방법이란 이렇게 거름망이 있는가? 그것이 하나의 에러로 뚫리지 않게 구성했는가? 거름망의 관리가 온전히 되었는가? 를 증명하는 거예요.

 그렇다면 3중 망이면 충분하냐? 그것은 또 아니에요. 판단의 기준은 업계 평균입니다. 너희 회사를 제외한 50% 이상의 회사가 이렇게 하고 있는데, 너희는 왜 이렇게 하지 않았냐?라는 결론에 다다르기도 해요. 제가 제시하는 방법은 어디까지나 업계 평균이라는 것이 존재하지 않을 때입니다(여기서도 나오는 스타트업 출신...). 그리고 반대로, 업계를 선도하는 기준일 수도 있어요. 다른 회사들이 이런 기준을 제시하지 못할 때, 법원은 기준이 될만한 방법을 사용하고 있는 기업을 기준으로 판단하게 됩니다. 그리고 아마도 그 기업은 이 기준을 계속 업데이트하고 있을 것이고, 업계의 평균도 이 기준을 따라와야 하겠지요. 이것이 업계를 선도할 수 있는 방법 중 하나라고 저는 생각해요. 그리고 얼마 전 보험 가입 음성 녹취를 모바일 Ui Ux로 대체하고 이를 '표준'으로 삼으려는 토스의 시도도 있었습니다. 토스의 시도가 성공하면 이는 시장의 '표준'으로 판단의 기준이 될 수 있겠죠. 역시 토스!라는 말이 절로 나오는 프로젝트예요.

5. 그럼 우리는 어떻게 해야 하는데?

 자 그럼 슬랙에 올라왔던 기사를 바탕으로 적용해 볼까요? 자세히 검토하면 직업안정법부터 시작해야 하지만, 간단하게 적용해보겠습니다. 

 ‘해당 조항은 직업정보제공사업자 및 그 종사자는 준수해야 할 사항으로 구인자의 업체명(또는 성명)이 표시돼 있지 않거나 구인자의 연락처가 사서함 등으로 표시돼 구인자의 신원이 확실하지 않은 구인광고를 게재하지 않도록 규정한다. 아울러 직업정보제공매체의 구인·구직의 광고에는 구인·구직자의 주소 또는 전화번호를 기재토록 한다.’

 이게 법원에서 행정처분의 근거입니다. 사업자는

‘그러나 A 씨는 "구인자의 업체명과 성명, 주소가 허위란 사실을 인식조차 하지 못했고, 이를 심사할 권한·의무가 없었다"며 소송을 냈다’

 이라고 소송을 했습니다. 주장에 대해 대응하는 논리를 살펴볼게요.

[허위란 사실을 인식하지 못했다 > 확인하기 위한 노력을 게을리했다.] 

[이를 심사할 권한 의무가 없었다 > 구인자의 신원이 확실하지 않은 구인광고를 게재하지 않도록 규정한다.(의무가 있었다.)] 

 이건 서비스가 어떻게 구성되었든 간에, 주장을 저렇게 해선 이길 수가 없는 재판입니다. 서비스의 구성이 적법한지(의무를 지키기 위해 노력한 부분)에 대해 주장을 했어야 했는데, 아예 논점을 잘못 잡은 것이죠.  ‘직업안정법에서 의무를 잘못 규정했다’라는 주장을 하면 모르겠는데, 이 주장은 아예 재판의 본질을 이해하지 못한 주장이에요. 

 다만 이 재판이 어리석은 주장으로 이루어졌다고 해도, 직업안정법에서 정의하는 의무에서 자유로운 것은 아닙니다. 그래서 서비스에 3중 망이 필요하다고 보는 것인데, ‘회원 가입 시에 모든 정보를 확인한다’라는 대응은 좋지 못하다고 생각해요. 한 번의 정보 도용으로 뚫릴 수 있기 때문에 ‘의무를 다하기 위해 충분한 노력을 다했다’라는 판단을 받기 어려울 것이라 봅니다. 서비스의 편의성이나 기타 문제 때문에 한 번에 확인해야 한다면, 더 깊은 검토가 필요하겠지요. 요는 ‘허위 정보를 100% 막는다’보다는 ‘면책을 받을 수 있는 장치를 (비록 겉치레라도) 여럿 둔다’가 되어야 하지 않을까입니다. 그리고 면책을 받을 수 있는 장치는 스위스 치즈 모델처럼 각각 다른 곳에 구멍이 뚫려야지 하나의 구멍이 겹쳐져 있는 형태여서는 안 되겠죠.   

6. 서비스도 '책임'이 고려되어야 하지 않을까?

 이 아티클은 사실 6월 1일에 작성된 아티클이고, 저희 회사에서는 이 이슈에 임시로 대응을 한 상태입니다. 그리고 장기 대응은 제가 준비를 하고 있습니다. 사실 아티클 작성할 때는 대법원의 판례를 검토하고 작성한 것이 아니어서 일반적으로(판단 기준이 없는 스타트 업식으로) 생각하는 3중 망을 생각했던 것인데요. 지금은 대법원의 판례를 검토해 다른 방향으로 나가고 있습니다. 이렇게 방향이 바뀐 이유는 대법원에서 비교적 '명확한 판단 기준'을 제시했기 때문입니다. 또 개별적 사안에 따라 규제 샌드박스를 이용해 보는 방법도 있을 겁니다. 

 이러한 실무적 디테일을 논하는 것보다 강조하고 싶은 것은 서비스 기획에는 사람에게 어떠한 영향을 미칠지를 분명히 생각해야 한다는 점입니다. 저는 이를 서비스의 '책임'이라고 생각합니다. 토스의 간편 송금이나 보험가입 음성 녹취 대체 프로젝트는 법보다 서비스가 져야 할 '책임'을 분명히 생각하고 있음을 보여주는 것 같습니다. '송금'이라는 정의에 맞지 않는 방법이지만, 분명히 책임을 지는 구조를 갖추고 있고, 분명 불법이 아니고 의무가 아님에도 사용자의 권익 신장을 위해 표준을 정의하려는 프로젝트는 분명히 서비스의 '책임'을 고려하고 있음을 느끼게 합니다. 반대로 너무 공격적으로 느껴질 것 같아 언급하지 않겠습니다만, 이러한 책임을 고려하지 않다가 급격하게 쇠락한 회사들도 많습니다.

참고

제품 기획자가 가져야 할 윤리 의식 : 기획하는 제품에 윤리적인 소명의식을 가져야 한다.

 저와 비슷한 관점을 가진 아티클 하나를 인용합니다. 다만 '윤리적' 혹은 '윤리 의식'은 조금 지나친 감이 있지 않을까 싶어요. SNS와 무한 스크롤이 사용자를 중독시켰기 때문에 윤리적이지 못하다면, 성인 콘텐츠, 게임과 같은 서비스에 종사하는 많은 사람들을 공격하는 것처럼 느껴집니다. 불법 도박 서비스라던지, 성매매 같은 서비스가 아니라면, '윤리적'이라는 잣대는 조금 가혹하다고 생각하기 때문이에요. '틀렸다, 잘못됐다'라는 뜻이 아니라, 제가 생각하기에 '저런 관점은 조금 가혹한 게 아닐까?'라는 뜻입니다. 그럼에도 서비스가 사람에게 미칠 영향을 고려해야 한다는 점은 같기에 언급하며 마무리합니다!