세계일보
메뉴 보기 검색

금감원 “카카오페이, 中 알리에 4000만명 고객 정보 넘겨”

금감원, 현장검사서 적발… 제재 예고

6년동안 개인 신용정보 누적 542억건
고객 동의 없이 2대주주 알리페이에 제공
애플 NSF 스코어 산출 명목 요구받자
해외결제 이용 않은 고객정보까지 넘겨
카카오페이 “적법 위수탁… 불법 아니다”
금감원 “위수탁 계약 체결된적 없어” 지적
“법률검토 거쳐 신속처리… 유사사례 점검”

카카오페이가 2대 주주인 알리페이에 지난 6년간 누적 4000만명이 넘는 개인신용정보를 고객 동의 없이 제공한 것으로 드러났다. 금융당국이 이 같은 사실을 적발하고 제재를 예고하자 카카오페이는 사용자 동의가 필요 없는 업무 위·수탁 관계에 따라 처리했다며 불법은 아니라고 강변했다.

사진=뉴시스

◆금감원 “해외결제 이용 않은 고객정보 제공”

 

금감원은 지난 5∼7월 카카오페이의 해외결제 부문에 대한 현장검사 결과 카카오페이가 전체 가입 고객의 개인신용정보를 동의 없이 제3자인 알리페이에 제공한 사실을 적발했다고 13일 밝혔다. 알리페이는 카카오페이의 2대 주주이자 중국을 중심으로 간편결제 서비스를 운영하는 핀테크 기업이다.

 

이 같은 정보 제공은 2018년 4월부터 최근까지 이뤄졌으며, 매일 1회씩 총 542억건에 달해 누적 4045만명분이라고 금감원은 전했다.

 

알리페이는 그간 애플이 요구한 고객별 신용점수(NSF) 스코어 산출 명목으로 카카오페이 전체 고객의 신용정보를 요청했고, 이에 카카오페이는 해외결제를 이용하지 않은 고객까지 포함해 제공했다는 게 금감원의 설명이다.

 

금감원 측은 “NSF 스코어 산출 명목이라면 관련 모형이 구축된 2019년 6월 이후엔 대상 고객의 신용정보만 제공해야 했지만, 전체 고객의 신용정보를 계속 제공해 오남용이 우려된다”고 지적했다.

 

카카오페이는 또 국내 고객이 해외 가맹점에서 카카오페이로 결제하면 알리페이에 대금 정산을 해주기 위해 주문·결제정보만 공유하면 되는데도, 불필요하게 해외결제 이용고객의 신용정보까지 제공한 것으로 확인됐다. 2019년 11월부터 현재까지 이렇게 불필요하게 제공된 신용정보는 카카오 계정 아이디(ID)와 마스킹(데이터를 숨기는 프로세스)한 이메일 또는 전화번호, 주문과 결제정보 등 누적 5억5000만건이다.

 

금감원은 앞으로 면밀한 법률 검토를 거쳐 제재절차를 신속히 진행하는 한편 유사 사례가 있는지 점검할 계획이라고 밝혔다.

◆카카오페이 “고객정보 정상적 위·수탁”

 

이에 카카오페이는 ‘적법한 고객 정보 위·수탁’이라고 반박했다.

 

카카오페이는 이날 설명자료를 내고 “알리페이나 애플에 고객 동의 없이 불법으로 정보를 제공했다는 것은 사실이 아니다”라며 “애플의 앱스토어 결제수단 제공을 위한 정상적 고객 정보 위·수탁”이라고 해명했다.

 

신용정보법 17조 1항에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되면 정보주체의 동의가 요구되지 않는 것으로 규정되는데, 해당 정보는 위탁자인 카카오페이가 원활한 업무 처리를 위해 제3자에게 정보 제공을 하는 것이라 사용자 동의가 불필요하다는 주장이다.

 

카카오페이는 또 “알리페이와 애플은 카카오페이에서 제공하는 정보를 받아 마케팅 등 다른 어떤 목적으로도 활용하지 못하도록 되어 있으며, 카카오페이는 최근 별도의 공식 확인 절차를 진행했다”며 “알리페이에 정보를 제공함에 있어 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치를 하고 있다”고도 강조했다. 이어 “사용자를 특정할 수 없으면 원문 데이터를 유추해낼 수 없고, 절대로 복호화(암호화된 데이터를 원래 데이터로 되돌리는 것)할 수 없는 일방향 암호화 방식”이라고 덧붙였다.

사진=뉴시스

금감원은 이 같은 해명에 “카카오페이는 알리페이와 ‘NSF 스코어를 산출해 애플에 제공하는 업무’에 대해 위·수탁 계약을 체결한 바 없다”고 반박했다.

 

금감원은 아울러 고객 동의 없이 신용정보 처리 위탁이 되기 위해서는 위탁자 본인업무 처리와 이익을 위한 경우로 수탁자가 독자적인 이익을 가지지 않아야 하며 위탁자 관리 및 감독 아래 처리해야 하는데, 이번 건은 이에 해당하지 않는다고 지적했다.

 

또 카카오페이가 제공한 암호화 방식은 일반에도 공개된 프로그램으로, 그 이전으로 되돌리는 게 가능한 수준이라고 일축했다.

 

한편 개인정보보호위원회는 이날 개인정보보호법상 개인정보 국외 이전 의무 준수와 관련한 사실관계 확인을 위해 카카오페이 등에 자료 제출을 요구할 계획이라고 밝혔다.


이도형·박미영 기자