카카오페이, 정상적인 위수탁 관계 주장
금감원 "위수탁 계약 아냐…엄중히 대처"
[서울=뉴스핌] 한태희 기자 = 카카오페이가 중국 핀테크업체인 앤트 그룹 계열사 알리페이에 고객 동의 없이 개인신용정보를 넘겼다는 논란이 불거졌다.
금융당국은 카카오페이가 고객 동의를 받지 않고 개인신용정보를 제3자에게 전달했으니 개인정보 보호법, 신용정보의 이용 및 보호에 관한 법률(신용정보법) 등 관련 법 위반 소지가 있다고 보고 있다. 반면 카카오페이는 정상적인 고객 정보 위수탁이라며 불법적으로 정보를 전달하지 않았다는 입장이다.
13일 금융당국과 카카오페이에 따르면 금융감독원(금감원)은 지난 5월부터 7월까지 카카오페이 외환거래 관련 현장 검사 중 고객 동의 절차 없이 개인신용정보가 카카오페이에서 알리페이로 넘어간 사실을 확인했다.
◆ 2018년부터 카카오계정 ID·핸드폰 번호·거래 내역 등 542억건 정보 넘겨
금감원은 2018년 4월부터 현재까지 매일 1회씩 542억건(누적 4045만명)에 달하는 카카오페이 가입자 정보가 전달된 것으로 파악했다. 전달된 정보는 카카오계정 ID와 핸드폰 번호, 이메일, 카카오페이 가입 내역, 카카오페이 충전이나 송금과 같은 거래 내역 등이다. 이 과정에서 해외결제를 이용하지 않은 고객 정보까지 전달됐다.
또 2019년 11월부터 현재까지 총 5억5000건에 달하는 해외결제 이용고객 정보도 카카오페이에서 알리페이로 전달된 것으로 확인됐다. 제공된 정보는 카카오계정 ID와 주문 시간과 금액이 담긴 주문정보, 결제 시간과 결제 수단이 담긴 결제정보 등이다.
카카오페이와 알리페이 연결 고리에는 애플 앱스토어가 있다. 카카오페이는 2019년 애플 앱스토어에서 결제 수단을 지원했다. 애플은 카카오페이를 앱스토어 결제 수단으로 채택하는 과정에서 부정 결제 방지 등을 위해 알리페이 시스템을 활용할 것을 권고했다.
이에 따라 카카오페이가 고객신용정보를 제공하면 알리페이가 애플에서 일괄결제시스템 운영 시 필요한 고객별 신용점수(NSF 스코어)를 산출해 애플에 제공했다. 금감원은 이 과정에서 고객 동의 절차가 없었다는 점에 주목하고 있다.
◆ 금감원 "고객 동의 안 받았으니 법 위반"
신용정보법에 따라 신용정보제공·이용자가 개인신용정보를 타인에게 제공하려면 해당 신용정보 주체로부터 미리 개별적으로 동의를 받아야 한다. 또 개인정보를 국외(알리페이)에 전달하려면 개인정보 보호법에 따라 정보 주체로부터 별도 동의를 받아야 한다.
금감원은 특히 카카오페이가 해외 결제 고객 신용정보를 불필요하게 알리페이에 전달했다고 봤다. 카카오페이는 알리페이와 제휴 초기 해외 결제 고객 신용 정보를 제공하지 않았다는 게 금감원 지적이다.
금감원은 "동의서상 제공받은 자(알리페이) 이용 목적을 PG 업무 수행으로 사실과 다르게 기재해 제공받는 자의 실제 이용 목적을 제대로 고지하지 않았다"며 "고객이 동의하지 않으면 해외결제를 못하는 사안이 아님에도 선택적 동의 사항이 아닌 필수적 동의 사항으로 잘못 동의를 받았다"고 판단했다.
◆ 카카오페이 "신용정보 처리 업무 위탁은 동의 불필요"…금감원 "업무 위수탁 해당 안돼"
카카오페이는 신용정보법을 근거로 법 위반은 없다고 해명하고 있다. 앱스토어 결제를 위해 필요한 정보 이전은 사용자 동의가 필요없는 카카오페이-알리페이-애플 간 업무 위수탁 관계에 따라 이뤄졌다는 설명이다.
산용정보법 제17조를 보면 신용정보회사는 제3자에게 신용정보 처리 업무를 위탁할 수 있다. 이 때 특정 신용정보주체를 식별할 수 있는 정보는 대통령령으로 정하는 바에 따라 암호화 등의 보호 조치를 해야 한다.
카카오페이는 "불법적 정보 제공을 한 바 없다"며 "해당 결제를 위해 꼭 필요한 정보 이전은 사용자 동의가 필요없는 카카오페이, 알리페이, 애플 간 업무 위수탁 관계에 따른 처리 방식으로 이뤄졌다"고 강조했다.
카카오페이 해명에도 금감원은 업무 위수탁에 해당하지 않는다고 판단했다.
금감원은 "카카오페이는 알리페이와 NSF스코어를 산출해 애플에 제공하는 업무에 대해 위수탁 계약을 체결한 바 없다"고 반박했다.
◆ 카카오페이 "암호화로 부정 결제 탐지 외 활용 불가"…금감원 "철저한 비식별 조치는 주장일뿐"
카카오페이 해명 대로 신용정보 처리 위탁일지라도 고객 동의가 필요한 경우가 있다. 홍보나 판매가 목적일 경우다. 개인정보보호법 제26조 3항에서는 위탁자(카카오페이)가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무 내용과 수탁자를 정보주체에게 알려한다.
이와 관련 카카오페이는 이번 사안은 홍보나 판매 목적이 아닌 부정 결제 여부 확인이 목적이라고 강조하고 있다.
카카오페이는 "알리페이와 애플은 카카오페이에서 제공하는 정보를 받아 마케팅 등 다른 어떤 목적으로도 활용하지 못하도록 돼 있다"며 "알리페이에 정보를 제공함에 있어서 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치하고 있다"고 설명했다. 이어 카카오페이는 "사용자를 특정할 수 없으며 원문 데이터를 유추해낼 수 없고 절대로 복호화 할 수 없는 일방향 암호화 방식이 적용돼 있어 부정 결제 탐지 이외 목적으로는 활용이 불가능하다"고 해명했다.
카카오페이 주장에도 금감원은 법 위반에 해당한다고 판단했다. 철저히 비식별조치해 원본 데이터를 유추할 수 없다는 의견은 사실과 다르며 암호화를 제대로 했더라도 관련 법상 가명정보에 해당해 고객 동의가 필요하다는 게 금감원 설명이다. 가명정보는 추가 정보를 사용하지 않고는 특정 개인을 알아볼 수 없도록 처리한 개인신용정보다.
금감원은 "향후 면밀한 법률 검토를 거쳐 제재절차를 신속히 진행하는 한편 유사 사례를 점검할 계획"이라며 "금융소비자 보호 등을 위해 불법적인 영업 행위에 대해서는 검사 등을 통해 엄중히 대처하겠다"고 강조했다.
ace@newspim.com
