"카카오페이, 542억건 개인정보 알리에 넘겼다" vs "업무 위탁"

황예림 기자 2024. 8. 13. 15:48
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

카카오페이가 중국 알리페이에 제공한 개인신용정보 종류/그래픽=이지혜

금융감독원이 카카오페이가 동의를 받지 않고 알리페이에 4000만명이 넘는 고객의 개인신용정보를 넘긴 것으로 확인했다. 카카오페이는 애플 요청에 따라 부정결제방지 시스템을 구축하기 위한 것으로 고객 동의가 필요없는 위수탁 관계에 따른 처리여서 위법성이 없다는 입장이다.

금감원 "중국 알리페이에 동의없이 4045만명 전고객 개인정보 넘겼다"
금감원은 13일 지난 5~7월 현장검사를 거쳐 카카오페이가 가입한 모든 고객의 개인정보를 당사자 동의 없이 알리페이에 제공했다는 사실을 확인했다고 밝혔다.

알리페이에 개인정보가 넘어간 고객의 수는 4045만명이다. 건수로는 542억건에 이른다. 개인정보는 2018년 4월부터 최근까지 매일 한차례씩 제공됐다.

금감원은 카카오페이가 NSF 스코어 산출을 명목으로 알리페이에 전체 고객의 개인정보를 넘겼다고 파악 중이다. NSF 스코어는 애플에서 일괄결제시스템을 운영할 때 필요한 고객별 신용점수다. 카카오페이는 2019년 애플 앱스토어 결제수단으로 채택됐다.

금감원은 NSF 스코어 산출이 명목이면 스코어 산출대상 고객의 개인정보만 제공해야 함에도 전체 고객의 개인정보를 제공, 오남용 우려가 있다고 봤다. 카카오페이가 알리페이에 제공한 개인정보는 △고객식별정보 △가입고객정보 △페이머니 거래내역 △등록카드 거래내역이다. 여기에는 카카오계정 ID, 휴대전화 번호, 이메일, 페이머니 잔고, 카카오페이에 등록한 카드개수 등이 포함된다.

금감원은 카카오페이가 알리페이의 해외가맹점에서 결제를 지원하는 과정에서도 5억5000건의 개인정보를 넘겼다고 본다. 카카오페이는 2019년부터 알리페이와 제휴를 통해 해외가맹점 결제를 지원하고 있다.

금감원은 카카오페이가 알리페이에 대금정산을 해주기 위해선 주문·결제 정보만 공유하면 되는데, 해외결제 고객의 개인정보를 2019년 11월부터 최근까지 알리페이에 불필요하게 전달했다고 설명한다. 카카오페이는 카카오계정 ID, 마스킹한 이메일, 휴대전화, 주문정보, 결제정보 등을 알리페이에 넘겼다.

금감원은 카카오페이가 개인정보 제공 동의서상 사실과 다르게 동의를 받았고 고객이 동의하지 않으면 해외결제를 하지 못하는 사안이 아님에도 고객으로부터 선택동의가 아닌 필수동의를 받았다고 밝혔다.

특히 금감원은 알리페이 해외결제를 위해 넘긴 카카오계정 ID 등을 고객 식별키로 활용하면 NSF 스코어 산출을 위해 개인정보를 활용할 수 있다고 했다.

금감원 관계자는 "법률검토를 거쳐 카카오페이에 대한 제재절차를 진행하고 유사사례를 점검할 계획"이라고 말했다.

카카오페이 "보안강화 위해 애플 요청에 따른 동의 필요없는 위탁…암호화"

이에 카카오페이는 업무 위수탁 관계에 따라 정보를 위탁한 것이라 위법성이 없다는 입장이다. 신용정보법 제17조에 따르면 개인정보를 제공받는 쪽의 이익을 위해 정보를 이전하는 경우엔 고객의 동의가 필요하지만 원활한 업무 처리를 위해 제3자에게 정보가 제공될 때는 동의가 요구되지 않는다. 카카오페이는 애플이 앱스토어 결제 수단으로 채택하면서 알리페이 시스템을 활용할 것을 권고했다고 설명했다.

또 암호화를 통해 개인정보를 넘겨 알리페이가 부정결제 여부를 확인하는 것 외에는 개인정보를 활용할 수 없다고 반박했다. 카카오페이에 따르면 암호화한 정보를 이용해선 사용자를 특정하거나 원문 데이터를 유추할 수 없어 다른 목적으로는 활용이 불가능하다.

카카오페이 관계자는 "애플이 결제수단으로 채택된 회사에 부정결제방지 프로세스를 높은 수준으로 요구하는데 알리페이의 프로세스는 애플 입장에서 검증된 시스템이라 알리페이의 시스템을 활용하라고 요청했다"며 "앱스토어에서 결제를 제공하기 위한 정상적인 개인정보 위수탁"이라고 말했다. 이어 "알리페이에 정보를 제공할 때도 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치했다"며 "양방향이 아니라 한방향으로 암호화돼 있어 카카오페이가 아니면 해독할 수도 없고 알리페이가 해독할 이유도 없다"고 덧붙였다.

황예림 기자 yellowyerim@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?