ID부터 잔고까지 542억건…알리 쪽 불법 사용해도 확인 불가능

이주빈 기자 2024. 8. 13. 21:40
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

카카오페이가 고객 정보를 제휴사인 알리페이에 넘긴 행위를 놓고 정부 당국과 카카오페이 간 입장은 첨예하게 엇갈린다.

알리페이로 넘어간 카카오페이 고객 정보는 다양하다.

또 당국은 애플 요청과 무관하게 카카오페이가 고객 정보를 알리페이에 준 사례도 무더기로 발견했다.

당국은 카카오페이가 알리페이에 정보를 주면서 고객의 동의를 받지 않은 점을 가장 크게 문제 삼는다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

카카오페이 누리집 갈무리

카카오페이가 고객 정보를 제휴사인 알리페이에 넘긴 행위를 놓고 정부 당국과 카카오페이 간 입장은 첨예하게 엇갈린다. 이와 별개로 정보를 받은 알리페이의 ‘목적 외 활용’ 여부는 확인되지 않고 있다. 당국 손길이 닿지 않는 국외 기업이어서다. 개인정보의 국외 이전에 잠재된 위험이 이번 사건에서 다시 한번 부상하는 모양새다.

넘어간 정보는 무엇?

알리페이로 넘어간 카카오페이 고객 정보는 다양하다. 카카오계정 아이디, 휴대전화 번호, 이메일 정보는 물론 카카오페이 가입일과 페이머니 가입일, 거래 내역이 그 예다. 특히 페이머니 거래 내역에는 잔고, 최근 7일간의 페이머니 충전·출금 횟수, 최근 7일간 결제 여부, 최근 7일간 송금서비스 사용 건수 등이 포함된다. 카드 등록 여부, 등록 카드 개수 등도 알리페이에 넘어갔다.

정보를 알리페이에 준 건 애플의 요청 때문이라고 카카오페이는 말한다. 애플은 일괄결제시스템 운영을 할 때 필요한 ‘고객별 신용점수’(NSF 스코어)를 가맹점에 요구한다. 당국도 알리페이에 정보 제공을 하게 된 배경에 애플의 요청이 있는 게 사실이지만 동시에 해외결제를 이용하지 않은 고객 정보까지 넘어갔다는 점에 주목한다고 설명했다. 또 당국은 애플 요청과 무관하게 카카오페이가 고객 정보를 알리페이에 준 사례도 무더기로 발견했다. 알리페이에 대금 정산을 해주는 과정에서 개인신용정보까지 제공했다는 것이다. 손성기 금융감독원 외환검사기획팀장은 “주문·결제 정보만 공유하면 되는데도 카카오계정 아이디와 같은 정보도 알리페이에 넘겼다”고 말했다. 업계에선 카카오페이 2대 주주가 알리페이 관계사라는 점에 주목하는 시각도 있다. 주주 요청에 따라 카카오페이가 고객 정보를 손쉽게 넘긴 것 아니냐는 것이다.

동의 없는 정보 제공

당국은 카카오페이가 알리페이에 정보를 주면서 고객의 동의를 받지 않은 점을 가장 크게 문제 삼는다. 카카오페이가 가장 이견을 드러내는 대목이기도 하다. 카카오페이는 “‘처리 위탁’에 해당하기 때문에 고객 동의가 필요 없다”고 주장한다. 당국은 처리 위탁이 아닌 ‘제3자 제공’에 해당하기에 고객 동의가 필수라고 판단한다.

개인정보 처리 위·수탁은 ‘처리 위탁’과 ‘제3자 제공’으로 구분된다. 고객 동의는 후자에만 필요하다. 금감원 쪽은 “‘처리 위탁’에 해당하려면 위탁사무처리 대가 외에 수탁자는 독자적 이익을 획득할 수 없어야 하고 위탁자가 관리·감독해야 함은 물론 금융위원회에 처리 위탁 여부를 신고해야 한다. 카카오페이는 심지어 위탁계약서도 작성하지 않았다”고 강조한다. 카카오페이 누리집에 게시된 ‘개인정보 처리 위탁 현황’ 목록에도 알리페이는 없다. 이에 대해서 카카오페이 쪽은 별다른 설명을 내놓지 못하고 있다.

고객 정보의 국외 이전에 내재된 위험

개인정보보호위원회는 이날 금감원의 발표 이후 보도자료를 내어 별도 조사 착수 가능성을 언급했다. 개인정보보호법은 고객 정보의 국외 이전 때 반드시 고객 동의를 받도록 정하고 있다. 금감원 발표가 맞다면 개인정보보호법 위반 가능성이 있기에 사실관계를 확인해본다는 게 개인정보위 쪽 입장이다.

개인정보보호법이 고객 정보의 국외 이전에 이용자 ‘동의’를 받도록 정한 까닭은 국외 이전된 정보가 오남용 되더라도 사후적으로 이를 제어하기 어렵기 때문이다. 특히 이번 사건의 경우 카카오페이가 고객 정보를 암호화해서 넘겼다고 하지만 금융당국은 “일반인도 공개된 프로그램으로 얼마든지 풀어낼 수 있는 암호화 수준”이라고 밝히고 있는 터다. 나아가 이미 넘어간 정보로 알리페이가 목적 외 이용을 했는지도 객관적 확인이 사실상 불가능하다. 임종건 금감원 외환감독국장은 한겨레에 “알리페이는 국경 밖에 있어 당국의 손길이 닿지 않는다”고 말했다.

이주빈 기자 yes@hani.co.kr 박지영 기자 jyp@hani.co.kr

Copyright © 한겨레신문사 All Rights Reserved. 무단 전재, 재배포, AI 학습 및 활용 금지

이 기사에 대해 어떻게 생각하시나요?