“4천만명 개인정보 중국에 넘어갔다니”…유출 논란 휩싸인 카카오페이

채종원 기자(jjong0922@mk.co.kr), 양세호 기자(yang.seiho@mk.co.kr) 2024. 8. 13. 23:06
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
금융당국, 검사서 적발 주장
ID·전화번호·구매결제내역등
4천만명분 전달된 것으로 추정
카카오 “합법적 업무차원 진행”

[사진 출처 = 연합뉴스]

[사진 출처 = 연합뉴스]
카카오페이가 중국 핀테크 기업인 앤트그룹 계열사 알리페이로 개인신용정보를 전달하는 과정에서 고객의 동의를 받지 않은 개인정보를 유출했고 그 과정에서 위법적 요소가 발생했다는 의혹이 제기됐다. 금융감독원은 법률 위반 가능성이 있다고 보고 있는 반면 카카오페이는 위탁업무를 비롯한 정상적인 영업활동이어서 동의가 필요없고 개인정보 유출 가능성도 없다고 맞서고 있다. 양측이 동일한 사안에 대해 정반대로 해석을 하고 있는 상황이라 향후 치열한 법리 다툼이 이어질 것이라는 전망도 나온다.

13일 금융감독원은 카카오페이가 2018년 4월 이후 현재까지 총 4045만명의 개인정보·신용정보, 총 542억건을 알리페이에 제공했다고 밝혔다. 제공된 정보는 카카오계정 ID와 휴대전화 번호, 이메일, 카카오페이 가입내역, 카카오페이 거래내역, 결제정보 등이다.

금감원은 알리페이측에 개인정보가 전달된 경위를 ▲알리페이망을 활용한 해외결제 ▲ 애플 앱 결제용 고객신용점수 산정을 위한 정보제공 등으로 보고 있다.

우선 카카오페이는 알리페이와 제휴를 맺고 국내 고객이 알리페이가 계약한 해외가맹점에서 카카오페이로 결제할 수 있도록 하고 있고 이 과정에서 개인정보가 전달됐다는 것이다.

또 국내 고객이 해외가맹점에서 카카오페이로 결제 시 알리페이로 대금정산을 해주기 위해선 알리페이와 주문 또는 결제 정보만 공유해도 되는데 그 외 신용정보까지도 알제공한 것도 문제라는게 금감원의 시각이다. 2019년 11월부터 현재까지 카카오계정 ID 및 마스킹한 이메일 또는 전화번호, 주문과 결제정보 등 결제와 불필요한 정보를 제공한 건수가 총5억5000건에 해당된다고 보고 있다.

애플 앱 결제 과정에서도 개인정보가 전달됐다는 게 금융당국의 판단이다. 애플 앱 결제를 위해서는 ‘NSF 스코어’(애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수) 가 필요하다. 애플측이 NSF산정에서 알리페이 시스템 활용을 권고해 왔다는 게 카카오페이측의 주장이다. 알리페이가 NSF 스코어 산정 산출을 위해 카카오페이 전체 고객의 신용정보를 요청했고, 이에 카카오페이는 해외결제를 이용하지 않은 고객까지 포함한 개인신용정보를 고객 동의 없이 넘겼다고 금감원은 보고 있다.

카카오페이는 “알리페이 등에 고객 동의 없이 불법으로 정보를 제공했다는 것은 사실이 아니다”라고 반박했다.

양측은 신용정보법 제3자 위탁규정과 관련돼서 다른 해석을 내놓고 있다. 금감원은 카카오페이는 동의서상 알리페이의 개인정보 이용목적을 PG 업무(결제승인·정산) 수행으로 사실과 다르게 기재했다고 보고 있다. 제3자인 알리페이 등에 이익을 위해 정보를 전달한 경우 사전에 사용자 동의가 필요하다는 것이다.

반면 카카오페이는 해당 결제를 위한 개인정보 이전은 사용자의 동의가 필요없는 ‘카카오페이-알리페이-애플’ 간의 업무 위수탁 관계에 따른 처리라고 보고 있다.

위수탁 관계를 입증할 만한 객관적 자료가 있는지에 대해서도 양측은 엇갈린다. 금감원은 이를 규정한 계약관계 서류가 없다는 입장인 반면 카카오페이는 소명 자료를 모두 제출한 상황이라고 얘기한다.

알리페이에 넘어간 정보가 암호화로 전달된 것에 대해서는 금감원과 카카오페이가 인정한다. 다만 개인정보 유출을 막을 수 있는 수준인 것인지에 대해서는 다른 주장을 하고 있다.

금감원은 “카카오계정 ID 등을 고객 식별키로 활용할 경우 ID 및 마스킹한 이메일 또는 전화번호와 결합해 활용할 수 있는 상황”이라고 주장했다. 반면 카카오페이는 “사용자를 특정할 수 없고 원문 데이터를 유추해낼 수 없다”며 “부정 결제 탐지 이외의 목적으로는 활용이 불가능하다”고 반박했다.

아울러 지난 5월 금감원이 관련 검사를 진행했음에도 이후 검사 결과서를 카카오페이에 전달하지도 않은 상황에서 관련 내용이 공론화 된 것에 대한 논란도 있다. 한 금융권 관계자는 “검사 대상자가 대응할 수 없도록 언론을 통해 사전에 프레임을 설정한 것으로 보인다”고 평가했다.

금감원에서는 이 문제가 카카오페이만이 아니라 간편결제사 등 전반에 퍼져 있을 수 있다고 보고 그외 회사에 대해서도 이번 기회에 점검해볼 계획이다. 한편 개인정보위원회도 카카오페이에 대해 사실 관계를 확인할 예정이다.

Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?
매일경제에서 직접 확인하세요. 해당 언론사로 이동합니다.