'엎친 데 덮친 격'…또 개인정보 유출 논란 휩싸인 카카오

유영규 기자 2024. 8. 14. 07:12
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.


김범수 창업자 겸 경영쇄신위원장의 구속으로 창사 후 최대 위기에 몰린 카카오 그룹에 개인정보 유출 사태라는 악재가 더해졌습니다.

지난 5월 카카오가 개인정보위원회로부터 오픈채팅방의 개인정보 유출 문제로 151억 원의 과징금을 부과받은 데 이어 이번엔 카카오페이에 문제가 터지면서 도마 위에 오르게 됐습니다.

13일 금융감독원에 따르면 카카오페이 해외결제 부문에 대한 지난 5~7월 현장검사 결과, 카카오페이가 고객 동의 없이 제3자인 알리페이에 개인정보를 제공한 사실이 적발됐습니다.

카카오페이가 2018년 4월부터 현재까지 매일 1차례 누적 4천45만 명의 카카오계정 ID와 휴대전화 번호, 이메일, 카카오페이 가입내역, 카카오페이 거래내역(잔고, 충전, 출금, 결제, 송금 등) 등 542억 건의 개인신용정보를 알리페이에 제공했다는 게 금감원 조사 결과입니다.

물론, 카카오페이는 금감원 발표를 수긍하지 않고 있습니다.

알리페이나 애플에 고객 동의 없이 불법으로 정보를 제공했다는 것은 사실이 아니란 것입니다.

이 같은 입장 차이는 정보 제공의 '성격'과 개인 식별 가능성에 대한 금감원과 카카오페이의 시각 차이에 기인합니다.

신용정보법상 카카오페이가 개인신용정보를 타인에 제공할 경우 당사자 동의를 받아야 하며, 특히 알리페이가 중국 앤트그룹 계열사로 해외 법인인 만큼, 개인정보 국외 이전 동의도 받아야 한다는 게 금감원 판단입니다.

반면 카카오페이는 알리페이, 애플과의 3자 협력을 통해 애플 앱스토어에서 부정 결제 방지를 위해 정보를 이전한 것이고 이는 카카오페이-알리페이-애플 간 업무 위수탁 방식으로 이뤄졌다고 맞서고 있습니다.

신용정보법 제17조 제1항은 개인신용정보의 처리 위탁으로 정보가 이전되는 경우 정보 주체의 동의가 요구되지 않는 것으로 규정합니다.

정보기술(IT) 업계의 한 관계자는 "업계에서 정보 제공과 관련한 위탁 이슈는 그동안 없었던 것 같다"며 "이번 사안이 정보 위수탁 문제인지를 놓고 법리 공방이 벌어질 수 있다"고 내다봤습니다.

알리페이에 제공한 개인정보의 식별 위험성과 관련해서도 카카오페이와 금감원의 입장이 충돌합니다.

카카오페이는 알리페이에 정보를 제공하면서 무작위 코드로 변경하는 암호화 방식을 적용해 사용자를 특정할 수 없고 원문 데이터를 유추해낼 수 없다고 주장합니다.

정보를 일련의 숫자 조합으로 암호화해 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다는 것입니다.

반면 금감원은 "랜덤값 없이 단순하게 해시처리(암호화)하면서 암호화 시 필요한 함수구조를 지금까지 전혀 변경하지 않았다"며 "일반인도 공개된 암호화 프로그램으로 복호화(해독)가 가능한 수준"이라고 반박했습니다.

또 해시 처리를 하더라도 관련법상 가명정보에 해당해 고객 동의가 필요하다고 금감원은 보고 있습니다.

정보 이전의 고객 동의, 정보의 식별 가능 여부 등의 문제에서 양측 의견이 이처럼 충돌하고 있지만 카카오가 고객 정보 보호에 소홀했다는 지적을 받을 여지는 있다는 게 IT 업계의 시각입니다.

카카오페이가 알리페이에 정보를 제공한 것은 애플이 제휴 선결조건으로 요청한 'NSF 스코어'(애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수) 산출 때문이었습니다.

그런데 NSF 스코어 산출이 목적이면 평가 모형이 구축된 2019년 6월 이후에는 제공 신용정보를 평가 대상 고객에 한정해야 하는데, 카카오페이는 전체 고객의 신용정보를 계속 제공했다는 게 금감원 현장 조사 결과에 담겨있습니다.

이로 인해 알리페이가 카카오페이의 2대 주주란 점이 정보 제공에 영향을 끼친 게 아니냐는 관측도 나옵니다.

IT 업계의 한 관계자는 "카카오페이가 매일 알리페이에 고객 정보를 제공했다는 것은 거의 실시간으로 정보를 넘긴 셈"이라고 꼬집었습니다.

한편, 카카오는 유출된 정보가 개인식별이 불가능해 개인정보 유출이 아니라는 점 등을 들어 제재 처분이 내려질 경우 행정소송을 포함해 적극적인 대응을 검토할 방침입니다.

유영규 기자 sbsnewmedia@sbs.co.kr

Copyright © Copyright ⓒ SBS. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?