금감원, 카카오페이 정보 유출 해명에 "모순적 주장" 반박

이창섭 기자 2024. 8. 14. 16:40
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

대법원 판결 인용하며 카카오페이 주장 반박
암호화 수준도 "일반인도 복호화할 수 있다"며 지적
카카오페이가 중국 알리페이에 제공한 개인신용정보 종류/그래픽=이지혜

금융당국이 카카오페이의 고객정보 유출 관련 해명에 반박했다. 카카오페이는 이번 건은 고객 동의가 필요 없는 신용정보 처리 위탁이라고 해명했으나 금융당국은 대법원 판례까지 인용하며 이에 해당하지 않는다고 반박했다. 알리페이가 특정 고객의 개인신용정보를 식별하지 않는다는 주장에는 "모순적"이라고 지적했다. 신용정보를 철저하게 암호화했다는 카카오페이의 주장에도 금융당국은 "일반인도 복호화가 가능한 수준"이라고 반박했다.

금융감독원은 14일 보도설명 자료를 배포해 카카오페이가 알리페이로의 고객정보 유출과 관련해 내놓은 해명에 이같이 반박했다.

앞서 카카오페이는 알리페이로의 정보 제공이 사용자 동의가 필요 없는 업무 위수탁 관계에 따른 신용정보 처리 위탁에 해당한다고 해명했다. 또 전달된 고객 정보는 철저하게 암호화돼 원본 데이터를 유추해낼 수 없다고 설명했다. 그러면서 "고객 동의 없이 불법으로 알리페이에 정보를 제공한 사실이 없다"고 강조했다.

이에 금감원은 일체의 계약서를 확인한 결과, 카카오페이가 알리페이에 'NSF 스코어 산출·제공 업무'를 위탁하는 내용은 전혀 존재하지 않았다고 반박했다. NSF 스코어는 애플이 일괄 결제 시스템을 운영하면서 필요한 고객별 신용점수다.

또 카카오페이가 회원가입 시 징구하는 약관과 해외결제 시 징구하는 동의서를 확인한 결과, 'NSF 스코어와 관련한 고객정보 제공'을 유추할 수 있는 내용이 전혀 존재하지 않았다고 밝혔다.

금감원은 국내 고객이 해외가맹점에서 카카오페이로 결제 시 알리페이와 대금 정산을 위해서는 주문·결제 정보만 공유하면 되는데도 카카오페이가 해외결제 고객의 신용정보를 불필요하게 알리페이에 제공했다고 강조했다. 게다가 카카오페이가 자사 홈페이지에 공시한 '개인신용정보 처리업무 위탁' 사항에도 'NSF 스코어 산출·제공 업무'는 포함돼 있지 않았다고 했다.

금감원은 대법원 판례도 인용하며 카카오페이 주장에 반박했다. 2016년 대법원은 '신용정보의 처리 위탁'이 되기 위해서는 △위탁자 본인의 업무처리와 이익을 위한 경우로서 △수탁자는 위탁 사무 처리 대가 외에는 독자적인 이익을 가지지 않고 △위탁자 관리·감독 아래에서 처리해야 한다고 판결했다.

카카오페이 로고

금감원은 애플스토어 입점은 카카오페이와 알리페이 모두에게 이익이 되는 업무로 위탁자(카카오페이) 본인의 이익을 위한 경우에 해당되지 않는다고 봤다. 또 카카오페이(위탁자)가 알리페이(수탁자)를 관리·감독한 사실도 없다고 했다.

금감원은 또 카카오페이와 알리페이 간 NSF 스코어 산출·제공 관련 계약서가 존재하지 않아 손해배상 책임 부담 주체는 확인하기 어려우며 카카오페이는 이번 건에서 위수탁 내용을 공시한 바도, 관련 내용을 감독 당국에 신고한 적도 없다고 강조했다.

고객 정보를 철저하게 암호화했다는 카카오페이 주장에도 원본 데이터를 유추할 수 있다며 반박했다. 금감원은 "카카오페이가 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 프로그램을 사용했고, 해시처리(암호화) 함수에 랜덤 값을 추가하지 않고 해당 정보(전화번호, 이메일 등) 위주로만 단순하게 설정했다"며 "해시처리 함수를 지금까지 한 번도 변경한 사례가 없다"고 설명했다.

그러면서 "가장 일반적인 암호화 프로그램으로 일반인도 복호화가 가능한 수준이라 원본 데이터를 유추해낼 수 있다"고 지적했다.

금감원은 알리페이가 카카오페이에 개인신용정보를 요청한 이유는 해당 정보를 애플 ID에 매칭하기 위한 것이라 알리페이가 애플에 '특정 카카오페이 고객의 NSF 스코어를 제공하면서, 개인신용정보를 식별하지 않는다'는 주장은 모순이라고 지적했다. 애플 ID에 매칭하기 위해서는 카카오페이가 제공한 개인식별정보를 알리페이가 복호화해야 해서다.

금감원은 "그동안 개인신용정보가 동의 없이 제3자에게 제공되는 경우 엄정하게 처리해 왔다"며 "앞으로도 유사사례 재발 방지를 위해 노력하겠다"고 덧붙였다.

이창섭 기자 thrivingfire21@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?