카카오페이, 중국 알리페이에 고객동의 없이 개인정보 유출 사실 적발

뉴스를 보다가 대한민국 국민이라면 거의 대부분 사용해 본 적이 있을 카카오페이와 관련된 소식에 적잖이 놀랄 수 밖에 없었다. 그리고 이 기사를 다 읽었을 즈음 카카오페이 서비스를 탈퇴하였다. 앞으로 카카오페이를 사용하게 될 일은 없을 것으로 보인다. 

 

카카오페이, 중국 알리페이에 고객 동의 없이 개인신용정보 전달사실 적발

 

 

1. 금융감독원 보도자료

 

오늘 13일, 금융감독원은 공식홈페이지(https://www.fss.or.kr/) 상의 보도자료를 통해 카카오페이에 대한 검사 결과 중국 최대 세계 최대 핀테크 기업인 중국 앤트그룹 계열사이자 2대 주주인 알리페이에 개인신용정보를 고객 동의 없이 넘긴 사실을 적발했다고 밝혔다. 카카오페이의 해외결제부문에 대한 현장검사 결과(잠정)라는 제목의 보도자료 내용은 아래와 같다. 

 

◈ 금융감독원은 ‘24.5월~7월 기간 중 카카오페이의 해외결제부문에 대한 현장검사를 실시하였으며, 이 과정에서 카카오페이가 그동안 고객 동의 없이 고객신용정보를 제3자에게 제공한 사실을 아래와 같이 확인하였습니다.

1. 해외결제를 이용하지 않은 고객까지 포함한 “카카오페이에 가입한 전체고객의 개인신용정보”를 고객 동의 없이 알리페이에 제공

- (제공정보항목)①카카오계정 ID/핸드폰번호/이메일 및 ②카카오페이 가입내역/카카오페이 거래내역(잔고/충전/출금/결제/송금내역) 등
-(제공정보내역)’18.4월~현재, 매일 1회, 총 542억건(누적 4,045만명)

2. 카카오페이가 알리페이에 해외결제 대금을 정산하기 위해서는 고객신용정보 등의 정보제공은 필요하지 않음에도, 해외결제 이용고객의 신용정보를 알리페이에 제공

-(제공정보항목)①카카오계정 ID 및 ②주문정보(시간, 통화, 금액, 거래유형 등)/결제정보(시간, 통화, 금액, 결제수단 등) 등
-(제공정보내역)’19.11월~현재, 해외결제 이용시마다, 총 5.5억건

◈ 향후 금융감독원은 면밀한 법률검토를 거쳐 제재절차를 신속히 진행하는 한편, 유사사례에 대한 점검을 실시할 계획입니다.
금융감독원은 앞으로도 금융소비자 보호 등을 위해 불법적인 영업행위에 대해서는 검사 등을 통해 엄중히 대처하도록 하겠습니다.

 

 

금융감독원 관계자는 "카카오페이에 대한 검사를 진행한 결과, 알리페이에 개인신용정보를 고객 동의 없이 넘겨준 사실을 적발해 신용정보법 등 관련 법령 위반 여부를 검토 중"이라며 "위반 여부가 판가름 나면 제재절차에 돌입할 계획"이라고 언급했다. 

 

금융감독원은 당초 지난 4~5월 카카오페이에서의 외환거래 관련 검사에 들어갔다가 이같은 사실을 적발한 것인데, 카카오페이가 알리페이 측에 애플 앱스토어 결제 서비스를 제공하기 위해 개인신용정보 재가공업무를 맡기는 과정에서 개인신용정보를 넘긴 것으로 밝혀졌다. 

 

 

 

2. 신용정보법과 카카오페이 해명

 

신용정보법에 따르면, 수집된 개인신용정보를 타인에게 제공할 경우에는 당사자의 동의를 받아야 한다. 게다가, 중국 회사인 알리페이의 경우에는 해외 회사이기 때문에 개인정보 국외 이전 동의도 받아야 마땅하다. 이에 대해 카카오페이는 입장문을 통해서 불법적 정보제공을 한 바가 없다고 주장한다. 

 

카카오페이의 해명을 더 들어보자. 앱스토어 결제 수단 제공을 위해 필요한 정보 이전은 사용자의 동의가 필요 없는 카카오페이-알리페이-애플 간의 업무 위수탁 관계에 따른 처리 위탁방식으로 이루어져 왔다고 한다. 신용정보법에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되는 경우 정보주체의 동의가 요구되지 않는다는 것이 카카오페이의 설명이다. (신용정보법 제17조 제1항에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되는 경우에는 정보주체의 동의가 요구되지 않는 것으로 규정하고 있다.)

 

또한, 카카오페이는 "알리페이와 애플과의 3자 협력을 통해 애플 앱스토어에서 결제가 가능하도록 하는데 필수적으로 필요한 부정결제 방지 절차를 마련해 두고 있다"며 "여타의 해외 가맹점들과 달리 더 높은 수준의 부정결제 방지 프로세스를 요구하는 애플은 글로벌 최대 핀테크 기업 알리페이와 오래전부터 협력 관계를 구축해 왔다"고 설명한다.

 

그리하여 "애플이 카카오페이를 앱스토어 결제 수단으로 채택하면서 알리페이의 시스템을 활용할 것을 권고했고, 이에 따라 3자 간 협력 관계를 구축하게 된 것"이라고 덧붙였다. 이어서 알리페이와 애플은 카카오페이에서 제공하는 정보를 받아 다른 어떤 목적으로도 활용하지 못하도록 되어 있어 이에 대한 별도의 공식 확인 절차를 진행했다고 설명하며, 카카오페이는 알리페이에 정보를 제공하면서 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치하고 있어 사용자를 특정할 수 없으며 원문 데이터를 유추해낼 수 없다고 강조했다.

 

그러면서 "알리페이가 속해 있는 앤트그룹은 이커머스 플랫폼 알리바바 그룹과는 별개의 독립된 기업"이라며 "카카오페이의 고객정보가 동의없이 중국 최대 커머스 계열사에 넘어갔다고 주장하는 것은 어불성설"이라고 반박했다. 카카오페이는 지난 5월 금감원의 현장검사 이후 지금까지 어떠한 공식적인 검사 의견서도 받지 못한 상태다. 

 

 

 

3. 금융감독원의 반박

 

애플이 결제 시스템에 필요한 고객별 신용점수(NSF)를 요구하자 알리페이는 신용점수 산출을 명목으로 카카오페이에 고객신용정보를 요구했고, 카카오페이는 이에 응했다. 앞서 언급했듯이 카카오페이는 업무 위수탁의 과정이었을 뿐이라고 신용정보법상 문제가 없는 영역이라고 해명했다.

 

① 업무 위·수탁 불인정

그러나 금융감독원은 카카오페이는 전자지급결제대행(PG)업자로 신용점수 산출과는 무관한 업체이기에 업무 위수탁의 과정으로 인정되기 어렵다고 반박한다. 금융감독원 관계자의 말을 정확하게 짚어본다.

 

"업무 위·수탁 계약이 체결된 것도 없거니와
PG사인 카카오페이의 본래 업무도 아니기 때문에
신용정보 처리에 관한 업무 위·수탁을 따질 게재가 안된다"

 

② NSF 모형 구축 이후임에도 고객동의 없이 전달 

또한, 금융감독원은 NSF 모형 구축이 완료된 이후인 2019년 6월에 카카오페이가 동의 없이 개인 신용정보도 유출했다고 봤다. 모형 구축 완료 후에 특정 점수의 고객의 개인 신용정보를 요청 시에는 해당 개인 신용정보를 정보 주체 동의 하에 넘기면 되지만, 카카오페이를 이용하는 모든 이용자 정보가 넘어갔다는 것이 금융감독원 측 설명이다. 금융감독원은 이 규모를 2018년 4월부터 현재까지로 6년 여간 누적 542억건(4천45만명) 수준으로 추산하고 있다.

 

③ 암호화 수준 미비 

카카오페이는 암호화를 통해 개인을 식별할 수 없도록 해 문제가 없다고 했지만, 금육감독원은 암호화가 제대로 되지 않았다고 강조했다. 금융감독원 관계자는 "개인 신용정보를 암호화하게 되면 법상 가명정보에 해당하는데 가명정보 역시도 정보 주체 동의를 받아야 하는 것"이라며 "암호화도 엉성해 복호화가 됐다"고 지적한다.

 

---

 

현재 금융감독원은 제재심의위원회 등을 거칠 예정이지만, 현재 카카오페이의 해외 결제 과정서 생긴 문제점을 시정할 수 있는 방안을 논의 중이다. 금융감독원 관계자는 "실제 제재가 확정되기 전까지 시간이 걸리다 보니 신용정보 유출 문제가 있는 서비스에 대해 중지를 어떻게 할지 논의 중"이라고 말한다. 아직 금융감독원의 법률검토가 진행되고 있기 때문에 추후 발표될 조치에 관해서는 아직 알 수 없으나, 카카오페이를 이용하는 입장에서는 찝찝한 기분을 지울 수가 없다. 앞으로도 아마 계속 카카오페이 서비스를 해지한 채로 사용하지 않을까 한다.