금감원 “카카오페이, 고객 동의 없이 中 알리페이에 신용정보 넘겨”

/카카오페이

카카오페이가 중국 최대 핀테크 기업인 앤트그룹 계열사이자 2대 주주인 알리페이에 고객 동의 없이 개인신용정보를 넘긴 사실이 적발됐다.

금융감독원은 지난 5~7월 카카오페이 해외결제부문에 대한 현장검사를 실시한 결과 카카오페이가 그동안 고객 동의 없이 고객신용정보를 제3자에게 제공한 사실을 확인했다고 13일 밝혔다.

금감원에 따르면 카카오페이는 해외결제를 이용하지 않은 고객을 포함한 '카카오페이에 가입한 전체 고객의 개인신용정보'를 고객 동의 없이 알리페이에 제공했다. 알리페이가 NSF(애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수) 스코어 산출을 명목으로 카카오페이 전체 고객의 신용정보를 요청하자, 전체 고객의 개인신용정보를 동의 없이 넘겼다.

금감원은 "NSF 스코어 산출 명목이라면 2019년 6월 관련모형 구축 이후에는 스코어 산출대상 고객의 신용정보만 제공해야 함에도, 전체고객의 신용정보를 계속 제공하고 있어 고객정보 오남용이 우려되는 상황"이라고 지적했다.

제공한 정보는 카카오계정 ID, 핸드폰번호, 이메일, 카카오페이 가입내역, 카카오페이 잔고·충전·출금·결제·송금내역 등 거래내역 등이다. 2018년 4월부터 현재까지, 매일 1회, 총 542억 건이 제공됐다. 누적 4045만 명의 정보가 넘어갔다.

금감원은 카카오페이가 알리페이에 해외결제 대금을 정산하기 위해서는 고객신용정보 등의 정보제공을 할 필요가 없음에도 해외결제 이용고객의 신용정보를 알리페이에 제공한 사실도 적발했다.

카카오페이는 해외결제 이용고객의 카카오계정 ID와 마스킹한 이메일 또는 전화번화, 주문정보(시간·통화·금액·거래유형 등)와 결제정보(시간·통화·금액·결제수단 등)를 알리페이에 제공했다. 지난 2019년 11월부터 현재까지, 해외 결제시 이용할 때마다 정보를 제공했으며, 이는 누적 5억5000만 건에 달한다.

게다가 동의서 상 제공받는 자(알리페이)의 이용목적을 'PG업무(결제승인/정산) 수행'으로 사실과 다르게 기재해 '제공받는 자의 실제 이용목적'을 제대로 고지하지도 않았다. 고객이 동의하지 않으면 해외결제를 못하는 사안이 아님에도 선택적 동의사항이 아닌 필수적 동의사항으로 동의를 받아온 것으로 드러났다.

금감원은 향후 면밀한 법률검토를 거쳐 제재절차를 신속히 진행하는 한편, 유사사례에 대한 점검을 실시할 계획이다.

카카오페이는 이날 입장문을 통해 "불법적 정보 제공을 한 바가 없다"며 "해당 결제를 위해 꼭 필요한 정보 이전은 사용자의 동의가 필요없는 카카오페이-알리페이-애플 간의 업무 위수탁 관계에 따른 처리 위탁 방식으로 이뤄져 왔다"고 주장했다.

신용정보법에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되는 경우에는 정보주체의 동의가 요구되지 않는 것으로 규정된다는 설명이다.

카카오페이는 또한 철저한 암호화를 통해 정보를 전달했다고 주장했다. 카카오페이는 "무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치하고 있다"며 "사용자를 특정할 수 없으며, 원문 데이터를 유추해낼 수 없고, 절대로 복호화 할 수 없는 일방향 암호화 방식이 적용되어 있어 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다"고 설명했다.

다만 금감원은 카카오페이 입장문과 관련 "카카오페이는 알리페이와 'NSF스코어를 산출해 애플에 제공하는 업무'에 대해 위수탁 계약을 체결한 바 없으며, '신용정보의 처리 위탁'이 되기 위해서는 위탁자 본인의 업무처리와 이익을 위한 경우로서, 수탁자는 위탁사무처리 대가 외에는 독자적인 이익을 가지지 않고, 위탁자의 관리·감독 아래에서 처리한 경우 등에 해당해야 하는 바, 본건은 이에 해당하지 않는다"고 밝혔다.

이어 "카카오페이의 주장과 달리 랜덤값 없이 단순하게 해시처리(암호화)하면서 암호화시 필요한 함수구조를 지금까지 전혀 변경하지 않아 일반인도 공개된 암호화 프로그램으로 복호화가 가능한 수준"이라며 "철저히 비식별조치해 원본 데이터를 유추해낼 수 없다는 의견은 사실과 다르며, 해시처리를 제대로 하더라도 관련법상 가명정보에 해당해 고객동의가 필요하다"고 지적했다.