금융 개인신용정보 불법 제공 없었다더니···카카오페이에 제재 예고한 금감원

개인신용정보 불법 제공 없었다더니···카카오페이에 제재 예고한 금감원

등록 2024.08.13 15:34

수정 2024.08.13 15:48

기자

카카오페이 불법 정보 제공 의혹 "사실 무근" 해명했지만금감원 조사 결과 적발···전체 고객 정보 알리페이에 넘겨금감원 "관련법 위반···법률검토 거쳐 제재절차 진행할 것"

그래픽=박혜수 기자

카카오페이가 고객 동의 없이 중국 최대 온라인 플랫폼 '알리익스프레스'를 소유한 알리바바 그룹의 결제부문 계열사 '알리페이'에 개인신용정보를 넘긴 것으로 드러나며 금융감독원의 제재가 불가피해졌다.

카카오페이는 해당 의혹이 불거진 이후 고객동의 없이 불법으로 정보를 제공하지 않았다는 해명을 내놨지만 금감원은 업무 위수탁에 해당하지 않고, 해시처리(암호화)를 하더라도 관련법상 '가명정보'에 해당해 위반이라고 판단했다.

금융감독원은 올해 5월~7월 중 카카오페이의 해외결제부문에 대한 현장검사를 실시한 결과 카카오페이가 그동안 고객 동의 없이 고객신용정보를 알리페이에 제공한 사실을 확인했다고 13일 밝혔다.

카카오페이, 中 알리페이에 전체고객 정보 넘겨

금감원에 따르면 카카오페이는 해외결제를 이용하지 않은 고객까지 포함한 카카오페이에 가입한 전체고객의 개인신용정보를 고객 동의 없이 알리페이에 제공한 것으로 확인됐따. 카카오페이가 알리페이에 제공한 정보는 ▲카카오계정 ID ▲휴대폰번호 ▲이메일 ▲카카오페이 가입내역 ▲카카오페이 거래내역(잔고·충전·출금·결제·송금내역) 등이다.

카카오페이는 알리페이가 애플이 제휴 선결조건으로 요청한 'NSF 스코어' 산출을 명목으로 카카오페이 전체 고객의 신용정보를 요청하자, 카카오페이에 가입한 전체고객의 개인신용정보를 고객 동의 없이 2018년 4월부터 현재까지 매일 1회, 총 542억건(누적 4045만명)을 알리페이에 제공한 것으로 조사됐다. NSF 스코어는 애플에서 일괄결제시스템 운영 시 필요한 고객별 신용점수를 의미한다.

NSF 스코어 산출 명목이라면 관련모형이 구축된 2019년 6월 이후에는 스코어 산출대상 고객의 신용정보만 제공해야 하지만, 전체고객의 신용정보를 계속 제공하고 있어 고객정보 오남용이 우려되는 상황이라는 게 금감원 판단이다.

카카오페이는 해시처리(암호화)한 카카오계정 ID·핸드폰 번호·이메일 뿐만 아니라 해시처리하지 않은 '핸드폰 본인인증시 생성번호'까지 알리페이에 제공해온 것으로 드러났다. 심지어 페이머니 잔고와 최근 7일 페이머니 충전·출금 횟수, 페이머니 결제여부·금액, 당일 송금 서비스 사용여부, 최근 7일간 송금서비스 사용 건수까지 제공했다. 등록카드 개수와 최근 7일간 등록카드 직불 건수는 물론 최근 7일간 카카오페이 결제거래 건수 및 결제 가맹점 수도 알리페이에 넘겼다.

또 카카오페이는 국내 고객이 해외가맹점에서 카카오페이로 결제할 때 알리페이에 대금정산을 해주기 위해서는 알리페이와 주문·결제정보만 공유하면 되는데도, 2019년 11월부터 현재까지 해외결제고객의 신용정보를 불필요하게 알리페이에 5억5000건(누적)을 제공한 것으로 밝혀졌다.

아울러 동의서 상 제공받는 자(알리페이)의 이용목적을 'PG업무(결제승인·정산) 수행'으로 사실과 다르게 기재해 제공받는 자의 실제 이용목적을 제대로 고지하지 않았다. 고객이 동의하지 않으면 해외결제를 못하는 사안이 아님에도 '선택적 동의사항'이 아닌 '필수적 동의사항'으로 잘못 동의를 받아온 사실도 드러났다. 카카오계정 ID 등을 고객 식별키로 활용할 경우, 카카오페이가 제공한 전체 고객의 개인신용정보와 결합해 활용 가능한 상황이다.

"불법 정보제공 없었다" 주장에···금감원 "업무 위수탁 해당 안 돼"

카카오페이는 이날 오전 입장문을 통해 알리페이에 고객 동의 없이 불법으로 정보를 제공한 사실이 없다고 주장했다.

카카오페이 측은 "결제를 위해 꼭 필요한 정보 이전은 사용자의 동의가 필요없는 카카오페이-알리페이-애플 간의 업무 위수탁 관계에 따른 처리 위탁 방식으로 이뤄져왔다"며 "알리페이에 정보를 제공함에 있어서 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치하고 있다"고 해명했다.

이 때문에 사용자를 특정할 수 없으며 원문 데이터를 유추해낼 수 없고 절대 복호화 할 수 없는 일방향 암호화 방식이 적용돼 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다는 주장이다.

그러나 금감원은 업무 위수탁에 해당하지 않고, 해시처리를 하더라도 관련법상 가명정보에 해당해 고객동의가 필요하므로 위반에 해당한다는 입장이다.

금감원에 따르면 카카오페이가 알리페이와 체결한 약정서에는 해외결제서비스 제공과 관련한 양사의 역할과 책임에 대해 정하고 있으며, NSF스코어 산출·제공에 관한 내용은 전혀 기술돼 있지 않은 것으로 나타났다.

또 금감원은 "카카오페이의 주장과 달리 랜덤값 없이 단순하게 해시처리하면서 암호화 시 필요한 함수구조를 지금까지 전혀 변경하지 않아, 일반인도 공개된 암호화 프로그램으로 복호화가 가능한 수준"이라며 "철저히 비식별조치해 원본 데이터를 유추해낼 수 없다는 카카오페이의 의견은 사실과 다르다"고 설명했다.

아울러 해시처리를 제대로 하더라도 관련법상 가명정보에 해당해 고객동의가 필요하다는 입장이다.

금감원은 "향후 면밀한 법률검토를 거쳐 제재절차를 신속히 진행하는 한편, 유사사례에 대한 점검을 실시할 계획"이라며 "이번 건은 제재절차가 진행 중인 상황으로 제재내용이 확정되지 않았다"고 말했다.