대법원 판결 인용하며 카카오페이 반박에 재반박…“법률검토 거쳐 제재 절차 진행”
뉴스밸런스는 우리 사회에서 첨예한 갈등을 빚고 있거나 화제가 되는 이슈 및 정책을 대상으로 찬성론과 반대론이 한판 승부를 벌이는 논쟁터입니다. 양측 주장과 의견을 최대한 공정하고 충실히 전달함으로써 독자들의 정확한 판단과 이해를 도울 수 있을 것입니다. 이번 주제는 “카카오페이, 4045만명분 고객 개인정보 중국 알리페이에 무단 제공…파문 확산”입니다. 카카오페이와 알리페이 간 개인정보 무단 제공의 위법성 여부를 둘러싸고 연일 설쩐을 벌이고 있는 금융감독원과 카카오페이 측의 주장을 취재했습니다. <편집자 주> |
 |
| ▲카카오페이의 알리페이와의 해외 결제 업무 취급 구조 그래픽. /금융감독원 제공 |
카카오페이는 중국 알리페이와 제휴를 통해 국내 고객이 알리페이가 계약한 알리익스프레스 테무 구글 애플 등 46개국 8100만 개의 온·오프라인 가맹점에서 카카오페이로 결제할 수 있는 서비스를 제공하고 있다. 신용정보법에 따르면 수집된 개인 신용정보를 타인에 제공할 경우 당사자 동의를 받아야 한다. 또 알리페이의 경우 해외 회사이기 때문에 개인정보 국외 이전 동의도 받아야 한다.
14일 금융권에 따르면 금융감독원은 이날 보도참고자료를 통해 “카카오페이가 알리페이와 체결한 일체의 계약서를 확인한 결과, 카오페이가 알리페이에게 'NSF 스코어(애플에서 요구하는 고객별 신용점수) 산출 및 제공'를 위탁하는 내용은 전혀 없었다”고 밝혔다.
이어 “카카오페이가 회원가입 시 요구하는 약관과 해외결제 시 동의서에도 ‘NSF스코어와 관련된 고객정보 제공’에 대한 내용이 전혀 없었고, 카카오페이 홈페이지에 공시한 개인 신용정보 처리 업무 위탁 사항에서도 ‘NSF스코어 산출 및 제공’은 포함돼 있지 않다”고 덧붙였다.
금감원은 대법원 판례도 인용하며 카카오페이 주장에 반박했다. 2016년 대법원은 “신용정보의 처리 위탁”이 되기 위해서는 ▲위탁자 본인의 업무처리와 이익을 위한 경우로서 ▲수탁자는 위탁 사무 처리 대가 외에는 독자적인 이익을 가지지 않고 ▲위탁자 관리·감독 아래에서 처리해야 한다고 판결했다.
금감원은 “애플스토어 입점은 카카오페이와 알리페이 모두에게 이익이 되는 업무로 위탁자(카카오페이) 본인의 이익을 위한 경우에 해당되지 않는다”고 강조했다. 또 카카오페이(위탁자)가 알리페이(수탁자)를 관리·감독한 사실도 없다고 했다.
금감원은 이어 “카카오페이와 알리페이 간 NSF 스코어 산출·제공 관련 계약서가 존재하지 않아 손해배상 책임 부담 주체는 확인하기 어려우며 카카오페이는 이번 건에서 위‧수탁 내용을 공시한 바도, 관련 내용을 감독 당국에 신고한 적도 없다”고 지적했다.
“고객 정보를 철저하게 암호화했다”는 카카오페이 주장에 대해서도 “원본 데이터를 유추할 수 있다”며 반박했다.
금감원은 “카카오페이가 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 프로그램을 사용했고, 해시처리(암호화) 함수에 랜덤 값을 추가하지 않고 해당 정보(전화번호, 이메일 등) 위주로만 단순하게 설정했다”며 “해시처리 함수를 지금까지 한 번도 변경한 사례가 없다”고 설명했다. 그러면서 “가장 일반적인 암호화 프로그램으로 일반인도 복호화가 가능한 수준이라 원본 데이터를 유추해낼 수 있다”고 지적했다.
또한 금감원은 “알리페이가 카카오페이에 개인 신용정보를 요청한 이유는 해당 정보를 애플 ID에 매칭하기 위한 것이었다”면서 “알리페이가 애플에 ‘특정 카카오페이 고객의 NSF 스코어를 제공하면서, 개인신용정보를 식별하지 않는다’는 주장은 모순”이라고 지적했다. 애플 ID에 매칭하기 위해서는 카카오페이가 제공한 개인식별정보를 알리페이가 복호화해야 가능하기 때문이다.
앞서 금감원은 지난 5∼7월 카카오페이의 해외 결제 부문에 대한 현장검사 결과를 13일 발표하며, “카카오페이가 해외결제를 이용하지 않은 고객까지 포함한 가입 전체 고객의 카카오 계정 ID, 휴대전화 번호, 이메일, 카카오페이 가입 내역과 거래 내역(잔액, 충전, 출금, 결제, 송금 내역) 등을 고객의 동의없이 알리페이에 제공했다”고 밝혔다.
카카오페이가 알리페이에 제공한 정보내역은 2018년 4월부터 최근까지 매일 1회, 총 542억 건으로 누적 4045만 명분에 해당한다.
금감원은 알리페이가 애플 일괄 결제 시스템 운영에 필요한 NSF 스코어 산출 명목으로 카카오페이에 전체 고객 신용정보를 요청했고, 카카오페이는 고객의 동의 없이 정보를 내준 것으로 파악됐다.
아울러 카카오페이 국내 고객이 해외 가맹점에서 카카오페이로 결제 시 알리페이에 대금 정산을 해주기 위해 주문·결제 정보만 공유하면 되는데도 2019년 11월부터 지금까지 카카오계정ID 및 주문정보(시간, 통화, 금액, 거래유형 등), 결제정보(시간, 통화, 금액, 결제정보 등)와 같은 해외 결제 고객의 신용정보까지 불필요하게 제공했다. 이렇게 나간 정보만 누적 5억5000만 건에 달한다. 카카오페이는 알리페이와의 제휴 초기에는 해외결제고객의 신용정보를 알리페이에 제공하지 않았다.
금감원은 카카오페이는 동의서상 알리페이의 이용 목적을 PG 업무(결제승인·정산) 수행으로 사실과 다르게 기재해 알리페이의 실제 이용 목적을 제대로 고지하지 않았고, 고객이 동의하지 않으면 해외 결제를 못하는 사안이 아님에도 선택적 동의사항이 아닌 필수적 동의사항으로 잘못 동의를 받아왔다고 지적했다.
금감원은 "그동안 개인 신용정보가 동의 없이 제3자에게 제공되는 경우 엄정하게 처리해 왔다"며 "향후 면밀한 법률검토를 거쳐 제재 절차를 신속히 진행하는 한편 유사사례에 대한 점검 및 재발 방지를 위해 노력하겠다“고 밝혔다.
[저작권자ⓒ 뉴스밸런스. 무단전재-재배포 금지]
