알리에 개인정보 불법 전달?…금감원-카카오페이 3가지 쟁점

금감원 검사서 불필요한 개인 신용정보제공 적발
위수탁·암호화로 불법전달 아니라는 반박에
"위수탁 사례 아냐…암호화에도 동의 필요"

금융감독원이 카카오페이가 2대 주주인 알리페이에 개인신용정보를 전달한 사실을 적발했다.

카카오페이는 해외결제를 이용하지 않은 고객까지 포함한 가입자 전체 고객의 개인신용정보를 제공했다. 2018년 4월부터 제공한 개인신용정보 건수는 누적 542억건(4045만명)으로 카카오 계정 아이디(ID), 휴대폰 번호, 이메일 및 카카오페이의 가입내역, 거래내역(잔고·충전·출금·결제·송금내역) 등이 포함됐다.

또 해외결제를 이용한 고객에 대해서는 2019년 11월부터 해외결제 이용 시마다 카카오 계정 ID 및 주문정보(시간·통화·금액·거래유형 등), 결제정보(시간·통화·금액·결제수단 등) 5억5000만건을 제공했다. 카카오페이는 알리페이에 해외결제 대금을 정산하기 위해 고객 신용정보 등 정보제공이 필요치 않음에도 해외결제 이용고객의 신용정보를 제공했다는 게 금감원 지적이다.

금감원과 카카오페이 사이 입장차가 드러난 지점은 크게 3가지다. 고객 신용정보 오남용, 위·수탁에 따른 정보 전달, 정보 암호화와 고객 동의. 카카오페이는 개인신용정보 전달 과정에서 불법·위법사항이 없었고 법률 해석에 차이가 있다고 맞서고 있지만, 금감원은 이 같은 주장을 받아들이기 어렵다는 입장이다.

카카오페이의 2대 주주는 지분 32.06%를 보유한 ‘알리페이싱가포르홀딩스’다. 알리페이싱가포르홀딩스는 중국 최대 핀테크(금융+기술) 업체인 앤트그룹의 알리페이 관련 계열사다. 또 카카오페이는 알리의 글로벌 모바일 결제 서비스인 ‘알리페이플러스’의 초창기 파트너로 국내 고객의 해외 결제뿐 아니라 해외 알리페이 고객의 국내 결제까지 지원하고 있다.

①고객 신용정보 오남용

금감원은 13일 보도 참고자료를 통해 “카카오페이가 전체 고객의 신용정보를 (알리페이에) 계속 제공하고 있어 고객 정보의 오남용이 우려되는 상황”이라고 밝혔다. 카카오페이가 정보 전달 대상에 해당하는 고객의 개인신용정보는 물론, 모든 고객의 정보를 제삼자에 불필요하게 제공했다는 것이다.

카카오페이가 알리페이에 개인신용정보를 전달한 건 애플의 요청이 있어서다. 애플이 자사 일괄경제 시스템에 필요한 고객별 신용점수(NSF) 스코어를 알리페이에 요구하자 알리페이는 NSF 스코어 산출을 명목으로 개인신용정보를 카카오페이에 요청한 것이다. 이 과정에서 카카오페이가 NSF 스코어 산출 대상에 해당하는 고객의 정보뿐 아니라 전체 고객의 정보를 알리페이에 제공했다고 금감원은 밝혔다.

카카오페이는 불법적인 정보 제공을 한 바 없다고 맞서고 있다. 카카오페이 관계자는 “법률 해석상 상반된 입장이 있는 것으로 보인다”며 “구체적인 내용은 금감원 조사과정에서 소명하겠다”고 전했다.

②위·수탁에 따른 정보 전달

고객 동의 없이 개인신용정보가 오갔다는 금감원 지적에 카카오페이는 업무 위·수탁에 따른 정상적 정보 이전 방식이라고 설명했다. 정보 이전은 카카오페이·알리페이·애플 간 업무 위·수탁 관계에 따른 처리 위탁방식으로 이뤄져 왔고, 신용정보의 이용 및 보호에 관한 법률(신용정보법)에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되는 경우 정보 주체의 동의가 요구되지 않는다는 게 카카오페이 해명이다.

금감원은 이에 대해 “카카오페이·알리페이 관계는 업무 위·수탁에 해당하지 않는다”고 판단했다. 금감원 관계자는 아시아경제와 통화에서 “이번 사례를 업무 위·수탁으로 보려면 알리페이 같은 전자지급 결제대행(PG)의 본업이 NSF 스코어 산출이어야 할 텐데 PG사의 일반적 업무는 대금결제 아닌가”라며 “카카오페이는 업무 위·수탁 계약서를 제출하지 못했고, 알리페이를 관리·감독했다는 증거도 없었다”고 밝혔다.

금감원에 따르면 '신용정보의 처리 위탁'이 되기 위해서는 ▲위탁자(카카오페이) 본인의 업무처리와 이익을 위한 경우로서 ▲수탁자(알리페이)는 위탁사무처리 대가 외에는 독자적인 이익을 가지지 않고 ▲위탁자의 관리·감독 아래 처리한 경우 등에 해당해야 한다.

③정보 암호화와 고객 동의

카카오페이는 개인신용정보를 철저하게 암호화한 덕분에 고객 동의가 불필요했다는 주장을 내세우기도 했다. 카카오페이 관계자는 “누구의 정보인지 식별할 수 없는, 절대 해독이 불가능한 정보를 전달했기 때문에 신용정보법상 위반사항이 아니다”고 밝혔다.

하지만 금감원은 카카오페이의 암호화 방식에 미비점이 발견한 데다가, 꼼꼼한 암호화에도 고객 동의는 필요하다는 입장이다. 금감원 관계자는 “카카오페이는 암호화에 필요한 함수구조를 현재까지 변경하지 않아 일반인도 복호화(암호화된 정보를 암호화되기 전으로 되돌리는 것) 가능한 수준”이라며 “익명정보(개인과 연결성을 완전히 없애 개인을 식별할 수 없는 정보)와 달리, 가명정보(추가 정보를 사용하지 않고는 특정 개인을 식별할 수 없는 정보)는 통계·연구 목적이 아니라면 고객 동의가 필요하다”고 반박했다.

전영주 기자 ange@asiae.co.kr