 |
| (사진제공=카카오페이) |
카카오페이가 최근 불거진 개인신용정보 유출 논란과 관련해 금융당국과 진실 공방을 벌이고 있다. 금융감독원이 카카오페이가 지난 6여년 동안 4000만명이 넘는 이용자의 개인신용정보 542억건을 고객 동의 없이 중국 알리페이에 제공했다는 점을 지적한 가운데, 회사 측은 적법하고 안전하게 이전된 정보라는 입장을 고수하고 있다.
15일 금융권에 따르면 금감원은 카카오페이가 알리페이에 고객동의 없이 고객 신용정보를 제공한 사실을 적발했다고 지난 13일 밝혔다. 올해 5~7월 카카오페이의 해외 결제 부문에 대한 현장검사를 실시하는 과정에서 이런 사실을 확인했다는 게 금감원 측의 설명이다.
금감원은 카카오페이가 해외결제를 이용하지 않은 전체 고객의 카카오 계정 ID, 휴대전화 번호, 이메일, 카카오페이 가입 내역과 거래 내역 등을 고객 동의 없이 알리페이에 제공했다는 점을 문제 삼았다. 또 면밀한 법률검토를 거쳐 제재절차를 진행하고, 유사 사례에 대한 점검을 실시하겠다는 방침이다.
카카오페이는 알리페이와 제휴를 맺고 국내 고객이 알리페이가 계약한 해외가맹점에서 결제할 수 있는 서비스를 제공하고 있는데, 알리페이 측에 애플 앱스토어 결제 서비스를 제공하기 위해 개인신용정보 재가공업무를 맡기는 과정에서 개인신용정보를 넘긴 것이다. 알리페이는 애플 일괄 결제 시스템 운영에 필요한 고객별 신용점수(NSF) 스코어 산출 명목으로 카카오페이에 전체 고객 신용 정보를 요청한 것으로 알려졌다.
카카오페이 측은 13일 즉각 설명자료를 내고 “고객 동의 없이 불법으로 정보를 제공했다는 것은 사실 무근”이라고 반박했다. 회사 측은 “신용정보법 제17조 1항에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되는 경우에는 정보 주체의 동의가 요구되지 않는다”며 “해당 결제를 위해 꼭 필요한 정보 이전은 사용자의 동의가 필요 없는 업무 위·수탁관계에 따른 처리 위탁 방식으로 이뤄져 왔다”고 밝혔다.
또 고객 정보는 알리페이나 애플이 마케팅에 활용할 수 없으며 암호화 방식을 적용해 철저히 비식별 조치하고 있다고 해명했다.
이에 대해 금감원은 14일 보도 참고자료를 내고 카카오페이의 입장에 대해 조목조목 반박했다. 금감원은 “카카오페이가 알리페이와 체결한 일체의 계약서를 확인한 결과, 카카오페이가 알리페이에 ‘고객별 신용점수(NSF) 스코어 산출·제공 업무’를 위탁하는 내용은 전혀 존재하지 않는다”고 밝혔다.
또 “카카오페이가 회원 가입과 해외 결제 시 요구하는 약관과 동의서를 확인하니 NSF 스코어와 관련한 고객정보 제공을 유추할 수 있는 내용이 전혀 존재하지 않는다”고 강조했다.
금융당국은 원본 데이터 유추 가능 여부에 대해서도 지적했다. 금감원은 “가장 일반적인 암호화 프로그램을 사용했고, 해시 처리(암호화) 함수에 랜덤값을 추가하지 않고 해당 정보(전화번호, 이메일 등) 위주로만 단순히 설정해 일반인도 복호화가 가능한 수준”이라고 했다.
이후 카카오페이는 공지사항을 통해 “금감원 조사 과정임을 감안해 지난 5월 22일부터 협력사 양해를 거친 후 해당 정보 제공을 잠정 중단했다”고 밝혔다. 이어 “본 사안에 대해 사전에 충분히 설명하는 노력이 부족해 심려를 끼쳐 사과드린다”면서도 “원문 데이터를 유추하거나 복호화(암호화되기 전으로 복구)될 수 없는 방식으로 보내고 있다”며 개인정보 식별 위험성에 대해 일축했다.
최경진 가천대 법학과 교수는 “이번 사태의 쟁점은 카카오페이와 알리페이가 업무 위·수탁의 범위에 있는지, 그 범위를 넘어섰는지가 될 것”이라고 말했다.
도수화 기자 dosh@viva100.com
