'中 알리에 고객정보 제공' 카카오페이 “정상 위수탁”…금감원은 신속 제재 예고

Photo Image
카카오페이

카카오페이가 중국 알리페이에 고객 개인신용정보를 불법으로 제공했다는 내용에 대해 '정상적 위수탁'이라며 관련 의혹을 부인했다. 금융감독원은 카카오페이의 행위가 위법하다고 보고 불법 영업행위에 대해 엄중히 대처한다는 입장이다.

금융감독원은 카카오페이가 중국 앤트그룹 계열사이자 2대 주주인 알리페이에 개인신용정보를 고객 동의 없이 넘겨준 사실을 적발해 신용정보법 등 관련 법령 위반 여부를 검토 중이라고 13일 밝혔다.

◇결제수단 제공 위한 정상적 절차

카카오페이는 이에 대해 설명자료를 내고 “카카오페이가 알리페이나 애플에 고객 동의 없이 불법으로 정보를 제공했다는 것은 사실이 아니”라며 “애플의 앱스토어 결제 수단 제공을 위한 정상적 고객 정보 위수탁”이라고 강조했다.

카카오페이는 애플 앱스토어에서 결제를 위해 애플, 알리페이와 3자 협력 관계를 구축하고 부정결제 방지 절차를 마련했다는 설명이다. 이는 해외 가맹점들과 달리 더 높은 수준의 부정결제 방지 프로세스를 요구하는 애플이 오래 전부터 협력 관계를 구축해온 알리페이 시스템 활용을 권고함에 따라 구축된 협력관계다. 이에 따라 앱스토어 결제 수단 제공을 위한 필요한 정보 이전은 사용자의 동의가 필요 없는 '카카오페이-알리페이-애플' 간 업무 위수탁 관계에 따른 처리 위탁방식으로 이뤄져 왔다고 해명했다.

카카오페이는 이같은 내용이 신용정보법 제17조 제1항에 따른 '처리 위탁'에 정보주체 동의가 불필요한 항목이라고 안내했다. '제3자 정보제공'의 경우 수탁자(알리페이, 애플)의 이익을 위해 정보를 이전하는 경우로 사용자 동의가 필요하지만, '처리 위탁'은 위탁자(카카오페이)가 원활한 업무 처리를 위해 제3자에게 정보 제공하는 경우로 사용자 동의가 불필요하다는 것이다.

제공된 정보 역시 암호화돼 제공돼 부정결제 탐지 이외 목적으로는 활용이 불가능하다고 설명했다. 위탁된 정보는 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치를 취함으로써 사용자 특정, 원문데이터 유추, 복호화가 모두 불가한 일방향 암호화 방식이 적용됐다는 설명이다. 이로 인해 부정결제 확인 외에 마케팅 등 다른 어떤 목적으로도 활용할 수 없다는 것.

카카오페이는 “지난 5월 금감원 현장 검사 이후 지금까지 어떠한 공식적인 검사 의견서도 받지 못했으며, 이러한 내용이 언론에 먼저 알려지게 되어 매우 당황스럽다”라며 “향후 조사과정에서 적법한 절차를 통해 입장을 밝히고 성실하게 소명할 것”이라고 밝혔다.

◇금감원은 “불법 영업행위”

금융감독원은 카카오페이가 중국 알리페이에 고객정보를 넘긴 행위가 위법하다고 보고 있다. 금감원은 지난 5월~7월 실시된 카카오페이 해외결제부문 현장검사에서 카카오페이가 고객 동의 없이 고객신용정보를 중국 알리페이에 제공한 사실을 확인했다.

카카오페이는 해외결제를 이용하지 않은 고객까지 전체 고객의 △계정 ID △핸드폰번호 △이메일 △가입·거래 내역 등이 담긴 신용정보를 동의 없이 알리페이에 제공했다. 총 4045만명 정보가 542억건 넘겨졌다.

아울러 카카오페이는 알리페이에 해외결제 대금을 정산할 때, 고객 신용정보를 제공할 필요가 없음에도 해외결제 이용고객 정보를 알리페이에 넘겼다. 해외결제 이용고객의 △ 카카오계정 ID △주문정보 △ 결제정보 등 총 5억5000건 정보가 제공됐다는 설명이다. 이 과정에서 동의서 상 제공받는 자(알리페이)의 이용 목적을 PG업무(결제승인·정산) 수행으로 사실과 다르게 기재했다.

정상적인 위수탁 관계로 철저한 암호화를 통해 정보를 제공했다는 카카오페이 측 입장도 반박했다. 카카오페이와 알리페이가 NSF스코어를 산출해 애플에 제공하는 업무에 대해 위수탁 계약을 체결한 바 없다는 설명이다. 신용정보의 처리 위탁에 해당되지 않는다는 입장을 분명히 했다.

금감원 관계자는 “카카오페이 주장과 달리 단순하게 해시 처리된 암호화 구조를 지금까지 변경하지 않아 일반인도 공개된 암호화 프로그램으로 복호화 가능한 수준”이라며 “철저히 비식별조치해 원본 데이터를 유추해낼 수 없다는 의견은 사실과 다르며 해시 처리를 제대로 하더라도 가명 정보에 해당돼 고객 동의가 필요하다”고 말했다.

금감원은 향후 면밀한 법률 검토를 거쳐 제재 절차를 신속히 진행한다는 계획이다. 유사 사례가 있었는지 점검도 실시한다. 금감원 관계자는 “본건은 제재 절차가 진행 중인 상황”이라며 “금감원은 금융소비자 보호 등을 위해 불법적인 영업행위에 대해 엄중히 대처하도록 하겠다”고 말했다.


정다은 기자 dandan@etnews.com, 박진혁 기자 spark@etnews.com


브랜드 뉴스룸