금감원 "카카오페이, 고객 동의 없이 알리페이에 4045만명 정보 제공"

카카오페이 "정상적 업무 위수탁…비식별 조치 중"
"제재절차 신속 진행…유사사례 점검"

서울 여의도 금융감독원 깃발이 휘날리는 모습. 2018.4.17/뉴스1 ⓒ News1 임세영 기자

(서울=뉴스1) 김도엽 기자 = 카카오페이(377300)가 지난 6년간 알리페이에 총 542억 건(4045만 명)의 정보를 고객 동의 없이 제공해 온 사실이 금융감독당국의 검사로 적발됐다.

금융감독원은 13일 '카카오페이 해외결제부문에 대한 현장검사 결과(잠정)'를 발표하고 카카오페이가 그간 고객 동의 없이 고객신용정보를 알리페이에 제공한 사실을 확인했다고 밝혔다. 앞서 지난 5~7월 금감원은 카카오페이 해외결제부문에 대한 현장검사를 실시했다.

카카오페이는 알리페이(중국 최대 온라인 플랫폼 알리익스프레스를 소유한 알리바바 그룹의 결제부문 계열사)와 제휴를 통해, 국내 고객이 알리페이가 계약한 해외가맹점에서 카카오페이로 결제할 수 있는 서비스를 제공 중이다.

금감원은 우선 카카오페이가 해외결제를 이용하지 않은 고객까지 포함한 '카카오페이 전체 고객의 개인신용정보'를 고객 동의 없이 알리페이에 제공했다고 밝혔다.

알리페이가 애플이 제휴 선결 조건으로 요청한 NSF 스코어(애플에서 일괄결제시스템 운영 시 필요한 고객별 신용점수) 산출을 명목으로 카카오페이 전체 고객의 신용정보를 요청하자, 카카오페이가 해외결제를 이용하지 않은 고객까지 포함한 '카카오페이에 가입한 전체 고객의 개인신용정보'를 고객 동의 없이 제공한 것이다.

제공된 정보는 △카카오계정 ID·핸드폰번호·이메일 △카카오페이 가입내역·카카오페이 거래내역(잔고·충전·출금·결제·송금내역) 등이다. 지난 2018년 4월부터 현재까지 매일 1회, 총 542억 건(누적 4045만 명)의 정보가 제공된 것으로 파악됐다.

금감원 측은 "NSF 스코어 산출 명목이라면 관련 모형 구축(2019년 6월) 이후에는 스코어 산출대상 고객의 신용정보만 제공해야 함에도, 전체 고객의 신용정보를 계속 제공하고 있어 고객정보 오남용이 우려되는 상황"이라고 밝혔다.

또 금감원은 카카오페이가 알리페이에 해외결제 대금을 정산하기 위해 알리페이의 주문·결제정보만 공유하면 되는데도, 해외결제 이용고객의 '신용정보'도 알리페이에 제공했다고 파악했다.

제공된 신용정보는 △카카오계정 ID 및 마스킹한 이메일 또는 전화번호(정기결제시) △주문정보(시간, 통화, 금액, 거래유형 등), 결제정보(시간, 통화, 금액, 결제수단 등) 등 누적 5억 5000건 등이다. 당초 카카오페이는 알리페이와의 제휴 초기에는 이런 신용정보를 제공하지 않다가 2019년 11월부터 제공하기 시작한 것으로 드러났다.

아울러 금감원은 고객 동의서에 정보를 제공받는 자(알리페이)의 이용목적을 'PG업무(결제승인·정산) 수행'으로 사실과 다르게 기재해, 실제 이용목적을 고객에게 제대로 고지하지 않았다고 했다. 특히 고객이 동의하지 않아도 해외 결제를 못 하는 사안이 아님에도 '선택 동의사항'이 아닌 '필수 동의사항'으로 잘못 동의를 받아왔다고 지적했다.

금감원은 "카카오계정 ID 등을 고객 식별키로 활용할 경우, ID 및 마스킹한 이메일 또는 전화번호와 결합해 활용할 수 있는 상황"이라고 전했다.

이에 대해 카카오페이 측은 "애플의 앱스토어 결제 수단 제공을 위한 정상적 고객 정보 위수탁"이라며 "알리페이와 애플은 카카오페이에서 제공하는 정보를 받아 마케팅 등 다른 어떤 목적으로도 활용하지 못하게 돼 있다"고 반박했다.

이어 "알리페이에 정보를 제공하면서 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치하고 있다"며 "사용자를 특정할 수 없으며, 원문 데이터를 유추해 낼 수 없고, 절대로 복호화할 수 없는 일방향 암호화 방식이 적용돼 있어 부정 결제 탐지 이외의 목적으로는 활용할 수 없다"고 했다.

아울러 "알리페이가 속해 있는 앤트그룹은 이커머스 플랫폼 알리바바 그룹과는 별개의 독립된 기업이며, 카카오페이의 고객정보가 동의없이 중국 최대 커머스 계열사에 넘어갔다고 주장하는 것은 어불성설"이라고 덧붙였다.

이에 대해 금감원은 업무 위수탁에 해당하지 않을뿐더러, 암호화 과정을 거치더라도 관련법상 '가명정보'에 해당해 고객 동의가 필요하므로 위반에 해당한다는 입장이다.

특히 카카오페이는 '알리페이와 NSF 스코어를 산출해 애플에 제공하는 업무'에 대해 위수탁 계약을 체결한 바 없고, 카카오페이 측의 주장과 달리 랜덤값 없이 단순 암호화하면서 암호화 시 필요한 함수구조를 지금까지 변경하지 않아 일반인도 공개된 암호화 프로그램으로 복호화가 가능한 수준이라고 재반박했다.

금감원은 "향후 법률 검토를 거쳐 제재 절차를 신속히 진행하는 한편 유사사례에 대한 점검을 실시할 계획"이라고 밝혔다.

doyeop@news1.kr