KoreaTV.Radio 권성준 기자 | 카카오페이가 고객 동의를 받지 않고 4045만명의 개인 신용 정보를 중국 알리바바 산하 금융 결제 업체인 알리페이에 제공했다가 금융감독원에 적발됐다. 2018년 4월부터 6년여 동안 한 번이라도 카카오페이를 이용한 사람 전원의 카카오페이 ID와 휴대전화 번호, 이메일 주소, 카카오페이 가입·거래 내역이 넘어갔다는 것이다.
금감원은 이 같은 내용이 담긴 ‘카카오페이 해외 결제 부문에 대한 현장 검사 결과’를 13일 발표했다. 금감원은 카카오페이가 회원 개인 신용 정보를 매일 한 차례씩 암호화한 형태로 알리페이 측에 제공했다고 했다. 누적으로 따지면 542억건에 달한다. 금감원 관계자는 “카카오페이의 월간 이용자 수가 2500만명가량 되는데, 휴면·탈퇴 고객 수까지 더하면 4000만명 이상의 정보가 적어도 한 번씩은 넘어간 셈”이라고 말했다.
알리페이는 애플·구글·알리익스프레스·테무 등 46국 온·오프라인 가맹점 8100만곳의 금융 결제를 지원하는 업체다. 알리페이는 카카오페이 주식 32%를 보유한 2대 주주이기도 하다. 카카오페이는 자체 해외 결제망이 없기 때문에 알리페이와 제휴해 해외 결제 서비스를 제공하고 있다. 그런데 카카오페이는 해외 결제를 이용하지 않은 고객들의 신용 정보도 암호화해서 알리페이에 넘긴 것이다.
금감원은 카카오페이의 정보 암호화 수준도 문제 삼았다. 금감원이 테스트해 보니 인터넷에서 쉽게 구할 수 있는 암호 해독 프로그램으로 이름을 제외한 휴대전화 번호와 카카오페이 아이디 등을 그대로 복구했다는 것이다.
카카오페이는 “불법적인 정보 제공은 없었다”며 “추후 조사 과정에서 소명할 것”이라고 했다. 금감원은 면밀한 법률 검토를 거쳐 제재 절차를 신속히 진행하는 한편, 유사 사례를 추가 점검하겠다고 밝혔다.
카카오페이가 알리페이에 암호화된 개인 신용 정보를 넘긴 것 자체가 불법은 아니다. 카카오페이는 국내 소비자들이 많이 이용하는 애플이 “애플 앱스토어를 이용하는 고객의 신용도를 평가하는 시스템을 갖춰 달라”고 요구하자 알리페이에 시스템 구축을 의뢰했고, 이 과정에서 고객 정보를 제공한 것이다.
문제는 카카오페이가 ①고객의 동의를 받지 않은 상태에서 ②알리페이 측과 구체적인 계약도 없이 ③해외 결제를 이용하지 않은 고객 정보까지 불필요하게 많은 정보를 넘겼다는 것이다. 이에 대해 카카오페이 관계자는 “해외 결제 잠재 고객의 정보를 제공한 것으로, 애플이 요구했기 때문”이라고 해명했다.
◇계약도 없이 고객 정보 제공
카카오페이 측은 알리페이와 계약을 맺었고, 암호화 수준이 높아서 개인 정보를 식별하기 어렵다고 해명했다. 카카오페이가 해외 결제 서비스 제공을 위해 알리페이와 고객 정보 위·수탁 계약을 맺고 있고, 제공되는 정보는 철저히 암호화돼 있기 때문에 정기적으로 결제하는 고객의 신용도 탐지 목적 외에 다른 목적으로 활용될 수 없다는 것이다.
카카오페이와 알리페이는 신용도 확인 시스템 구축을 위해 개인 신용 정보 처리 위·수탁 관계를 맺고 있고, 이 경우엔 개인 신용 정보가 이전되는 경우에도 고객 동의가 필요하지 않다는 것이 카카오페이의 주장이다. 신용정보법 제17조 1항은 ‘개인 신용 정보의 처리 위탁으로 정보가 제공되는 경우 정보 주체의 동의가 요구되지 않는다’고 규정하고 있다.