NO.1: 브라이턴 대 풀럼
금감원,브라이턴 대 풀럼현장검사서 적발… 제재 예고
6년 동안 신용 정보 누적 5억5000만건
고객 동의 없이 2대주주 알리페이에 제공
애플 NSF 스코어 산출 명목 요구받자
해외결제 이용 않은 고객 정보까지 넘겨
카카오페이 “적법 위수탁… 불법 아니다”
금감원 “위수탁 계약 체결된적 없어” 지적
“법률검토 거쳐 신속처리… 유사사례 점검”
카카오페이가 2대 주주인 알리페이에 지난 6년간 누적 4000만명이 넘는 개인신용정보를 고객 동의 없이 제공한 것으로 드러났다.금융당국이 이 같은 사실을 적발하고 제재를 예고하자 카카오페이는 사용자 동의가 필요 없는 업무 위·수탁 관계에 따라 처리했다며 불법이 아니라고 강변했다.최근 창업주인 김범수 경영쇄신위원장의 자본시장법 위반 혐의 구속과 더불어 카카오모빌리티의 분식회계 의혹 등 각종 악재를 맞은 카카오는 또 한번 위기와 마주하게 됐다.
금감원은 지난 5∼7월 카카오페이의 해외결제 부문에 대한 현장검사 결과 카카오페이가 전체 가입 고객의 개인신용정보를 동의 없이 제3자인 알리페이에 제공한 사실을 적발했다고 13일 밝혔다.알리페이는 카카오페이의 2대 주주이자 중국을 중심으로 간편결제 서비스를 운영하는 핀테크 기업이다.
이 같은 정보 제공은 2018년 4월부터 최근까지 이뤄졌으며,매일 1회씩 542억건에 달해 누적 4045만명분이라고 금감원은 전했다.
알리페이는 그간 애플이 요구한 고객별 신용점수(NSF) 스코어 산출 명목으로 카카오페이 전체 고객의 신용정보를 요청했고,이에 카카오페이는 해외결제를 이용하지 않은 고객까지 포함해 제공했다는 게 금감원의 설명이다.
금감원 측은 “NSF 스코어 산출 명목이라면 관련 모형이 구축된 2019년 6월 이후엔 대상 고객의 신용정보만 제공해야 했지만,브라이턴 대 풀럼전체 고객의 신용정보를 계속 제공해 오·남용이 우려된다”고 지적했다.
카카오페이는 또 국내 고객이 해외 가맹점에서 카카오페이로 결제하면 알리페이에 대금 정산을 해주기 위해 주문·결제정보만 공유하면 되는데도,불필요하게 해외결제 이용고객의 신용정보까지 제공한 것으로 확인됐다.2019년 11월부터 현재까지 이렇게 불필요하게 제공된 신용정보는 카카오 계정 아이디(ID)와 마스킹(데이터를 숨기는 프로세스)한 이메일 또는 전화번호,브라이턴 대 풀럼주문과 결제정보 등 누적 5억5000만건이다.
금감원은 앞으로 면밀한 법률 검토를 거쳐 제재절차를 신속히 진행하는 한편 유사 사례가 있는지 점검할 계획이라고 밝혔다.
이에 카카오페이는‘적법한 고객 정보 위수탁’이라고 반박했다.
카카오페이는 이날 설명자료를 내고 “알리페이나 애플에 고객 동의 없이 불법으로 정보를 제공했다는 것은 사실이 아니다”라며 “애플의 앱스토어 결제수단 제공을 위한 정상적 고객 정보 위수탁”이라고 해명했다.
신용정보법 17조 1항에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되면 정보주체의 동의가 요구되지 않는 것으로 규정되는데,해당 정보는 위탁자인 카카오페이가 원활한 업무 처리를 위해 제3자에게 정보 제공을 하는 것이라 사용자 동의가 불필요하다는 주장이다.
카카오페이는 또 “알리페이와 애플은 카카오페이에서 제공하는 정보를 받아 마케팅 등 다른 어떤 목적으로도 활용하지 못하도록 되어 있으며,카카오페이는 최근 별도의 공식 확인 절차를 진행했다”며 “알리페이에 정보를 제공함에 있어 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치를 하고 있다”고도 강조했다.이어 “사용자를 특정할 수 없으면 원문 데이터를 유추해낼 수 없고,절대로 복호화(암호화된 데이터를 원래 데이터로 되돌리는 것)할 수 없는 일방향 암호화 방식”이라고 덧붙였다.
금감원은 아울러 고객 동의 없이 신용정보 처리 위탁이 되기 위해서는 위탁자 본인업무 처리와 이익을 위한 경우로 수탁자가 독자적인 이익을 가지지 않아야 하며 위탁자 관리 및 감독 아래 처리해야 하는데,브라이턴 대 풀럼이번 건은 이에 해당하지 않는다고 지적했다.
또 카카오페이가 제공한 암호화 방식은 일반에도 공개된 프로그램으로,브라이턴 대 풀럼그 이전으로 되돌리는 게 가능한 수준이라고 일축했다.