카카오페이가 고객의 개인신용정보를 세계 최대 핀테크 기업인 중국 앤트그룹(알리)의 계열사 알리페이에 고객 동의 없이 제공한 사실이 금융당국에 적발됐다.
금융감독원은 13일 카카오페이에 대한 검사 결과 알리페이에 개인신용정보를 고객 동의 없이 넘긴 사실을 적발했다고 밝혔다. 이에 대해 면밀한 법률검토를 거쳐 제재절차를 신속히 진행하고 유사사례에 대한 점검을 실시할 계획이다.
금감원은 지난 5~7월 카카오페이의 해외결제부문에 대한 현장검사를 실시했고, 이 과정에서 이 같은 사실을 적발했다. 카카오페이가 해외 결제를 이용하지 않은 고객까지 포함한 ‘카카오페이에 가입한 전체 고객의 개인신용정보’를 고객 동의 없이 제공했다는 것이다.
2018년 4월부터 현재까지 매일 1회씩 총 542억건(누적 4045만명)이 제공됐으며, 카카오계정 ID와 핸드폰 번호, 이메일, 카카오페이 가입내역 및 거래내역(잔고·충전·출금·결제·송금내역), 해시(암호화) 처리하지 않은 핸드폰 본인인증시 생성번호 등이었다.
또한 카카오페이가 알리페이에 해외결제 대금을 정산하기 위해서 고객 신용정보가 불필요한데도 해외결제 이용고객의 신용정보를 제공한 것으로 확인됐다. 2019년 11월부터 현재까지 카카오계정 ID 및 주문정보, 결제정보 등 총 5억5000만건에 달하는 고객정보가 알리페이에 전달됐다.
앞서 카카오페이는 불법행위가 아니라고 부인했다. 카카오페이 관계자는 “불법적 정보제공을 한 바 없다”며 “앱스토어 결제 수단 제공을 위해 필요한 정보 이전은 사용자의 동의가 필요 없는 카카오페이-알리페이-애플 간 업무 위수탁 관계에 따른 처리 위탁방식으로 이뤄져 왔다”고 설명했다. 신용정보법에 따르더라도 개인신용정보의 처리 위탁으로 정보가 이전되는 경우 정보주체의 동의가 요구되지 않는다는 주장이다.
이어 “알리페이에 정보를 제공할 때 무작위 코드로 변경하는 암호화 방식을 적용해 비식별 조치를 하고 있다”며 “사용자를 특정할 수 없고 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다”고 부연했다.
이에 대해 금감원은 “업무 위수탁에 해당하지 않고, 해시 처리를 하더라도 관련법상 가명 정보에 해당해 고객동의가 필요해 위반에 해당한다”고 반박했다.
최서진 기자 westjin@segye.com