카카오페이 전체 가입 고객 4045만명의 신용정보가 중국 알리페이에 넘어간 것으로 확인되면서 정보 유출에 따른 피해가 우려되고 있다. 카카오페이측은 암호화를 통해 원본데이터를 유추할 수 없다는 입장이지만 금융감독원은 암호화 수준이 낮아서 쉽게 해독(복호화)이 가능하다고 밝혔다.

13일 금융감독원은 올해 5월부터 7월까지 카카오페이의 해외결제부문에 대한 현장검사를 실시한 결과 카카오페이가 가입한 전체 고객의 개인 신용정보를 고객 동의 없이 알리페이에 제공했다고 밝혔다.

제공된 정보는 카카오계정 ID, 핸드폰번호, 이메일 및 카카오페이 가입내역과 카카오페이 거래내역(잔고 충전 출금 결제 송금내역) 등이며 총 542억건(누적 4045만명)에 달한다.

카카오페이는 알리페이와 제휴를 통해 국내 고객이 알리페이가 계약한 해외가맹점에서 카카오페이로 결제할 수 있는 서비스를 제공하고 있다. 카카오페이는 알리페이가 NSF 스코어(애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수) 산출을 명목으로 카카오페이 전체 고객의 신용정보를 요청하자, 해외결제를 이용하지 않은 고객까지 포함해 제공했다. 전체 고객 정보는 2018년 4월부터 매일 1회씩 알리페이에 넘어갔다.

금감원은 “NSF 스코어 산출 명목이라면 관련모형 구축(2019년 6월) 이후에는 스코어 산출대상 고객의 신용정보만 제공해야함에도, 전체고객의 신용정보를 계속 제공하고 있어 고객정보 오남용이 우려되는 상황”이라고 밝혔다.

또 카카오페이는 국내 고객이 해외가맹점에서 카카오페이로 결제시 알리페이에 대금정산을 해주기 위해 주문·결제정보만 알리페이와 공유하면 되는데도 2019년 11월부터 지금까지 해외결제고객의 신용정보를 불필요하게 알리페이에 제공했다. 이 같은 정보 제공이 누적 건수로는 5억5000만건에 달한다. 카카오페이는 알리페이와 제휴 초기 해외결제고객의 신용정보를 알리페이에 제공하지 않았다.

국내 간편결제를 하는 페이업체들 중 해외 결제 제휴 서비스를 알리페이와 맺은 업체는 카카오페이가 유일하다. 카카오페이의 2대 주주는 ‘알리페이 싱가포르 홀딩스’로 지분 32.06%를 보유하고 있다. 다른 페이업체들은 NSF 스코어와 관련해 정보제공 요구를 받지 않았고, 해외 결제를 하지 않은 고객의 정보까지 PG사에 넘긴 경우는 없는 것으로 알려졌다.

◆“정상적인 고객 정보 위·수탁, 암호화 철저” = 카카오페이는 13일 입장문에서 “애플의 앱스토어 결제 수단 제공을 위한 정상적 고객 정보 위·수탁”이라며 “불법적 정보 제공을 한 바가 없다”고 밝혔다. 애플 앱스토어 결제에서 필수적인 부정결제 방지 절차를 위해 불가피하게 고객 정보를 제공했다는 것이다.

카카오페이는 “애플은 카카오페이를 앱스토어 결제 수단으로 채택함에 있어 알리페이의 시스템을 활용할 것을 권고했으며 이에 따라 3자 간 협력 관계를 구축하게 됐다”고 업무제휴 배경을 설명했다. 또 알리페이에 제공한 정보는 사용자의 동의가 필요없는 카카오페이-알리페이-애플 간의 업무 위·수탁 관계에 따른 처리 위탁 방식으로 이뤄져 왔다고 해명했다.

신용정보법에는 개인신용정보의 처리 위탁으로 정보가 이전되는 경우, 정보주체의 동의가 요구되지 않는다고 규정돼 있다. 처리위탁은 위탁자(카카오페이)가 원활한 업무 처리를 위해 제3자에게 정보를 제공하는 것을 말한다.

이와함께 알리페이와 애플이 카카오페이에서 제공하는 정보를 받아 마케팅 등 다른 어떤 목적으로도 활용하지 못하도록 돼 있고 최근 이에 대한 별도의 공식 확인 절차를 진행했다고 밝혔다. 카카오페이는 또 “무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치하고 있다”며 “사용자를 특정할 수 없으며, 원문 데이터를 유추해낼 수 없고 절대로 복호화할 수 없는 일방향 암호화 방식이 적용돼 있어 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다”고 강조했다.

◆“고객 동의 필요, 신용정보법 위반” = 금감원은 카카오페이 입장에 대해 강하게 반박했다. 일단 카카오페이는 알리페이와 NSF스코어를 산출해 애플에 제공하는 업무에 대한 위·수탁 계약을 체결한 바 없다고 밝혔다. 또 신용정보의 처리 위탁이 되기 위해서는 △위탁자 본인의 업무처리와 이익을 위한 경우로 △수탁자는 위탁사무처리 대가 외에는 독자적인 이익을 가지지 않고 △위탁자의 관리·감독 아래에서 처리한 경우 등을 충족해야 하지만 이번 정보 제공은 여기에 해당하지 않는다고 판단했다.

또 제공 정보가 철저히 암호화 됐다는 카카오페이의 주장 역시 일축했다. 금감원은 “카카오페이의 주장과 달리 랜덤값 없이 단순하게 해시처리(암호화)하면서 암호화시 필요한 함수구조를 지금까지 전혀 변경하지 않아 일반인도 공개된 암호화 프로그램으로 복호화가 가능한 수준”이라고 밝혔다.

금감원은 “철저히 비식별조치해 원본 데이터를 유추해낼 수 없다는 의견은 사실과 다르며, 해시처리를 제대로 하더라도 관련법상 가명정보라서 고객동의가 필요하기 때문에 신용정보법 위반에 해당한다”고 강조했다.

가명정보는 추가정보를 사용하지 않고는 특정개인을 알아볼 수 없도록 처리한 개인신용정보를 말하며 제3자 제공시 동의가 필요하다.

금감원은 “향후 면밀한 법률검토를 거쳐 제재절차를 신속히 진행하는 한편, 유사사례에 대한 점검을 실시할 계획”이라고 밝혔다.

이번 사건은 금감원이 검사 결과를 카카오페이에 통보하기 이전에 검사 내용이 외부에 알려지면서 금감원과 카카오페이가 장외 공방을 벌이는 모양으로 불거졌다.

이경기 기자 cellin@naeil.com