카카오페이가 민감정보 유형인 고객 신용정보 처리를 해외 회사인 알리페이로 위탁해 논란이 커졌다. 서비스 가입자가 4000만명 이상이나 되는데 해외 회사에 위탁을 맡긴 것 자체가 문제라는 지적이다. 특히 카카오페이는 서비스 사용자를 대상으로 해외위탁 사실에 대한 고지도 하지 않은 것으로 나타났다.

13일 금융감독원은 “4~5월 카카오페이의 외환거래 내역을 검사한 결과, 중국 최대 핀테크 기업인 앤트그룹 계열사 알리페이에 개인신용정보를 고객 동의 없이 넘긴 사실을 적발했다”며 “신용정보의 이용 및 보호에 관한 법률(신용정보법)' 등 위반 여부를 적용하는 방안을 검토 중”이라고 밝혔다.

알리페이는 앤트그룹의 2대 주주로, 알리페이싱가포르홀딩스는 카카오페이의 2대 주주다. 아이폰 사용자가 애플 앱스토어를 통해 카카오페이 결제를 할 경우, 결제정보가 앱스토어 입점 결제 업체에 제공된다. 해당 데이터는 고객의 개인정보를 재가공해 생성된다. 

이 재가공 업무를 현재 알리페이 계열사가 맡고 있다. 이번 건의 경우, 알리페이가 애플에서 요구하는 고객별 신용점수(NSF) 스코어 산출을 목적으로 카카오페이에게 전체 고객의 신용정보를 요청한 게 논란이다.

◆카카오페이, 개인정보 해외 위탁 고지 없었다
스트레이트뉴스 취재결과, 카카오페이는 ‘제4조 개인(신용)정보의 처리업무 위탁’에 있어 해외위탁 부분에 대해 구체적인 명시를 하지 않았다. 카카오페이가 수집한 고객 개인정보를 해외 회사에 위탁하는 과정에서 정보주체인 개인 소비자에게 동의를 구하지 않은 점이 가장 큰 문제점으로 보인다.

금감원 역시 카카오페이가 동의서 상 정보를 제공받는 알리페이의 이용목적을 ‘PG업무(결제승인/정산) 수행’으로 사실과 다르게 기재했다는 입장이다. 고객이 동의하지 않으면 해외결제를 못하는 사안이 아님에도 선택적 동의사항이 아닌 필수적 동의사항으로 잘못 동의를 받아왔다는 것이다.

이에 대해 카카오페이는 문제가 없다는 입장이다. 카카오페이 관계자는 “불법적 정보 제공을 한 바 없다”며 “결제를 위해 꼭 필요한 정보 이전은 사용자의 동의가 필요없는 카카오페이-알리페이-애플 간의 업무 위수탁 관계에 따른 처리 위탁 방식으로 이뤄져 왔다”고 말했다.

카카오페이는 신용정보법 제17조 제1항을 이유로 ‘개인신용정보의 처리 위탁으로 정보가 이전되는 경우에는 정보주체의 동의가 요구되지 않는 것으로 규정된다’고 주장한다. 원활한 업무 처리를 위해 제3자에게 정보를 제공할 경우 사용자 동의가 필요하지 않다는 것이다. 

그러나 개보법 제26조 3항 2절에는 “개인정보의 처리 업무를 위탁하는 개인정보처리자(카카오페이)가 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(알리페이 등)를 정보주체(소비자가)가 언제든지 쉽게 확인할 수 있도록 공개하여야 한다”는 내용이 명시됐다.

학계에서도 카카오페이에 문제점이 있다고 지적한다.

최경진 가천대학교 교수는 “일단 개인정보를 국외에 있는 제3자에게 이전할 경우 고객에게 고지할 의무가 맞는 것으로 보인다”고 설명했다.

학계 한 관계자는 “알리페이, 애플과의 비즈니스 관계는 본인들 사정”이라며 “개인정보 해외위탁 고지의무를 지키지 않은 건 명백한 귀책사유가 있는 것으로 보인다”고 말했다. 이어 “개인정보를 처리하고 이를 사용자에게 고지하는 과정 전반에 문제가 있다”며 “정상적인 위수탁 관계 범위를 넘어선 것으로 보인다”고 덧붙였다.

◆개인정보, 비식별화 처리 수준 논란
금감원에 따르면 카카오페이는 2018년 4월부터 현재까지 매일 1차례에 걸쳐 누적 4045만명의 카카오계정 ID와 휴대전화 번호, 이메일, 카카오페이 가입내역, 카카오페이 거래내역(잔고, 충전, 출금, 결제, 송금 등) 등 542억 건의 개인신용정보를 알리페이에 제공했다. 개보법상 금융거래정보는 민감정보에 해당하기 때문에 제3자 위탁시 더욱 각별한 처리과정이 요구된다. 

신재우 한신대 교수는 “카카오페이가 해외회사와 업무위수탁 계약을 맺었다 하더라도 정보 주체인 고객이 사전에 동의한 개인 정보 사용 범위에 한정해야 한다”며 “위탁 내용 역시 카카오페이가 사후에라도 고객에게 공개해야 한다”고 지적했다.

즉 카카오페이는 개인정보를 암호화했다고 하지만, 익명처리 수준인지 비식별처리 수준인지도 파악할 필요가 있다는 것이다.

데이터3법 중 개인정보보호법 제26조에는 ‘업무위탁에 따른 개인정보의 처리 제한’에 대한 내용을 다루고 있다. 이와 관련한 세부 법규 ‘금융회사의 정보처리 업무 위탁에 관한 규정’은 ‘개인고객 고유식별정보’와 ‘개인 식별이 가능한 금융거래정보’의 국외 위탁에 대한 내용을 명시했다. 

선자는 주민번호·운전면허번호·여권번호·외국인등록번호 등을, 후자는 “조성진, 신한은행서 100만원 출금”과 같은 금융거래 정보를 뜻한다.

먼저 관련 규정 제5조 1항은 “금융회사가 개인고객의 고유식별정보 처리를 위탁하는 경우 각 관련 법령상의 안전성 확보조치를 충실히 이행하여야 한다”며 “이때 개인고객의 고유식별정보는 암호화 등의 보호 조치를 해야 하며, 특히 국외로 이전되지 않도록 해야 한다”고 명시되어 있다.

다만 관련 규정 제7조를 보면 ‘개인 식별이 가능한 금융거래정보’를 국외로 위탁해야 하는 경우 ▲위탁의 필요성 및 기대효과 ▲위탁에 따른 업무처리절차의 주요 변경내용 ▲정보처리업무 운영에 대한 감독기관의 실질적 감독가능성을 확인할 수 있는 서류 ▲전산사고 및 정보유출 등 발생시 피해자 구제절차 등을 금융감독원 사전보고 형식으로 입증할 때 가능하다.

카카오페이는 “위탁을 받은 해외회사가 개인정보를 식별하지 못하도록 확실하게 처리했다”는 입장이다.

카카오페이 관계자는 “알리페이와 애플은 카카오페이에서 제공하는 정보를 받아 마케팅 등 다른 어떤 목적으로도 활용하지 못하도록 되어 있다”며 “최근 이에 대한 별도의 공식 확인 절차를 진행했다”고 말했다. 

그는 “카카오페이가 알리페이에 정보를 제공함에 있어서 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치하고 있다”며 “사용자를 특정할 수 없으며, 원문 데이터를 유추해낼 수 없고, 절대로 복호화 할 수 없는 일방향 암호화 방식이 적용되어 있어 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다”고 설명했다. 

이어 “알리페이가 속해 있는 앤트그룹은 이커머스 플랫폼 알리바바 그룹과는 별개의 독립된 기업이며, 카카오페이의 고객정보가 동의없이 중국 최대 커머스 계열사에 넘어갔다고 주장하는 것은 어불성설”이라고 덧붙였다.

이에 대해 금감원 관계자는 “카카오페이의 주장과 달리 랜덤값 없이 단순하게 해시처리(암호화)하면서 암호화시 필요한 함수구조를 지금까지 전혀 변경하지 않았다”며 “일반인도 공개된 암호화 프로그램으로 복호화가 가능한 수준”이라고 지적했다.

금감원 관계자는 “철저히 비식별조치하여 원본 데이터를 유추해낼 수 없다는 의견은 사실과 다르다”며, “해시처리를 제대로 하더라도 관련법상 가명정보에 해당하여 고객동의가 필요하다”고 덧붙였다.

한편 이날 개인정보보호위원회는 '카카오페이 고객 신용정보 국외 이전' 논란과 관련해 사실관계 확인 후 조사 여부를 결정할 예정이라고 밝혔다.

[스트레이트뉴스 조성진 기자]