6년 동안 개인신용정보 540억건
고객 동의 없이 중국 업체에 제공
“법률 검토 거쳐 제재 절차 추진”
카카오페이가 지난 6년간 누적 4000만명의 개인신용정보 540억건을 고객 동의 없이 중국 핀테크 업체 알리페이에 제공한 사실을 적발했다고 금융감독원이 13일 밝혔다.
알리페이는 대형 온라인 쇼핑플랫폼인 알리익스프레스를 소유한 중국 알리바바 그룹 계열사로, 마케팅 등 목적으로 유출 정보가 오남용될 수 있다는 우려가 나온다.
지난 5~7월 이뤄진 금감원 현장검사 결과에 따르면 카카오페이는 2018년 4월부터 현재까지 매일 한 차례에 걸쳐 누적 4045만명의 카카오계정 ID와 휴대전화 번호, 이메일, 카카오페이 잔고·결제·송금내역 등 총 542억건의 개인정보를 알리페이에 제공한 것으로 드러났다.
문제가 된 개인정보 유출은 애플과 알리페이의 요청에 따라 이뤄졌다. 애플은 앱스토어에 카카오페이 결제를 도입하는 조건으로, 알리페이에서 ‘고객별 신용점수(NSF)’를 산출할 것을 요청했다. 카카오페이로 결제한 소비자의 부정 결제 여부를 NSF를 통해 애플이 확인하겠다는 것이다. 알리페이는 NSF 산출을 이유로 카카오페이의 해외 결제 고객뿐 아니라 전체 고객의 신용 정보를 요청했고, 카카오페이는 지난 6년간 이에 응해왔다.
금감원은 “NSF 산출 관련 모형이 구축된 2019년 6월 이후에는 (해외결제를 한) NSF 산출 대상 고객의 신용정보만 제공해야 함에도, 전체 고객의 신용정보를 계속 제공하고 있어 정보 오남용이 우려된다”고 설명했다.
또한 카카오페이는 알리페이와 제휴해 국내 고객이 알리페이가 계약한 해외 가맹점에서 카카오페이로 결제할 수 있는 서비스를 제공하고 있는데, 이 과정에서도 해외 결제 고객의 신용정보를 불필요하게 넘겨온 것으로 나타났다.
카카오페이는 “불법적 정보제공을 한 바 없다”면서 알리페이에 가입자 정보를 제공한 것은 데이터 재가공 업무 위탁에 해당해 신용정보법상 가입자 동의가 요구되지 않는다고 해명했다. 또한 알리페이에 제공한 정보는 암호화 처리를 통해 원본 데이터를 유추할 수 없다고도 설명했다.
이에 금감원은 카카오페이-알리페이간 계약을 업무 위수탁 관계로 볼 수 없으며, 암호화 처리를 한 가명정보의 제공 역시 관련법상 고객 동의가 필요하다고 재반박했다. 금융당국은 법률 검토를 거쳐 카카오페이에 대한 제재 절차를 진행하고, 업권 내 유사 사례에 대해 점검할 계획이다.