“고객 동의 없이 정보 유출” vs “동의 불필요한 상황”
카카오페이는 최근 공지사항을 통해 “카카오페이는 금융감독원 조사 과정임을 감안해 지난 5월 22일부터 협력사 양해를 거친 후 해당 정보 제공을 잠정 중단했다”고 말했다.
금감원은 올해 5월부터 7월까지 카카오페이의 해외 결제 부문에 대한 현장검사를 실시했다. 금감원은 이 과정에서 카카오페이가 고객 동의 없이 고객신용정보를 제3자에게 제공한 사실을 확인했다고 밝혔다.
금감원이 문제로 삼은 것은 카카오페이가 알리페이에 해외 결제 대금 정산을 위해 고객 신용 정보 등의 정보 제공이 필요하지 않음에도 해외 결제 이용 고객의 신용 정보를 알리페이에 제공한 부분이다. 해외 결제 이용고객의 카카오 계정 아이디(ID), 주문 및 결제 정보를 2019년 11월부터 현재까지 해외결제 이용시마다 총 5억5000만건 제공했다.
특히 해외 결제를 이용하지 않은 고객까지 포함해 ‘카카오페이에 가입한 전체 고객의 개인신용정보’를 고객 동의 없이 알리페이에 제공했다. 금감원에 따르면 카카오페이는 2018년 4월부터 현재까지 카카오 계정 아이디(ID), 핸드폰 번호, 이메일 및 카카오페이 가입 내역, 거래내역 등의 정보를 매일 1회씩 4045만명의 개인 정보는 총 542억건 제공했다.
카카오페이는 “애플 앱스토어 결제시 안전한 결제 환경을 구축하기 위해 애플, 알리페이와 3자 협력을 통해 부정 결제 방지 절차를 마련해두고 있다”며 “이를 통해 ID 도용으로 인한 부정 결제나 이상 거래를 사전에 차단하는 등 안전하게 편리하게 카카오페이를 이용할 수 있도록 최선을 다하고 있다”고 밝혔다.
그러나 금감원의 생각은 다르다. 알리페이를 통해 해외 결제를 하더라도 주문과 결제정보만 공유하면 되는데도 카카오페이는 2019년 11월부터 지금까지 해외 결제 고객의 카카오계정 ID, 마스킹한 이메일 또는 전화번호 등 결제에 불필요한 신용정보까지 제공했다는 설명이다.
애플은 카카오페이와 제휴를 맺으면서 선결조건으로 NSF(Non-Sufficient-Funds Score·애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수) 스코어 산출을 원했는데 이를 알리페이가 맡았다. 알리페이는 NSF스코어 산출을 이유로 카카오페이 전채 고객의 신용정보를 요청했다. 그로 인해 카카오페이는 해외 결제를 이용하지 않은 고객까지 포함해 카카오페이 전체 고객의 개인 신용정보를 제공하게 됐다는 게 금감원의 설명이다. NSF 스코어 산출이 목적이라면 스코어 산출 대상 고객의 정보만 제공해야 함에도 전체 고객의 정보를 계속해서 제공해왔다는 얘기다.
암호화에 대해서도 의견이 갈린다. 카카오페이는 “알리페이와의 업무 위수탁 관계에 따라 개인을 특정할 수 없도록 비식별화된 정보를 제공하고 애플에서 해당 데이터를 활용해 부정 결제 여부 등을 판단할 수 있도록 했다”며 “원문 데이터를 유추하거나 복호화 될 수 없는 방식으로 보내고 있어 알리페이나 애플이 원래 목적과 관계 없는 용도로 활용할 수 없다”고 밝혔다.
그러나 금감원은 카카오계정 ID 등을 고객 식별키로 활용할 경우 NSF 스코어 산출 때 제공했던 정보와 해외 결제 고객 정보를 결합해보면 누구인지 식별이 가능하다고 짚었다.
금감원 관계자는 “카카오페이가 고객 정보를 가명 처리 방법으로 암호화했는데 가명 처리가 잘 되려면 함수에 매번 다른 랜덤값을 넣어야 하는데 이러한 암호화 처리를 잘 안 했다”며 “일반인도 그 부분을 식별할 수 있는 가능성이 있다”고 밝혔다. 이어 “더 핵심적인 문제는 가명 처리를 잘 했더라도 제3자에게 정보를 제공하려면 동의를 받아야 하는데 이를 하지 않았다”고 덧붙였다.
금감원은 해외 간편결제 업체(PG)와 정보를 제공하는 간편결제 업체를 대상으로 실태조사를 실시한다. 금감원 관계자는 “간편결제 업체 위주로 알리페이 등 해외PG사에 정보를 제공할 가능성이 있는 곳을 대상으로 살펴보고 있다”며 “취약한 곳 위주로 선별 검사할 것”이라고 밝혔다.