금감원 "카카오페이, 고객정보 中 알리페이에 넘겨"…카카오 '반박'
입력
수정
금감원, 카카오페이 외환거래내역 검사 결과
"고객 동의 없이 개인정보 알리페이에 제공"
"제공 대상 범위 넘는 고객정보까지 지속 제공"
카카오페이 "위탁방식 이전으로 고객 동의 불필요"
금감원은 이날 공식 입장 자료를 통해 지난 4~5월 카카오페이의 외환거래 내역을 검사한 결과 중국 최대 핀테크 기업인 앤트그룹 계열사 알리페이에 개인신용정보를 고객 동의 없이 넘긴 사실을 적발해 '신용정보의 이용 및 보호에 관한 법률(신용정보법)' 등 위반 여부를 적용하는 방안을 검토 중이라고 밝혔다.알리페이는 앤트그룹의 2대 주주이며, 알리페이싱가포르홀딩스는 카카오페이의 2대 주주다.
카카오페이에서 애플 앱스토어 결제 시 카카오 측은 고객 정보를 앱스토어 입점 결제 업체에 제공한다. 이 데이터는 고객의 개인정보를 재가공해 생성된다. 이 재가공 업무를 현재 알리페이 계열사가 맡고 있다. 이 과정에서 고객 동의 없이 개인신용정보가 알리페이에 넘어갔다는 게 금감원의 설명이다. 신용정보법상 개인신용정보를 수집하거나 수집한 정보를 다른 곳에 제공할 때는 당사자 동의를 받아야 한다.
또한 알리페이는 해외에 지점을 둔 회사여서 개인 정보 제공 시 국외 이전 동의도 받아야 한다. 금감원은 카카오페이가 이 두 가지 내역을 모두 지키지 않았다고 보고 있다.구체적으로 카카오페이는 알리페이가 애플에서 요구하는 고객별 신용점수(NSF) 스코어 산출 명목으로 전체 고객의 신용정보를 요청하자, 해외결제를 이용하지 않은 고객까지 포함해 알리페이에 제공했다는 점을 지적했다.
금감원은 NSF 스코어 산출 명목이라면 관련 모형 구축(2019년 6월) 이후 스코어 산출대상 고객의 신용정보만 제공해야 하지만, 전체고객의 신용정보를 계속 제공하고 있어 고객정보 오남용이 우려되는 상황이라고 설명했다.
또 해외가맹점에서 카카오페이로 결제 시 알리페이에 주문·결제정보만 공유하면 된다. 하지만 카카오페이는 2019년 11월부터 지금까지 해외결제고객의 신용정보를 알리페이에 5억5000건(누적) 제공했다.카카오페이가 제공한 고객신용정보는 카카오계정 아이디와 마스킹한 이메일 또는 전화번호, 주문정보, 결제정보다. 카카오페이가 알리페이와 제휴 초기 시에는 해외결제고객의 신용정보를 제공하지 않았다고 금감원 측은 지적했다.
아울러 알리페이의 이용목적을 PG업무(결제승인·정산) 수행으로 사실과 다르게 기재해 실제 이용목적을 제대로 고지하지 않았고, 고객이 동의하지 않으면 해외결제를 못하는 사안이 아님에도 선택적 동의사항이 아닌 필수적 동의사항으로 잘못 동의를 받아온 것으로 드러났다.
금감원은 향후 면밀한 법률검토를 거쳐 제재절차를 신속히 진행하는 한편, 유사사례에 대한 점검을 실시할 계획이다.
카카오페이는 고객 정보 이전이 사용자 동의가 필요 없는 카카오페이-알리페이-애플 간 업무 위수탁 관계에 따른 처리 위탁방식으로 이뤄졌다고 해명했다. 신용정보법상 개인신용정보의 처리 위탁으로 정보를 이전할 때는 정보주체 동의가 필요하지 않다는 게 카카오페이 입장이다.
아울러 카카오페이는 개인신용정보를 암호화 작업을 거쳐 알리페이 측에 전달하는 데다 부정 결제 여부를 확인하는 용도 외에는 사용이 불가능하다고도 강조했다. 마케팅 등 다른 목적으로 사용이 불가능하다는 얘기다.
카카오페이는 "알리페이가 속한 앤트그룹은 이커머스 플랫폼 알리바바 그룹과는 별개의 독립 기업"이라며 "카카오페이 고객 정보가 동의 없이 중국 최대 커머스 계열사에 넘어갔다는 주장은 어불성설"이라고 부연했다. 카카오페이 측은 이 같은 입장을 향후 조사 과정에서 성실히 소명하겠다고 강조했다.
노정동 한경닷컴 기자 dong2@hankyung.com