카카오페이, 中 알리페이에 고객 개인정보 유출 논란... 제재 수위는?

카카오페이가 중국 알리페이에 자사 고객들의 개인정보를 넘겨준 사실이 드러나면서 금융당국이 제재절차에 돌입했다. 개인정보보호법 개정으로 처벌 수위가 높아진 만큼, 상당한 규모의 과징금이 부과될 수 있다는 예상도 나온다.

 

금융감독원은 지난 13일 ‘카카오페이 해외결제부문에 대한 현장검사 결과(잠정)’를 발표했다. 

 

금감원에 따르면, 카카오페이는 알리페이와의 제휴를 통해 국내 고객이 알리페이가 계약한 해외가맹점에서 카카오페이로 결제할 수 있는 서비스를 제공 중이다. 하지만 지난 5~7월 금감원 현장검사에서 카카오페이가 고객 동의 없이 고객신용정보를 제3자에게 제공한 사실이 적발됐다. 

 

카카오페이는 알리페이가 NSF 스코어(애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수) 산출을 명목으로 고객신용정보를 요청하자, 해외결제를 이용하지 않은 고객까지 포함한 전체 고객의 개인신용정보를 동의 없이 알리페이에 넘겨줬다. 카카오페이가 알리페이에 제공한 고객 개인정보는 지난 2018년 4월부터 현재까지 매일 1회, 총 542억건(누적 4045만명)에 달한다. 

 

카카오페이가 알리페이에 넘긴 고객 정보에는 카카오계정 ID와 핸드폰 번호, 이메일 주소뿐만 아니라 카카오페이 결제거래 건수, 페이머니 잔고 및 충전·출금 횟수, 카드등록 여부 및 등록카드 개수 등 거래내역 관련 정보도 담겨 있다. 

 

금감원은 “NSF 스코어 산출 명목이라면 관련 모형이 구축된 2019년 6월 이후에는 스코어 산출 대상 고객의 신용정보만 제공하여야 함에도, 전체 고객의 신용정보를 계속 제공하고 있어 고객정보 오남용이 우려되는 상황”이라고 설명했다.

 

또한 카카오페이는 알리페이에 대금정산을 해주기 위해 주문·결제정보만 공유하면 되는데도, 지난 2019년 11월부터 현재까지 해외결제고객의 신용정보를 5억5000만건이나 불필요하게 제공했다. 

 

이 과정에서 카카오페이는 동의서 상 제공받는 자(알리페이)의 이용목적을 ‘PG업무(결제승인/정산) 수행’으로 사실과 다르게 기재해 ‘제공받는 자의 실제 이용목적’을 고객에게 제대로 고지하지 않았다. 게다가 고객이 동의하지 않으면 해외결제를 못하는 사안이 아님에도 선택적 동의사항이 아닌 필수적 동의사항으로 잘못 동의를 받아왔다.

 

카카오페이-알리페이 간 업무 흐름도. 자료=금융감독원

◇ 강화된 개인정보보호법, 카카오페이 처벌 수위는?

 

카카오페이가 중국 알리페이에 542억건의 개인정보를 유출한 사실이 드러나면서 처벌 수위에도 관심이 모이고 있다. 그동안 개인정보를 유출한 기업에 대한 처벌이 피해규모에 비해 지나치게 약하다는 비판이 제기되면서 관련 법이 개정돼 처벌이 강화됐기 때문.

 

앞서 대법원은 지난 2020년 NH농협은행·KB국민카드·롯데카드의 개인정보 유출 사건에 대해 1000~1500만원의 벌금형을 선고한 원심을 확정 바 있다. 이들 업체는 2012~2013년 용역업체 코리아크레딧뷰로(KCB)를 통해 총 1억 건의 개인정보가 무단 유출되는 방치한 혐의를 받았다. 금융당국은 이들 금융사에 업무정지 3개월 및 관련 임직원의 해임권고·직무정지 등의 중징계를 처분했지만, 실질적인 과징금은 수천만원에 그쳐 ‘솜방망이 처벌’ 논란이 일었다.

 

이후 개인정보보호법 등이 개정되며 개인정보 유출에 대한 처벌이 점차 강화되기 시작했다. 실제 지난해 9월 개정 시행된 개인정보보호법은 과징금 상한액을 ‘위법행위 관련 매출액의 3%’에서 ‘전체 매출액의 3%’로 상향했다. 물론 위반행위와 관련 없는 매출액은 제외할 수 있지만, 관련이 없다는 사실은 기업이 직접 입증해야 한다.

 

이 때문에 최근 들어 개인정보 유출 사건 관련 과징금 규모는 수십~수백억원 규모로 확대되는 추세다. 앞서 지난 5월 23일 개인정보보호위원회는 카카오톡 오픈채팅방 이용자 개인정보 6만5719건이 유출된 사건과 관련해 카카오에 151억4196만원의 과징금을 부과했다. 카카오가 채팅방 참여자의 임시 아이디(ID)를 암호화하지 않아 손쉽게 개인정보 유출이 가능했기 때문. 이는 개인정보위가 국내 기업에 부과한 과징금 중 최고액이다.

 

개인정보위는 또한 같은 달 9일 스프린 골프 연습장 1위 업체인 골프존에 75억400만원의 과징금을 부과했다. 지난해 11월 22일부터 이틀간 이어진 랜선웨어 공격으로 서버 관리자의 계정 정보가 유출돼, 이를 통해 회원 221만명의 개인정보가 유출됐기 때문. 개인정보위는 골프존이 파일 서버 점검과 관리에 소홀해 피해가 커졌다며 처벌 이유를 설명했다. 

 

다만 카카오페이가 개인정보 유출 의혹에 정면 반박하고 있어 처벌이 결정되기까지는 시간이 걸릴 것으로 예상된다. 카카오페이는 알리페이에 대한 정보 제공은 “사용자의 동의가 필요 없는 업무 위수탁 관계에 따른 신용정보의 처리위탁 방식으로 이뤄졌다며, 철저한 암호화를 통해 전달된 만큼 원본 데이터를 유추해 낼 수 없다고 주장하고 있다. 

 

반면, 금감원은 카카오페이가 알리페이와 ‘NSF 스코어를 산출해 애플에 제공하는 업무’에 대한 위수탁 계약을 체결한 바 없다고 지적하고 있다. 또한 금감원은 “카카오페이가 고객 정보를 해시처리(암호화)하면서 함수구조를 지금까지 전혀 변경하지 않아 일반인도 공개된 암호화 프로그램을 사용해 복호화가 가능한 수준”이라며 ”암호화를 제대로 하더라도 관련법 상 가명정보에 해당해 고객동의가 필요하다“고 강조했다.

 

한편 금감원은 이번 사건과 관련해 면밀한 법률검토를 거쳐 제재절차를 신속 진행할 방침이다. 개인정보위 또한 개인정보보호법상 개인정보 국외 이전 의무 준수와 관련한 사실관계 확인을 위하여 카카오페이 등에 자료제출을 요구할 계획이라고 밝혔다.

 

 

임해원 기자

저작권자  이코리아 무단전재 및 재배포 금지

 

더 많은 기사는 '이코리아'(http://www.ekoreanews.co.kr/)