금융감독원이 카카오페이를 대상으로 현장검사를 실시한 결과 그동안 고객 동의 없이 고객신용정보를 제3자인 알리페이에 제공한 사실을 적발했다. 금감원은 카카오페이에 대한 제재절차를 진행할 계획이다.
13일 금감원은 지난 5월부터 7월까지 실시한 ‘카카오페이 해외결제부문에 대한 현장검사 결과(잠정)’ 발표를 통해 카카오페이가 고객 동의 없이 신용정보를 알리페이에 제공한 사실을 확인했다고 밝혔다.
카카오페이는 알리페이(중국 최대 핀테크 기업 앤트그룹 계열사)와 제휴로 국내 고객이 알리페이 계약 해외가맹점에서 카카오페이를 통해 결제할 수 있는 서비스를 제공하고 있다.
카카오페이가 알리페이에 고객 개인신용정보를 넘긴 사유는 애플 앱스토어에 결제 서비스를 제공하기 위함이다. 알리페이는 애플이 제휴 선결조건으로 요청한 NSF 스코어(애플에서 일괄결제시스템 운영 시 필요한 고객별 신용점수) 산출 명목으로 카카오페이 전체 고객의 신용정보를 요청했다.
이에 카카오페이는 해외결제를 이용하지 않은 고객도 포함한 ‘카카오페이에 가입한 전체고객의 개인신용정보’를 고객 동의 없이 지난 2018년 4월부터 지금까지 매일 1회, 총 542억건(누적 4045만명) 알리페이에 제공했다.
금감원 관계자는 “NSF 스코어 산출 명목으로 관련모형 구축이라면, 지난 2019년 6월 이후에는 코어 산출대상 고객의 신용정보만 제공해야 한다”면서 “그럼에도 전체 고객의 신용정보를 계속 제공하고 있어 고객정보 오남용이 우려되는 상황”이라고 지적했다.
특히 카카오페이는 국내 고객이 해외가맹점에서 카카오페이로 결제할 경우 알리페이에 대금정산을 해주기 위해 알리페이와 주문 및 결제정보만 공유하면 되는데도, 지난 2019년 11월부터 지금까지 해외결제고객 신용정보를 불필요하게 알리페이에 5억5000만건(누적) 제공했다. 카카오페이는 알리페이와 제휴 초기에는 해외결제고객 신용정보를 제공하지 않은 것으로 확인됐다.
또한 금감원은 동의서 상 정보를 제공받는 자(알리페이)의 이용목적을 ‘PG업무(결제승인·정산) 수행’으로 사실과 다르게 기재해 ‘제공받는 자의 실제 이용목적’을 제대로 고지하지 않았다고 밝혔다. 아울러 고객이 동의하지 않아도 해외 결제를 할 수 있는 사안을 두고 ‘선택 동의사항’이 아닌 ‘필수 동의사항’으로 잘못 동의를 받아왔다고 강조했다.
다만 카카오페이는 개인신용정보 처리의 위탁 방식으로 정보가 이전될 경우, 정보 주체의 동의가 요구되지 않는다고 항변했다. 카카오페이는 이날 설명자료에서 “불법적 정보 제공을 한 바 없다”며 “앱스토어 결제 수단 제공을 위해 필요한 정보 이전은 사용자의 동의가 필요 없는 카카오페이-알리페이-애플 간 업무 위수탁 관계에 따른 처리 위탁 방식으로 이뤄져 왔다”고 반박했다.
그러면서 “알리페이에 정보를 제공할 때 무작위 코드로 변경하는 암호화 방식을 적용해 비식별 조치하고 있다”며 “사용자를 특정할 수 없을뿐더러 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다”고 덧붙였다.
한편 금감원은 향후 면밀한 법률검토를 거쳐 제재절차를 신속히 진행하고, 유사사례에 대한 점검도 실시할 계획이다.