카카오페이가 전체 이용자 4000만명의 개인정보를 중국 알리페이로 유출했다. 이에 개인정보보호위원회(이하 개인정보위)는 카카오페이에 대해 과징금과 함께 시정‧공표명령을 내렸다.
개인정보위는 23일 제2회 전체회의 결과 브리핑을 통해 ‘개인정보 보호법’ 상 국외이전 규정을 위반한 카카오페이에 과징금 59억6800만원을 부과했다. 카카오페이의 개인정보를 알리페이를 통해 받은 애플에 대해서도 과징금 24억500만원 과태료 220만원을 부과했다. 다만 알리페이는 애플의 제3국의 수탁자로 인정받아 시정명령에 그쳤다.
개인정보위에 따르면 카카오페이는 전체 이용자 약 4000만명의 개인정보를 이용자 동의 없이 애플의 서비스 이용자 평가 목적으로 알리페이에 제공한 사실이 확인됐다. 이용자는 자신의 개인정보가 국외로 이전되고 있는지 알 수 없었다.
카카오페이는 애플의 수탁자인 알리페이가 NSF 점수 산출 모델을 구축하도록 전체 이용자의 개인정보를 2018년 4월~7월간 총 3회에 걸쳐 알리페이로 전송했다. 또 2019년 6월 27일부터 2024년 5월 21일까지 알리페이가 이용자별 NSF 점수를 산출할 수 있도록 매일 개인정보를 동의 없이 전송했다. 해당 기간 누적 전송 건수는 약 542억건에 달한다. NSF 점수는 애플 서비스 내 여러 건의 소액결제를 한 건으로 묶어 일괄 청구하는 경우 자금부족 가능성 등을 판단하기 위한 고객별 점수다.
카카오페이는 알리페이에게 이용자의 카카오페이 가입일, 계정 유지 기간, 신분증이 확인된 계정 여부, 충전 잔고, 최근 7일간 충전 건수, 결제‧송금 건수 등 자금 부족 가능성 상관관계가 있는 24개의 항목을 전송했다.
특히 애플에 카카오페이를 결제수단으로 등록한 이용자는 20% 미만에 불과했다. 즉, 애플 미이용자인 안드로이드 이용자까지 포함된 전체 이용자 정보를 국외이전 시킨 것이다. 이에 개인정보위는 개인정보를 동의 없이 애플(수탁자 알리페이)에 제공한 행위에 대해 적법 처리 근거 없는 국외이전으로 봐 과징금 59억6800만원과 함께 국외 이전 적법 요건을 갖추도록 시정명령했다. 또 모바일 앱을 포함한 홈페이지에 관련 사실을 공표하도록 명했다.
개인정보위는 애플에 대해 개인정보를 국외로 처리 위탁하며 정보주체에게 공개하거나 고지하지 않은 행위에 대해 과징금 24억500만원, 위탁 사실을 밝히지 않은 행위에 대해서는 과태료 220만원을 부과헀다. 또 개인정보 처리 수탁자인 알리페이에 대한 국외이전 사실을 개인정보처리방침 등에 공개하도록 시정명령했고, 모바일 앱을 포함한 홈페이지에 관련 사실을 공표하도록 명했다. 알리페이에 관해서는 NSF 점수 산출 모델을 파기하도록 시정명령했다.
전승재 개인정보위 조사조정국 조사3팀장은 “카카오페이의 과징금은 관련 법 상 최근 관련 사업 부문의 3개 연도 평균 매출액의 최대 3%에 범위 내에서 부과했다”며 “다만 위법성을 상중하로 나눴을 때 카카오페이는 알리페이와 애플 외에 개인정보가 유출된 곳이 없다는 점을 고려해 ‘중’ 수준으로 책정된 것”이라고 설명했다. 이어 “그럼에도 ‘하’가 아닌 이유는 매일 방대한 규모의 정보가 유출됐음에도 통제하지 못했다는 점이 고려된 것”이라고 말했다.
한편 개인정보위에 따르면 향후 카카오페이 건은 신용정보법 위반에도 저촉돼 금융위원회와 금융감독원 별도로 처분을 내릴 것으로 예상된다.
