"카카오페이, 알리페이에 6년 간 신용정보 유출"

금감원 "현장검사결과 정보주체 동의없이 제공...PG사 본래 업무 아냐"

금융입력 :2024/08/13 16:34    수정: 2024/08/13 21:27

금융감독원이 카카오페이가 6년 간 카카오페이 이용자의 개인신용정보를 알리페이에 제공한 사실이 드러났다고 밝혔다.

13일 금감원은 지난 5~7월 카카오페이 해외결제부문 현장검사 결과 카카오페이가 고객 동의 없이 개인신용정보를 알리페이에게 제공한 사실이 확인됐다고 밝혔다.

애플이 결제 시스템에 필요한 고객별 신용점수(NSF)를 요구하자 알리페이는 신용점수 산출을 명목으로 카카오페이에 고객 신용 정보를 요구했다. 이 과정서 카카오페이는 신용정보를 제공했다.

카카오페이

카카오페이는 업무 위·수탁으로 신용정보법상 문제가 없는 영역이라고 해명했지만, 금감원은 카카오페이는 전자지급결제대행(PG)업자로 신용점수 산출과는 무관한 업체로 업무 위·수탁으로 보기 어렵다고 반박했다.

금감원 관계자는 "업무 위·수탁 계약이 체결된 것도 없거니와 PG사인 카카오페이의 본래 업무도 아니기 때문에 신용정보 처리에 관한 업무 위·수탁을 따질 게재가 안된다"고 설명했다.

금감원은 또 NSF 모형 구축이 완료된 이후인 2019년 6월에 카카오페이가 동의 없이 개인 신용정보도 유출했다고 봤다. 모형 구축 완료 후에 특정 점수의 고객의 개인 신용정보를 요청 시에는 해당 개인 신용정보를 정보 주체 동의 하에 넘기면 되지만, 카카오페이를 이용하는 모든 이용자 정보가 넘어갔다는 것이 금감원 측 설명이다. 

금감원은 이 규모를 2018년 4월부터 현재까지로 6년 여간 누적 542억건(4천45만명) 수준으로 추산하고 있다. 

카카오페이는 암호화를 통해 개인을 식별할 수 없도록 해 문제가 없다고 했지만, 금감원은 암호화가 제대로 되지 않았다고 강조했다.

금감원 관계자는 "개인 신용정보를 암호화하게 되면 법상 가명정보에 해당하는데 가명정보 역시도 정보 주체 동의를 받아야 하는 것"이라며 "암호화도 엉성해 복호화가 됐다"고 지적했다.

관련기사

금감원은 제재심의위원회 등을 거칠 예정이지만, 현재 카카오페이의 해외 결제 과정서 생긴 문제점을 시정할 수 있는 방안을 논의 중이다. 관계자는 "실제 제재가 확정되기 전까지 시간이 걸리다 보니 신용정보 유출 문제가 있는 서비스에 대해 중지를 어떻게 할지 논의 중"이라고 말했다.

카카오페이 측은 "향후 조사과정에서 적법한 절차를 통해 입장을 밝히고 성실하게 소명할 것"이라고 밝혔다.