카카오페이가 고객 동의를 받지 않고 4045만명의 개인 신용 정보를 중국 알리바바 산하 금융 결제 업체인 알리페이에 제공했다가 금융감독원에 적발됐다. 2018년 4월부터 6년여 동안 한 번이라도 카카오페이를 이용한 사람 전원의 카카오페이 ID와 휴대전화 번호, 이메일 주소, 카카오페이 가입·거래 내역이 넘어갔다는 것이다.
금감원은 이 같은 내용이 담긴 ‘카카오페이 해외 결제 부문에 대한 현장 검사 결과’를 13일 발표했다. 금감원은 카카오페이가 회원 개인 신용 정보를 매일 한 차례씩 암호화한 형태로 알리페이 측에 제공했다고 했다. 누적으로 따지면 542억건에 달한다. 금감원 관계자는 “카카오페이의 월간 이용자 수가 2500만명가량 되는데, 휴면·탈퇴 고객 수까지 더하면 4000만명 이상의 정보가 적어도 한 번씩은 넘어간 셈”이라고 말했다.
알리페이는 애플·구글·알리익스프레스·테무 등 46국 온·오프라인 가맹점 8100만곳의 금융 결제를 지원하는 업체다. 알리페이는 카카오페이 주식 32%를 보유한 2대 주주이기도 하다. 카카오페이는 자체 해외 결제망이 없기 때문에 알리페이와 제휴해 해외 결제 서비스를 제공하고 있다. 그런데 카카오페이는 해외 결제를 이용하지 않은 고객들의 신용 정보도 암호화해서 알리페이에 넘긴 것이다.
금감원은 카카오페이의 정보 암호화 수준도 문제 삼았다. 금감원이 테스트해 보니 인터넷에서 쉽게 구할 수 있는 암호 해독 프로그램으로 이름을 제외한 휴대전화 번호와 카카오페이 아이디 등을 그대로 복구했다는 것이다.
카카오페이는 “불법적인 정보 제공은 없었다”며 “추후 조사 과정에서 소명할 것”이라고 했다. 금감원은 면밀한 법률 검토를 거쳐 제재 절차를 신속히 진행하는 한편, 유사 사례를 추가 점검하겠다고 밝혔다.
카카오페이가 알리페이에 암호화된 개인 신용 정보를 넘긴 것 자체가 불법은 아니다. 카카오페이는 국내 소비자들이 많이 이용하는 애플이 “애플 앱스토어를 이용하는 고객의 신용도를 평가하는 시스템을 갖춰 달라”고 요구하자 알리페이에 시스템 구축을 의뢰했고, 이 과정에서 고객 정보를 제공한 것이다.
문제는 카카오페이가 ①고객의 동의를 받지 않은 상태에서 ②알리페이 측과 구체적인 계약도 없이 ③해외 결제를 이용하지 않은 고객 정보까지 불필요하게 많은 정보를 넘겼다는 것이다. 이에 대해 카카오페이 관계자는 “해외 결제 잠재 고객의 정보를 제공한 것으로, 애플이 요구했기 때문”이라고 해명했다.
◇계약도 없이 고객 정보 제공
카카오페이 측은 알리페이와 계약을 맺었고, 암호화 수준이 높아서 개인 정보를 식별하기 어렵다고 해명했다. 카카오페이가 해외 결제 서비스 제공을 위해 알리페이와 고객 정보 위·수탁 계약을 맺고 있고, 제공되는 정보는 철저히 암호화돼 있기 때문에 정기적으로 결제하는 고객의 신용도 탐지 목적 외에 다른 목적으로 활용될 수 없다는 것이다.
카카오페이와 알리페이는 신용도 확인 시스템 구축을 위해 개인 신용 정보 처리 위·수탁 관계를 맺고 있고, 이 경우엔 개인 신용 정보가 이전되는 경우에도 고객 동의가 필요하지 않다는 것이 카카오페이의 주장이다. 신용정보법 제17조 1항은 ‘개인 신용 정보의 처리 위탁으로 정보가 제공되는 경우 정보 주체의 동의가 요구되지 않는다’고 규정하고 있다.
금감원은 이를 정면 반박했다. 지난 5~7월 이뤄진 카카오페이 현장 검사에서 카카오페이가 언급한 위·수탁 계약을 맺었다는 사실을 뒷받침할 만한 아무런 근거도 찾지 못했다는 것이다. 금감원 관계자는 “양 사가 체결한 약정서가 있긴 하지만 해외 결제 서비스 제공과 관련한 양 사의 역할과 책임에 대해 정하고 있을 뿐이며, 신용 점수 산출 시스템 관련 위·수탁 내용은 전혀 기술돼 있지 않다”고 했다.
이날 카카오페이는 “알리페이에 정보를 제공할 때 무작위 코드로 변경하는 암호화 방식을 적용하고 있다”면서 “사용자를 특정할 수 없으며, 신용도 탐지 이외 목적으로는 활용이 불가능하다”고 주장했다. 암호화돼 알리페이 측에 제공된 고객의 개인 정보는 원자료를 갖고 있는 카카오페이만 식별할 수 있다는 것이다.
하지만 금감원은 카카오페이의 개인 신용 정보 암호화 수준이 정교하지 않았다고 지적했다. 일반인들도 충분히 암호를 해제할 수 있는 수준이라는 것이다. 금감원 실무 담당자들은 검사 과정에서 카카오페이의 암호를 해제한 것으로 전해졌다. 암호 해제에 성공한 담당자는 컴퓨터 관련 전공 출신도 아닌 것으로 알려졌다. 한 금감원 관계자는 “카카오페이의 암호화 방식은 매우 단순한 수준”이라며 “구글 등 온라인 사이트에 일반인들도 접근 가능한 ‘암호 해제 프로그램’이 있는데, 해당 프로그램을 이용해서 암호를 해제한 직원도 있다”고 했다.
◇해외 결제한 고객 정보도 과다 제공
카카오페이는 회원 전원의 개인 신용 정보 유출 건과 별개로 실제 해외 결제를 이용한 고객의 정보를 무분별하게 유출했다는 지적도 받고 있다. 예를 들어, 중국에서 카카오페이로 결제하면 알리페이 결제 시스템을 반드시 거쳐야 하는데, 이때 주문·결제 정보만 알리페이에 넘겨주는 데 그치지 않고 카카오 계정 아이디와 불완전한 형태의 이메일, 전화번호 정보를 함께 넘겨줬다는 것이다. 금감원은 이 같은 형태로 2019년 11월부터 총 5억5000만건이 알리페이에 제공됐다고 밝혔다. 금감원 관계자는 “카카오페이가 중국 내 결제를 위해 알리페이를 사용했던 초기에는 단순 주문 정보만 줬는데, 이후 불필요하게 제공 정보가 확대됐다”고 말했다.
카카오 계정 ID를 알리페이에 제공하는 것은 고객의 선택적 동의 사항이다. ID를 제공하지 않아도 해외 결제에 문제가 없다. 그런데 카카오페이는 해외 결제 이용 고객들을 상대로 카카오 계정 ID를 알리페이에 제공해야만 서비스를 이용할 수 있는 필수적 동의 사항으로 안내했다고 금감원은 밝혔다.