[포쓰저널=박소연 기자] 카카오페이가 4천만명이 넘는 회원들의 개인신용정보를 중국 알리바바그룹의 결제부문 계열사인 알리페이에 고객 동의 없이 넘겨 온 것으로 파악됐다. 

금융당국은 제재절차를 신속히 진행하는 한편, 유사사례에 대한 점검을 실시할 계획이다. 

금융감독원은 5~7월 카카오페이의 해외결제부문에 대한 현장검사 실시 과정에서 카카오페이가 가입 전체고객의 개인신용정보를 고객 동의 없이 알리페이에 제공한 사실을 확인했다고 13일 밝혔다. 

금감원에 따르면 카카오페이는 알리페이가 애플이 제휴 선결조건으로 요청한 NSF(Non-Sufficient-Funds) 스코어 산출을 명목으로 카카오페이 전체 고객의 신용정보를 요청하자, 해외결제를 이용하지 않은 고객까지 포함해 카카오페이에 가입한 전체고객의 개인신용정보를 고객 동의 없이 2018년 4월부터 지금까지 매일 1회, 총 542억건(누적 4045만명)을 알리페이에 제공했다. 

카카오페이는 알리페이와의 제휴를 통해, 국내 고객이 알리페이가 계약한 46개국, 8100만개 해외가맹점에서 카카오페이로 결제할 수 있는 서비스를 제공하고 있다. 

금감원은 "NSF 스코어 산출 명목이라면 관련모형 구축(2019년 6월) 이후에는 스코어 산출대상 고객의 신용정보만 제공해야 함에도, 전체고객의 신용정보를 계속 제공하고 있어 고객정보 오남용이 우려되는 상황"이라고 설명했다. 

국내 고객이 해외가맹점에서 카카오페이로 결제시 알리페이에 대금정산을 해주기 위해서는 알리페이와 주문·결제정보만 공유하면 된다.

그러나 카카오페이는 2019년 11월부터 지금까지 해외결제고객의 신용정보를 불필요하게 알리페이에 5억5000만건(누적)을 제공했다.

제공한 개인신용정보는 △카카오계정 아이디(ID) △마스킹한 이메일 또는 전화번호(정기결제시) △주문정보(시간·통화·금액·거래유형 등), 결제정보(시간·통화·금액·결제수단 등)다. 

카카오페이는 알리페이와의 제휴 초기에는 해외결제고객의 신용정보를 알리페이에 제공하지 않았던 것으로 나타났다.

카카오페이는 동의서 상 제공받는 자(알리페이)의 이용목적을 'PG업무(결제승인·정산) 수행'으로 사실과 다르게 기재해 '제공받는 자의 실제 이용목적'을 제대로 고지하지 않았다. 

고객이 동의하지 않으면 해외결제를 못하는 사안이 아님에도 선택적 동의사항이 아닌 필수적 동의사항으로 잘못 동의를 받아왔다. 

금감원은 카카오계정 ID 등을 고객 식별키로 활용할 경우, NSF 스코어 산출 명목으로 받은 정보와 결합해 활용 가능한 상황이라고 설명했다. 

금감원은 "향후 면밀한 법률검토를 거쳐 제재절차를 신속히 진행하는 한편, 유사사례에 대한 점검을 실시할 계획"이라며 "앞으로도 금융소비자 보호 등을 위해 불법적인 영업행위에 대해서는 검사 등을 통해 엄중히 대처하도록 하겠다"고 밝혔다. 

카카오페이는 알리페이 등에 고객정보를 제공한 것은 사실이지만 불법성은 없다는 입장이다.

카카오페이는 이날 설명자료를 내어 "알리페이나 애플에 고객 동의 없이 불법으로 정보를 제공했다는 것은 사실이 아니다"며 "해당 결제를 위해 꼭 필요한 정보 이전은 사용자의 동의가 필요없는 카카오페이-알리페이-애플 간의 업무 위수탁 관계에 따른 처리 위탁 방식으로 이뤄져 왔다"고 했다.

또 "알리페이에 정보를 제공함에 있어서 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치하고 있다"며 "사용자를 특정할 수 없으며, 원문 데이터를 유추해낼 수 없고, 절대로 복호화 할 수 없는 일방향 암호화 방식이 적용돼 있어 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다"고 설명했다. 

금감원은 이와 관련해 "카카오페이는 알리페이와 'NSF스코어를 산출해 애플에 제공하는 업무'에 대해 위수탁 계약을 체결한 바 없다"며 "철저히 비식별조치해 원본 데이터를 유추해낼 수 없다는 의견은 사실과 다르며, 해시처리를 제대로 하더라도 관련법상 가명정보에 해당해 고객동의가 필요하다"고 재반박 했다.