카카오페이가 고객 동의 없이 542억 건의 신용정보를 중국 알리페이에 제공한 사실이 적발됐다. 핸드폰 번호와 이메일, 등록카드 거래내역 등이 함께 전달되면서 고객정보 오남용이 우려되는 상황이다.
13일 금융감독원은 지난 5~7월 카카오페이의 해외결제부문 현장검사를 실시한 결과 카카오페이가 고객 동의 없이 신용정보를 알리페이에 제공한 사실을 확인했다고 밝혔다.
카카오페이는 해외결제를 이용하지 않은 고객을 포함해 가입자 전체의 개인신용정보를 고객 동의 없이 알리페이에 제공했다. 제공된 정보는 △카카오계정 ID·핸드폰번호·이메일 △카카오페이 가입내역 △카카오페이 거래내역(잔고·충전·출금·결제·송금내역) 등이다. 2018년 4월부터 현재까지 매일 1회, 누적 4045만명의 정보가 542억건 전달됐다.
해외결제 이용고객의 경우 불필요한 정보까지 함께 제공했다. △카카오계정 ID △주문정보(시간·통화·금액·거래유형) △결제정보(시간·통화·금액·결제수단) 등이 전달됐다. 이들 정보는 2019년 11월부터 현재까지 해외결제 이용 시마다 제공돼 총 5억5000건의 피해가 발생했다.
카카오페이는 중국 알리페이와 제휴를 맺고, 알리페이가 계약한 해외가맹점에서 카카오페이로 결제할 수 있는 서비스를 제공하고 있다. 알리페이는 중국 최대 온라인 플랫폼 '알리익스프레스'를 소유한 알리바바 그룹의 결제부문 계열사다. 총 46개국에 8100만 개의 가맹점을 유치하고 있다.
카카오페이가 해외결제를 이용하지 않은 고객들의 정보까지 전달한 이유는 'NSF 스코어'를 산출하기 위해서다. NSF 스코어는 애플에서 일괄결제시스템을 운영하는 데 필요한 고객별 신용점수인데, 애플과 제휴하려면 해당 정보를 제공해야 한다.
알리페이는 애플 앱스토어 제휴를 위해 카카오페이에 전체 고객의 신용정보를 요청했고, 카카오페이는 2019년 4월부터 지금까지 매일 1회 해당 정보를 전달했다. 금감원은 해외결제를 이용하지 않은 고객의 정보까지 제공한 점이 과도하다고 지적했다.
금감원은 "NSF 스코어 산출 명목이라면 2019년 6월 관련 모형을 구축한 후에는 스코어 산출대상 고객의 신용정보만 제공해야 함에도 전체 고객의 신용정보를 계속 제공했다"며 "고객정보 오남용이 우려되는 상황"이라고 꼬집었다.
아울러 해외결제를 이용한 고객의 정보 전달도 과도했다. 2019년 11월부터 카카오계정 ID와 이메일, 주문정보, 결제정보 등 5억5000건을 제공했는데, 대금 정산에 필요한 주문·결제 정보 이상이라는 게 금감원의 시각이다. 실제 카카오페이도 알리페이와 제휴 초기에는 해당 정보를 제공하지 않았다.
고객의 동의를 받고 진행하긴 했지만, 이를 '선택적 동의사항'이 아닌 '필수적 동의사항'으로 설정한 점이 문제로 지적됐다. 이렇게 제공된 정보를 결합해 사용하면 피해 정도를 가늠하기조차 어려워진다.
금감원은 앞으로 법률검토를 거쳐 제재 절차를 신속히 진행할 계획이다. 유사사례에 대한 점검도 진행한다.
한편 카카오페이는 이날 "애플의 앱스토어 결제 수단 제공을 위한 정상적 고객정보 위수탁"이며 "철저한 암호화를 통해 전달해 부정 결제 여부 확인 외 활용이 불가능하다"고 즉시 반박했다.
금감원은 이에 대해서도 "카카오페이가 알리페이와 체결한 약정서에 NSF 스코어 산출·제공에 대한 내용은 전혀 기술되어 있지 않다"며 고객 동의 없이 진행한 위반 사항임을 명확히 했다.
카카오페이의 암호화 주장에 대해선 "일반인도 공개된 암호화 프로그램으로 복호화가 가능한 수준"이라며 "암호화를 제대로 하더라도 관련법상 가명 정보에 해당해 고객 동의가 필요하다"고 지적했다.
