최근 금융감독원은 카카오페이의 해외결제부문에 대한 현장검사를 진행한 결과 그간 고객 동의 없이 고객신용정보를 제3자인 중국 알리페이에 제공했다고 밝혔다. 카카오페이는 제공된 정보는 식별이 불가능한 정보인 데다가 고객의 동의가 없어도 제공이 가능했던 부분이라고 즉각 반발했다.
끝나지 않았다. 금감원은 이후 알리페이와 카카오페이 간 계약서를 조목조목 훑어본 결과 카카오페이가 고객정보를 제공한 것은 엄연히 잘못된 일이라고 다시금 반박했다. 두 기관 간 논쟁의 핵심은 카카오페이와 알리페이, 애플이라는 두 해외 '공룡'간의 계약에서 기인했다.
금감원은 곧 카카오페이에 대한 제재절차에 착수할 계획이다.
카카오페이와 알리페이, 그리고 애플
카카오페이는 해외결제처 확대를 위한 파트너로 '알리페이'를 점찍었다. 중국이라는 거대한 대륙과 해외 여기저기로 나가는 중국인들을 핵심 고객으로 한다. 자연스럽게 전 세계에 결제망을 구축해놨다. 해외 결제 시장 점유율을 위해 기 설치된 알리페이의 인프라를 활용하는 것이 카카오페이에게는 이득이다. 게다가 알리페이는 카카오페이의 지분 32%를 보유한 2대주주라는 점도 이같은 제휴가 맺어진 이유로 꼽힌다.
카카오페이와 알리페이의 협력은 오프라인에서만 그치지 않았다. 온라인, 그것도 모바일 디바이스에서의 결제 점유율 확대를 위해 손잡았다. 애플의 앱 스토어에 카카오페이의 결제 기능을 추가하기로 하면서다. 애플 측이 알리페이의 시스템을 활용할 것을 권고하자 이를 수용 한 것이다. 애플 앱스토어에 카카오페이라는 결제수단 추가를 위해 카카오페이-알리페이-애플 이라는 3자간의 계약이 체결된 이유다.
간편결제업계 관계자는 "이미 알리페이의 결제 인프라를 보유하고 있던 애플 측이 카카오페이와 알리페이와의 관계를 알고 알리페이의 시스템을 활용할 것을 제안한 것으로 보인다"라며 "카카오페이 입장에서도 제휴사를 통해 비용을 줄일 수 있었고 결제 기능 탑재에도 시간을 줄일 수 있다고 판단한 것 같다"고 말했다.
카카오페이, 알리페이 그리고 애플과 3자 계약 형태가 이번 일의 '발단'이 됐다. 카카오페이 측은 애플의 앱스토어 내에서 결제기능을 지원하기 위해 이미 애플과 계약을 체결한 알리페이와 또 한번 손을 잡았다. 애플 측은 카카오페이가 애플 앱 스토어 내에서 결제기능을 제공하는 대신 NSF(애플에서 일괄결제 시스템 운영시 필요한 고객별 신용점수)를 산출할 수 있는 정보를 요청했다. 그리고 카카오페이 측은 이 정보를 알리페이를 통해 애플페이에 넘겨주기로 했다.
금감원은 이 계약을 바탕으로 카카오페이가 지난 2018년 4월부터 매일 총 542억건(4045만명)의 정보를 알리페이로 전송됐다고 설명했다.
금감원 "카카오페이, 너무 많은 데이터 보냈다"
쟁점은 카카오페이가 알리페이에게 어떠한 데이터를 넘겼느냐다. 금감원에 따르면 카카오페이는 알리페이에 '개인신용정보' 내역이라는 데이터를 보냈다. 애플이 원하던 데이터가 NSF산출을 위한 것이니 신용데이터가 필요했기 때문이다.
금감원이 지적하는 부분은 필요 이상으로 데이터를 넘겨줬다는 것이다. 금감원은 애플이 데이터를 원하는 이유가 NSF스코어 산출이었던 만큼, 산출 대상 고객의 신용정보만 제공해야 하는데도 불구하고 전체 고객의 신용정보를 제공해 왔다고 봤다.
게다가 카카오페이가 국내 고객이 해외가맹점에서 카카오페이로 결제했을 시 알리페이에 대금 정산을 위해서는 알리페이에 주문 및 결제정보만 공유하면 되는데 필요 이상의 데이터를 넘겨줬다는 게 금감원의 지적이다. 금감원은 카카오페이가 △고객식별정보(계정 ID, 핸드폰 번호, 이메일), △가입고객정보(가입일, 휴면계정 여부 등) △페이머니 거래내역(잔고, 충전·출금 횟수, 결제 여부 등) △카드등록 여부 등을 넘겼다고 봤다.
가장 핵심은 애플이 원하던 신용정보 데이터와 카카오페이가 알리페이의 대금정산을 위해 넘겨줬던 데이터를 결합하면 개개인을 특정할 수 있다는 게 금감원의 판단이다. 신용정보법 등 데이터를 다루는 법령을 바탕으로 하면 고객의 동의를 받아 데이터를 다른 기관에 넘기더라도 그 데이터는 암호화 작업을 거쳐 개개인을 식별할 수 없어야 한다. 그런데 넘긴 데이터의 양과 질이 너무 폭 넓다 보니 개개인을 특정할 수도 있다는 얘기다.
게다가 너무 일반적인 방법으로 데이터를 암호화했기 때문에 일반인도 이를 풀어낼 수 있다는 게 금감원의 설명이다.
카카오페이 "동의 필요 없는 데이터, 안전하게 넘겼다"
카카오페이는 카카오페이 사용자의 동의가 필요없는 데이터를 제공한데다가 철저하게 암호화 됐기 때문에 문제가 없다는 설명이다.
카카오페이 관계자는 "알리페이와 애플은 카카오페이가 제공하는 정보를 받아 마케팅 등 어떤 목적으로도 활용하지 못하도록 돼 있다"라며 "제공되는 정보는 무작위로 변경하는 암호화 방식을 철저하게 적용해 식별할 수 없는 조치가 이뤄졌다"고 반박했다.
이 때문에 금감원이 우려하는 데이터 결합을 바탕으로 하는 사용자 특정이 불가능하다는 게 카카오페이의 입장이다.
아울러 정보 제공은 고객의 동의가 필요하지 않은 수준에서 이뤄졌다는 게 카카오페이의 설명이다. 카카오페이 관계자는 "사용자의 동의가 필요 없는 업무 위수탁 방식으로 이뤄졌다"라며 "개인신용정보의 처리 위탁으로 데이터가 이전되는 경우 정보주체의 동의가 요구되지 않는 것으로 규정된다"고 말했다.
금감원 다시 반격 "위탁 계약도 없었다"
금감원은 카카오페이의 입장이 나오자 이를 다시 반박하며 공방전을 이어갔다. 카카오페이, 알리페이 그리고 애플간의 계약서를 하나하나 짚어가면서 반박을 이어나갔을 정도다.
일단 카카오페이가 데이터를 제공한 근거였던 업무 위탁과 관련해서는 '카카오페이-알리페이-애플' 간엔 데이터 제공 업무를 위탁하는 내용이 없었다고 지적했다. 애플의 NSF스코어 산출을 위한 정보 제공에 대한 고객 동의도 없었다.
고객 개인정보를 처리하는 업무를 타사로부터 위탁받았다고 하더라도 이는 금감원 사전 보고사항인데 카카오페이는 이를 제대로 보고하지 않았다고도 했다.
게다가 철저하게 암호화 해 제공한 데이터 결합을 통해 개개인 식별이 불가능하다는 카카오페이의 입장도 반박했다. 공개된 암호화 프로그램 중 가장 일반적인 프로그램을 사용한 데다 암호화를 위한 함수값을 단순하게 구성해 오랜기간 사용했다는 이유에서다. 이에 따라 일반인도 쉽게 원본데이터를 뽑아 낼 수 있다는 게 금감원의 입장이다.