금융감독원이 카카오페이에 대한 검사를 진행, 중국 최대 세계 최대 핀테크 기업인 중국 앤트그룹(알리) 계열사이자 2대 주주인 알리페이에 고객 개인신용정보를 동의없이 제공한 사실을 적발했다. 

13일 금융권에 따르면 금감원은 카카오페이가 고객의 동의를 구하지 않고 개인신용정보를 알리페이 측에 전달한 것을 불법으로 간주, 제재 수위를 고민하고 있다고 전해졌다. 금감원은 지난 4~5월 카카오페이의 외환거래 관련 검사에 들어가 이러한 사실을 적발했다고 밝혔다. 

금감원 관계자는 “알리페이에 개인신용정보를 고객 동의 없이 넘겨준 사실을 적발해 신용정보법 등 관련 법령 위반 여부를 검토 중이며, 위법 여부가 판가름 나는 대로 제재 절차에 돌입할 계획”이라고 말했다. 

카카오페이는 알리페이 측에 미국 애플 앱스토어 결제 서비스를 제공하기 위해 개인신용정보 재가공 업무를 맡기는 과정에서 개인신용정보를 넘긴 것으로 알려졌다. 하지만 정작 재가공된 정보는 애플 측에 제공되지 않은 것으로 알려졌다. 

‘신용정보의 이용 및 보호에 관한 법률(신용정보법)’에 따르면 수집된 개인신용정보를 타인 또는 다른 기관에 제공할 경우 반드시 당사자 동의를 받아야 한다. 또 알리페이의 경우 해외 회사이기 때문에 ‘개인정보 보호법’에 근거해 개인정보 국외 이전 동의도 받아야 한다. 그러나 금감원 검사에서 카카오페이느 이 두 가지 법령을 지키지 않은 것으로 드러났다. 

카카오페이는 이날 입장문을 내고 사실이 아니라며 해명에 나섰다. 카카오페이는 “알리페이나 애플에 고객 동의 없이 불법으로 정보를 제공한 적이 없다”면서 “필요한 정보 이전은 사용자의 동의가 필요 없는 카카오페이-알리페이-애플 간 업무 위·수탁 관계에 따른 처리 위탁방식으로 이뤄져 왔다”고 설명했다. 

신용정보법에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되는 경우 정보 주체의 동의가 요구되지 않는다는 게 카카오페이의 주장이다. 신용정보법 제17조 제1항에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되는 경우에는 정보주체의 동의가 요구되지 않는 것으로 규정하고 있다.

또한 카카오페이는 “알리페이에 정보를 제공할 때 무작위 코드로 변경하는 암호화 방식을 적용해 비식별 조치하고 있다”면서 “사용자를 특정할 수 없으며 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다”고 강조했다. 

이번 금감원 발표에 대해선 “향후 조사과정에서 적법한 절차를 통해 입장을 밝히고 성실하게 소명하겠다”고 말했다. 카카오페이는 누적 이용자수만 4000만명에 달하는 ‘국민페이’로 알려져 있어, 국내 고객의 개인정보 유출 피해가 상당할 것으로 예상된다. 

금감원은 카카오페이 해명과 달리 업무위수탁 범위를 넘어선 것으로 보고 있다. 최근 금감원 제재심 위원으로 활동했던 한 법조계 관계자는 국내 언론 매체와의 인터뷰에서 “정보 주체가 동의한 개인 정보 사용 범위를 넘으면 안 되고, 위탁 내용도 공개해야 하는데 카카오페이 사례가 여기에 해당하는지는 의문”이라고 지적했다. 

한편, 카카오페이가 알리페이에 개인신용정보를 제공한 배경을 두고 지배구조와 연관돼 있다는 분석이 나온다. 

카카오페이의 2대 주주는 ‘알리페이싱가포르홀딩스’로 지분 32.06%를 보유하고 있다. 알리페이싱가포르홀딩스는 앤트그룹의 알리페이 관련 계열사다. 또 카카오페이는 알리의 글로벌 모바일 결제 서비스인 ‘알리페이플러스’의 초창기 파트너로 최근까지도 알리페이와 긴밀한 협력 관계에 있는 것은 업계에 잘 알려진 사실이다. 

이에 카카오페이는 “애플이 세계 최고 핀테크 업체인 알리페이를 통해 애플이 원하는 방식으로 고객 정보를 재가공해 달라고 권유해 이를 따른 것”이라며 “알리페이가 주요 주주라서 (업무위수탁에 따른 개인정보 제공)한 것은 아니다”라고 설명했다.