카카오페이 “알리페이 정보제공 위법 아니야”… 금감원 “위법 맞아” 재반박

금융감독원이 카카오페이의 알리페이 정보 제공이 합법이라는 주장을 정면으로 재반박했다. 카카오페이와 알리페이 간 계약서상 'NSF스코어'(애플에서 요구하는 고객별 신용점수) 산출 및 제공 업무를 위탁하는 내용이 존재하지 않고, 카카오페이의 약관이나 공시에도 이 같은 내용이 전혀 들어있지 않다는 주장이다.

금감원은 14일 카카오페이와 알리페이 간 체결된 모든 계약서와 회원가입 약관을 철저히 조사한 결과, 고객 정보를 위탁할 수 있는 근거가 없다고 밝혔다. 특히 카카오페이가 주장한 'NSF스코어 산출 및 제공 업무' 위탁에 대한 내용은 어디에도 존재하지 않았다고 강조했다.
또한 금감원은 카카오페이가 사용한 암호화 방식이 일반인도 쉽게 복호화(復號化)할 수 있는 수준이라며 카카오페이의 “철저한 암호화를 통해 전달했다”는 주장도 반박했다. 금감원은 카카오페이가 공개된 암호화 프로그램 중 가장 일반적인 SHA256을 사용했으며, 추가적인 보안조치 없이 단순히 정보를 해시 처리했다고 지적했다.

금감원 관계자는 "알리페이가 카카오페이에 개인신용정보를 요청한 이유는 해당 정보를 애플 ID와 매칭하기 위한 것"이라며 "이는 제공된 개인식별정보의 복호화가 가능해야만 실현 가능한 목적"이라고 설명했다.
금감원은 앞서 전날 카카오그룹 산하 간편결제사인 카카오페이가 해외 가맹점 결제 서비스 제공을 위해 제휴한 중국 알리페이 쪽에 2018년 4월부터 최근까지 이용자 동의를 받지 않고 4000만 명 이상의 개인신용정보 542억 건을 제공한 사실을 확인했다고 밝힌 바 있다. 사실상 전체 가입자의 정보가 넘어간 상황이다.

카카오페이 측은 이에 대해 "불법적 정보제공을 한 바 없다"면서 앱스토어 결제 수단 제공을 위해 필요한 정보 이전은 사용자의 동의가 필요 없는 카카오페이-알리페이-애플 간 업무 위수탁 관계에 따른 처리 위탁방식으로 이뤄져 왔다고 해명했다. 신용정보법에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되는 경우 정보 주체의 동의가 요구되지 않는다는 게 카카오페이의 주장이다.

이에 대해 금감원은 다시 카카오페이의 주장을 재반박하면서 이번 사태를 계기로 네이버페이, 토스페이 등 해외 결제 기능이 있는 대형 결제대행업체(PG사)를 대상으로 서면 검사에 착수하겠다고 밝혔다. 카카오페이의 대규모 개인신용정보 유출을 계기로 현황 점검을 확대한다는 취지로 해석된다.


김다정 글로벌이코노믹 기자 2426w@g-enews.com