카카오페이 "불법 제공 없었다" 금감원 "법 위반"…공방 가열

[이데일리 김국배 기자] ‘고객 개인정보 유출’을 둘러싸고 카카오페이와 금융당국 간 공방이 점점 치열해지고 있다. 카카오페이가 알리페이와 애플에 고객정보를 불법으로 넘긴 사실이 없다고 반박하자, 금융감독원이 재반박하면서 논란이 가열되는 양상이다.

15일 양측의 얘기를 종합하면, 공방의 핵심 쟁점은 ‘신용정보 처리 위탁 해당 여부’와 ‘원본 데이터 유추 가능 여부’다. 카카오페이는 중국 알리페이와 제휴를 맺고 국내 고객이 알리페이가 계약한 해외 가맹점에서 카카오페이로 결제할 수 있는 서비스를 제공해왔다.

카카오페이는 알리페이에 정보를 제공하는 것은 앱스토어 결제를 위해 필요한 정상적인 개인정보 처리 위탁에 해당하기 때문에 정보주체의 동의가 필요 없다는 입장이다. 개인 신용정보의 처리 위탁으로 정보가 이전되는 경우 동의가 불필요하다는 신용정보법 제17조 제1항을 근거로 제시했다. 카카오페이는 “정보 이전은 사용자의 동의가 필요없는 카카오페이-알리페이-애플 간의 업무 위수탁 관계에 따른 처리 위탁 방식으로 이뤄져 왔다”고 설명했다.

카카오페이-알리페이 해외 결제 업무 취급 구조. (자료=금감원)

하지만 금감원은 대법원 판례를 통해 “신용정보의 처리 위탁이 성립할 수 없다”고 반박하고 있다. 신용정보의 처리 위탁이 되기 위해선 ①위탁자 본인의 업무 처리와 이익을 위한 경우로서 ②수탁자는 위탁 사무 처리 대가 외에는 ‘독자적인 이익’을 가지지 않고 ③위탁자의 관리·감독 아래에서 처리한 경우 등에 해당해야 하는데 이번 사안은 그렇지 않다는 것이다.

금감원은 “애플스토어 입점은 카카오페이와 알리페이 모두에게 이익(PG사 수수료)이 되는 업무로 위탁자 본인의 이익을 위한 경우에 해당되지 않는다”고 지적했다. 또 “카카오페이가 알리페이를 관리·감독한 사실이 없다”며 “고객 신용점수(NSF) 평가 결과 등 업무 내역을 알리페이 측 보안을 이유로 확인도 못하는 상황”이라고 했다. 즉, 금감원은 이번 사안을 ‘처리 위탁’이 아닌 ‘제3자 제공’으로 보는 것이다. 신용정보법 해석을 놓고 다툼이 예상되는 대목이다.

원본 데이터 유추 가능 여부를 놓고도 정반대 입장이다. 카카오페이는 “사용자를 특정할 수 없으며 절대로 복호화할 수 없는 일방향 암호화 방식이 적용돼 부정 결제 탐지 외 목적으로 활용이 불가능하다”고 밝혔지만, 금감원은 “일반인도 복호화가 가능한 수준으로 원본 데이터 유추가 가능하다”고 평가 절하했다. 특히 “애초에 알리페이가 카카오페이에 개인 신용정보를 요청한 이유가 애플 아이디에 매칭하기 위한 것이고, 이를 위해선 복호화가 가능해야 하기 때문에 개인 신용정보를 식별하지 않는다는 주장은 모순”이라고 했다.

금감원은 법률 검토를 거쳐 제재 절차를 신속히 진행하겠다고 했지만, 금융당국 책임론도 피할 수 없어 보인다. 금감원은 이 문제에 대해 6년 동안 알지 못했다. 그 사이 4045만명의 개인 신용정보 542억건이 알리페이에 제공됐다.

카카오페이는 금감원의 현장 조사가 시작되면서 지난 5월 22일부터 알리페이 등에 정보 제공을 잠정 중단한 상태다. 금감원은 네이버페이, 토스페이를 대상으로도 해외 지급 결제 관련 서면 조사에 돌입했다.

정치권에서도 이 사안을 쟁점화하려는 움직임이 포착된다. 국회 기획재정위원회 위원장인 송언석 의원(국민의힘)은 15일 “카카오페이가 해외 결제를 이용하지 않는 고객들의 정보를 동의 없이 넘긴 행위는 명백히 신용정보법을 위반한 것으로 보인다”며 “정부는 카카오페이의 고객신용정보 유출에 대한 위법 여부를 명명백백하게 밝히고, 법에 따른 강력한 제재 조치를 취할 것을 촉구한다”고 지적했다.