카카오페이가 약 4000만 명에 달하는 고객의 개인신용정보를 중국 최대 핀테크 업체인 앤트그룹의 계열사 알리페이로 불법적으로 전달한 사실이 금융감독원의 검사에서 적발됐다. 금융감독원은 이 정보가 고객의 동의 없이 불법적으로 넘어갔다고 판단하고, 제재 수위를 검토하고 있다. 또한, 다른 국내 간편 결제 업체들도 비슷한 문제가 없는지 확인할 방침이다.
카카오페이가 알리페이에 고객 개인신용정보를 넘긴 배경에는 애플 앱스토어 결제 서비스를 제공하기 위한 필요성이 있었다고 전해졌다. 애플은 자사 앱스토어에 결제 서비스를 제공하려는 업체들에게 고객과 관련된 데이터를 요구하며, 카카오페이는 이 데이터를 재가공하는 업무를 알리페이에 위탁하는 과정에서 고객 정보가 전달된 것으로 알려졌다. 그러나, 정작 재가공된 정보는 애플 측에 제공되지 않은 것으로 밝혀졌다.
현행 ‘신용정보의 이용 및 보호에 관한 법률(신용정보법)’에 따르면, 개인신용정보를 수집하거나 이를 다른 곳에 제공할 경우 반드시 당사자의 동의를 받아야 한다. 또한, ‘개인정보 보호법’에 따르면, 해외에 본사를 둔 회사에 개인정보를 제공할 경우 국외 이전 동의도 필요하다. 그러나 카카오페이는 이러한 절차를 지키지 않은 것으로 드러났다.
이에 대해 카카오페이 측은 “알리페이와의 업무위수탁 계약 관계에서 정보를 제공했으며, 이는 법 위반이 아니다”라고 해명했다. 카카오페이는 신용정보법 제17조 제1항에 따라, 정보처리 위탁의 경우 고객의 동의를 요구하지 않는다고 주장했다. 하지만 금융감독원은 이번 사건이 업무위수탁의 범위를 넘어섰다고 보고 있다. 한 법조계 관계자는 “업무위수탁은 전자상거래 업체가 택배사에 고객 주소를 제공하는 것처럼, 본업과 관련해 개인 정보를 위탁하는 경우에만 해당된다”며, “카카오페이의 사례가 여기에 해당하는지는 의문”이라고 밝혔다.
알리페이에 넘어간 개인 정보의 양과 종류는 정확히 알려지지 않았으나, 카카오페이의 누적 이용자가 4000만 명을 넘고, 7월 기준 월간 활성 사용자(MAU)가 2470만 명에 달하는 점을 고려하면 그 규모가 상당할 것으로 예상된다. 카카오페이는 마이데이터 사업자로서 민감한 고객 금융 정보도 보유하고 있어, 이번 사건의 파장이 클 것으로 보인다.
한편, 카카오페이의 2대 주주는 지분 32.06%를 보유한 ‘알리페이싱가포르홀딩스’로, 앤트그룹의 계열사다. 이에 일각에서는 이번 사건이 카카오페이의 지배구조와 관련이 있을 수 있다는 분석도 나왔다. 그러나 카카오페이 측은 “애플이 세계 최고의 핀테크 업체인 알리페이를 통해 고객 정보를 재가공해달라고 요청했을 뿐, 알리페이가 주요 주주라서 그런 것은 아니다”라고 해명했다.
금융당국은 이번 사건이 신용정보법 위반으로 확인될 경우, 중징계까지 가능할 것이라고 밝혔다. 또 다른 간편 결제 업체들도 유사한 개인정보 유출 사례가 없는지 철저히 조사할 방침이다.
About the Author
