[서울=뉴스핌] 한태희 기자 = 카카오페이가 중국 핀테크업체인 앤트 그룹 계열사 알리페이에 고객 동의 없이 개인신용정보를 넘겼다는 논란이 불거졌다.

금융당국은 카카오페이가 고객 동의를 받지 않고 개인신용정보를 제3자에게 전달했으니 개인정보보호법이나 신용정보의 이용 및 보호에 관한 법률(신용정보법) 등 관련 법 위반 소지가 있다고 보고 있다. 반면 카카오페이는 정상적인 고객 정보 위수탁이라며 불법적으로 정보를 전달하지 않았다는 입장이다.

13일 금융당국과 카카오페이에 따르면 금융감독원(금감원)은 지난 5월 카카오페이 외환거래 관련 현장 검사 중 고객 동의 절차 없이 개인신용정보가 카카오페이에서 알리페이로 넘어간 사실을 발견했다.

카카오페이와 알리페이 연결 고리에는 애플 앱스토어가 있다. 카카오페이는 2019년 애플 앱스토어에서 결제 수단을 지원했다. 애플은 카카오페이를 앱스토어 결제 수단으로 채택하는 과정에서 부정 결제 방지 등을 위해 알리페이 시스템을 활용할 것을 권고했다. 이에 따라 카카오페이와 알리페이, 애플 간 협력 관계가 구축됐다.

◆ 금융당국 "고객 동의 안 받았으니 법 위반"

카카오페이는 알리페이에 애플 앱스토어 결제 서비스를 제공하기 위해 개인신용정보 재가공 업무를 맡기는 과정에서 개인신용정보를 넘긴 것으로 알려졌다. 금융당국은 이 과정에서 고객 동의 절차가 없었다는 점에 주목하고 있다.

신용정보법에 따라 신용정보제공·이용자가 개인신용정보를 타인에게 제공하려면 해당 신용정보 주체로부터 미리 개별적으로 동의를 받아야 한다. 또 개인정보를 국외(알리페이)에 전달하려면 개인정보 보호법에 따라 정보 주체로부터 별도 동의를 받아야 한다.

금감원은 "카카오페이 검사를 진행한 결과 고객 동의 없이 개인신용정보를 넘겨준 사실을 적발했다"며 "관련 법 위반 여부를 검토 중"이라고 설명했다.

◆ 카카오페이 "신용정보 처리 업무 위탁은 동의 불필요"

카카오페이는 신용정보법을 근거로 법 위반은 없다고 해명하고 있다. 앱스토어 결제를 위해 필요한 정보 이전은 사용자 동의가 필요없는 카카오페이-알리페이-애플 간 업무 위수탁 관계에 따라 이뤄졌다는 설명이다.

산용정보법 제17조를 보면 신용정보회사는 제3자에게 신용정보 처리 업무를 위탁할 수 있다. 이 때 특정 신용정보주체를 식별할 수 있는 정보는 대통령령으로 정하는 바에 따라 암호화 등의 보호 조치를 해야 한다.

카카오페이는 "불법적 정보 제공을 한 바 없다"며 "해당 결제를 위해 꼭 필요한 정보 이전은 사용자 동의가 필요없는 카카오페이, 알리페이, 애플 간 업무 위수탁 관계에 따른 처리 방식으로 이뤄졌다"고 강조했다.

◆ 홍보·판매 권유 목적이면 동의 필요…"부정 결제 여부 확인 목적"

카카오페이 해명 대로 신용정보 처리 위탁일지라도 고객 동의가 필요한 경우가 있다. 홍보나 판매가 목적일 경우다. 개인정보보호법 제26조 3항에서는 위탁자(카카오페이)가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무 내용과 수탁자를 정보주체에게 알려한다.

이와 관련 카카오페이는 이번 사안은 홍보나 판매 목적이 아닌 부정 결제 여부 확인이 목적이라고 강조하고 있다.

카카오페이는 "알리페이와 애플은 카카오페이에서 제공하는 정보를 받아 마케팅 등 다른 어떤 목적으로도 활용하지 못하도록 돼 있다"며 "알리페이에 정보를 제공함에 있어서 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치하고 있다"고 설명했다. 이어 카카오페이는 "사용자를 특정할 수 없으며 원문 데이터를 유추해낼 수 없고 절대로 복호화 할 수 없는 일방향 암호화 방식이 적용돼 있어 부정 결제 탐지 이외 목적으로는 활용이 불가능하다"며 "향후 조사과정에서 적법한 절차를 통해 입장을 밝히고 성실하게 소명하겠다"고 부연했다.

ace@newspim.com