[일요시사 취재1팀] 김철준 기자 = 올해 카카오그룹은 계속 여기저기서 논란이 발생하고 있다. 이번엔 카카오페이서 개인정보 불법 제공이 밝혀졌다. 카카오페이는 이번 사건에 대해 적법적인 정보 위수탁이라고 해명했다. 하지만 금융감독원(이하 금감원)은 고삐를 늦출 생각이 없어 보인다. 지난 5월에 개인정보 유출로 국내 최대 과징금 철퇴를 맞은 가운데 카카오와 개인정보보호위원회가 행정소송을 예고한 가운데 이번에는 카카오페이와 금감원의 소송이 이뤄질 것으로 전망된다.

카카오 그룹에 악재가 또 겹쳤다. 이번엔 카카오페이다. 카카오페이서 고객의 동의 없이 고객정보를 알리페이와 애플에 넘긴 사실이 적발됐기 때문이다. 카카오페이는 불법으로 정보를 제공한 것이 아니라는 입장을 내세우지만 금감원과 개인정보보호위원회(이하 개인정보위)의 제재는 이어질 것으로 전망된다.

최대 과징금 
실제로 맞나

지난 4~7월 금감원서 실시한 현장감사 결과에 따르면 카카오페이가 해외 결제 부문서 고객 동의 없이 제3자인 알리페이에 개인정보를 제공했다.

조사 결과에 따르면 카카오페이는 지난 2018년 4월부터 현재까지 매일 1차례 누적 4045만명의 카카오 계정 ID와 휴대전화 번호, 이메일, 카카오페이 가입 명세, 카카오페이 거래 명세(잔고, 충전, 출금, 결제, 송금 등) 등 542억 건의 개인신용정보를 알리페이에 제공했다.

금융당국에 따르면 카카오페이가 알리페이 측에 고객 개인신용정보를 넘긴 것은 애플 앱스토어에 결제 서비스를 제공하기 위해서다. 애플은 자사 앱스토어 입점을 원하는 결제 업체에게 고객과 관련된 데이터를 요구한다.

이때 해당 데이터는 고객 개인정보 등을 바탕으로 재가공해서 만들어지는데, 카카오페이가 이 재가공 업무를 알리페이 계열사에 맡기면서 개인신용정보가 넘어간 것이다. 하지만 정작 재가공된 정보는 애플 측에 제공되지 않은 것으로 알려졌다. 

금감원에 따르면 카카오페이가 위반한 법은 ▲신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) ▲개인정보보호법 등 2가지다. 

신용정보법 제32조에는 신용정보제공·이용자가 개인신용정보를 타인에게 제공하려는 경우에는 대통령령으로 정하는 바에 따라 해당 신용정보 주체로부터 개인신용정보를 제공할 때마다 미리 개별적으로 동의를 받아야 한다고 규정하고 있다.

개인정보보호법에 따르면 개인정보의 국외 이전은 원칙적으로 금지하되 예외적으로 ▲정보 주체로부터 국외 이전에 관한 별도의 동의를 받은 경우 ▲법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우 ▲정보주체와의 계약 체결 및 이행을 위해 개인정보의 처리위탁·보관이 필요한 경우(이전되는 개인정보 항목, 개인정보가 이전되는 국가, 시기 및 방법 등을 알려야 함) ▲개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 개인정보보호법이 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우에는 개인정보를 국외로 이전할 수 있도록 규정한다.

알리페이·애플에 고객정보 넘겨
6년간 매일 제공…금감원 감사 적발

신용정보법과 개인정보보호법 모두 ‘정보 주체의 동의’가 있어야 한다고 규정하고 있다. 금감원은 카카오페이가 개인정보를 제공하면서도 전혀 동의를 받지 않은 것을 불법으로 보고 있다. 하지만 카카오페이는 전혀 불법적인 개인정보 제공이 아니라는 입장이다.

카카오페이는 불법적으로 개인정보를 제공했다는 보도가 잇따르자 애플 앱스토어 결제 수단 제공을 위해 정상적으로 고객 정보 위수탁한 것이라고 반박했다.

카카오페이 관계자는 “카카오페이는 알리페이와 애플과의 3자 협력을 통해 애플 앱스토어서 결제가 가능하도록 하는 데 필수적으로 필요한 부정결제 방지 절차를 마련했다”며 “높은 수준의 부정결제 방지 프로세스를 요구하는 애플은 글로벌 최대 핀테크 기업 알리페이와 오래전부터 협력 관계를 구축해 왔고 카카오페이를 앱스토어 결제 수단으로 채택하는 것에 있어 알리페이의 시스템을 활용할 것을 권고해 이에 따라 3자 간 협력관계를 구축하게 됐다”고 설명했다.

그러면서 “이 과정서 해당 결제를 위해 꼭 필요한 정보 이전은 사용자의 동의가 필요없는 카카오페이-알리페이-애플 간의 업무 위수탁 관계에 따른 처리 위탁 방식으로 이뤄져 왔다”고 부연했다.

신용정보법 제17조 제1항서 개인신용정보의 처리 위탁으로 정보가 이전되는 경우에는 정보 주체의 동의가 요구되지 않는 것으로 규정하는 점을 들어 불법이 아니라고 주장한 것이다. 처리 위탁은 위탁자(카카오페이)가 원활한 업무처리를 위해 제3자에게 정보를 제공하는 것이다. 이는 사용자 동의가 불필요하다.

게다가 철저한 암호화를 통해 전달해 마케팅 등 다른 어떤 목적으로도 제공한 정보를 활용할 수 없다고 강조하기도 했다. 

어떤 목적
사용됐나

카카오페이 관계자는 “카카오페이는 알리페이에 정보를 제공함에 있어 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치를 하고 있다”며 “사용자를 특정할 수 없으며, 원문 데이터를 유추해낼 수 없고, 절대로 복호화할 수 없는 일방향 암호화 방식이 적용돼있어 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다”고 말했다.

이어 “카카오페이는 지난 5월 금감원의 현장 검사 이후 지금까지 어떠한 공식적인 검사 의견서도 받지 못했으며, 이 같은 내용이 언론에 먼저 알려지게 되어 매우 당황스럽게 생각한다”며 “향후 조사 과정서 적법한 절차를 통해 입장을 밝히고 성실하게 소명할 것”이라고 전했다.

카카오페이의 이 같은 해명에도 금감원과 개인정보위는 카카오페이에 관한 제재를 이어간다는 입장이다.

임종건 금융감독원 외환감독국장은 “익명 정보가 돼야 동의가 불필요한 것”이라며 “암호화를 했다고 하더라도 추가 정보로 개인 식별이 가능하면 가명 정보로 볼 수 있어 동의를 받아야 하는 게 맞다”고 지적했다.

개인정보위는 개인정보보호법상 개인정보 국외 이전 의무 준수와 관련한 사실관계 확인을 위해 카카오페이 등에 자료제출을 요구할 계획이다. 이후 카카오페이가 제출한 자료에 대한 면밀한 검토를 거친 후 조사 착수 여부를 결정한다는 방침이다.

카카오그룹은 지난 5월에도 개인정보 유출로 인해 국내 최대 과징금 철퇴를 맞기도 한 만큼 이번 개인정보 보호를 전혀 못하고 있다는 비판적 여론이 크게 나오고 있다.

앞서 개인정보위는 지난해 3월 카카오톡 ‘오픈채팅’ 이용자의 개인정보가 불법 거래되고 있다는 언론 보도에 따라 조사에 착수했다. 당시 익명 채팅인 오픈채팅방을 통해 개인정보가 유출됐다는 점에서 논란이 됐다. 

과징금 
맞고 또…

오픈채팅에선 일반 채팅에 보이는 실명이나 전화번호가 뜨지 않고, 개인이 설정한 닉네임만 보인다. 다만 시스템서 이용자를 식별하기 위한 고유 ID가 주어진다. 문제는 오픈채팅방의 ID 뒷자리가 일반 채팅방서 주어지는 회원일련번호 일부와 같았다는 점이다.

해커는 우선 카카오톡 오픈채팅방의 보안 취약점을 파고들어 오픈채팅 이용자들의 고유 ID를 확보했다. 다음으로 카카오톡 ‘친구 추가’서 휴대전화번호를 무작위로 대량 등록해 일반 채팅 이용자 정보도 확보했다. 이들 정보를 회원 일련번호를 기준으로 대조해 서로 겹치는 이용자들을 찾아냈다.

불법 프로그램으로 이 과정을 반복해 카카오톡 이용자들의 개인정보를 생성·판매할 수 있었다.

개인정보위는 카카오가 서비스 설계·운영 과정서 ‘안전조치 의무’를 위반했다고 지적하며 개인정보보호 법규를 위반한 카카오에 대해 과징금 151억4196만원과 과태료 780만원을 부과하고 시정명령과 처분 결과를 공표하기로 의결했다.

개인정보위 한 관계자는 “2020년 8월 이전 만들어진 오픈채팅방은 참여자의 임시 ID를 암호화하지 않아 회원일련번호를 쉽게 확인할 수 있었고 오픈채팅방 공지 기능에서도 편법으로 암호화된 ID의 일련번호 역시 확인할 수 있었다”며 “또 카카오가 오픈채팅방 이용자의 개인정보가 유출된 사실을 인지하고도 신고와 이용자 통지를 하지 않아 ‘유출 신고·통지 의무’도 위반했다고 판단해 해당 과징금을 부과했다”고 설명했다..

당시 카카오는 현재 모든 온라인 서비스에 이용되고 있는 회원 일련번호 자체는 숫자로 된 문자열이어서 개인정보로 보기 어렵다고 반박했다. 그 자체로는 개인을 식별할 수 없다는 취지였다. 카카오는 개인정보위의 제재 직후 행정소송을 포함한 적극적인 대응방안을 찾겠다고 밝힌 바 있다. 

사측 “위수탁이라 적법”
당국 “동의 없어 불법”

개인정보위도 카카오와 진행할 행정소송 준비에 돌입했다. 다만 카카오에 처분서를 아직 전달하진 않은 상황이다.

서정아 개인정보위 대변인은 “법적 표현이나 법리적인 부분에 완성도를 높이고 있어 처분서 전달에 시간이 걸리고 있다”면서 “빠른 시일 내에 마무리할 수 있으면 좋겠지만, 시간에 쫓겨 서둘러 만들 생각은 없다”고 말했다.

소송 전담팀도 조만간 꾸려질 전망이다. 최 부위원장은 “소송 전담 변호사를 한 명 채용해서 소송 전담할 수 있도록 하겠다”고 부연했다.

카카오와 개인정보위의 행정소송은 조만간 진행될 예정이다. 회사는 통지, 공고 등으로 행정처분을 인지한 날부터 90일 이내에 행정소송을 내야 하는데 8월18일 기준 이미 88일이 지났기 때문이다. 법조계에서는 해당 재판이 개인정보보호 관련해 정부의 제재가 과학적 발전을 따라갈 수 있는지 판단할 중요한 갈림길로 보고 있다.

한 보안 전문 형사 변호사는 “해당 사건서 쟁점이 될 일련번호의 개인정보 유무 등은 법률이 미처 따라오지 못한 현실을 보여주는 것”이라며 “이번 판결로 선례가 생기면 향후 재판에도 지대한 영향을 미칠 것”이라고 봤다.

정보보호 관련 전문가들은 오픈채팅방 개인정보 유출 사건의 결과가 이번 카카오페이 개인정보 불법 제공 사건에도 영향을 미칠 것으로 보고 있다.

한국정보보호학회 한 관계자는 “오픈채팅방 개인정보 유출과 이번 사건은 일련의 암호화가 쟁점인 것이 같다”며 “오픈채팅방 사건서 카카오의 안전관리 의무 위반이 인정되면 이번 사건서도 똑같이 인정될 가능성이 높다”고 전망했다.

알리익스프레스도 개인정보 유출로 개인정보위로부터 과징금이 부여된 적이 있어 제공된 개인정보가 안전하다고 보장할 수 없다는 의견도 나온다.

앞서 개인정보위는 중국계 이커머스 업체인 알리익스프레스를 상대로 개인정보보호법 위반 행위로 과징금 19억7800만원과 과태료 780만원 부과 및 시정조치 명령을 내렸다. 한국 이용자의 개인정보를 제대로 된 공지 없이 중국과 인근 국가에 위치한 18만여개 판매 업체에 넘긴 것이 가장 큰 지적 사항이다.

2·3차
유출도?

한 개인정보위 관계자는 “알리페이로 전달된 만큼 해당 정보가 다시 제3의 국가로 넘어갔을지 여부는 확인을 해봐야 한다”며 “4000만명이 넘는 542억건의 정보가 제3~4국가로 넘어가게 되는 것은 매우 위험하다”고 강하게 우려했다.

카카오페이 관계자는 이에 대해 “ 알리페이가 속해 있는 앤트그룹은 이커머스 플랫폼 알리바바 그룹과는 별개의 독립된 기업이며, 카카오페이의 고객정보가 동의 없이 중국 최대 커머스 계열사에 넘어갔다고 주장하는 것은 어불성설”이라고 말했다.

<kcj5121@ilyosisa.co.kr>