금융감독원이 카카오페이가 4000만 명이 넘는 개인 신용정보를 중국 알리페이에 이전했다는 논란에 대해 “카카오페이가 알리페이와 맺었다는 계약서에는 ‘신용정보 처리 위탁’ 내용이 전혀 존재하지 않는다”고 14일 밝혔다. 카카오페이가 전날 “개인 신용정보의 이전이 알리페이와 맺은 위·수탁 관계를 기반으로 한 것이라 고객 동의가 필요하지 않다”고 반박한 것에 대해 하루 만에 재반박하고 나선 것이다.
금감원은 이날 참고 자료를 통해 “카카오페이와 알리페이가 체결한 일체의 계약서를 확인한 결과 카카오페이가 알리페이에 ‘NSF(애플에서 일괄 결제 시스템 운영 시 필요한 고객별 신용점수) 스코어 산출·제공 업무’를 위탁하는 내용은 없었다”고 밝혔다. 금감원이 확인한 계약서는 △해외 결제 사업 계약서 2건 △아웃바운드 계약서 4건 △인바운드 계약서 1건 △기타 2건 등 총 9건이다.
앞서 카카오페이는 알리페이로 개인 정보가 이전된 것은 사용자의 동의가 필요 없는 카카오페이·알리페이·애플 간의 업무 위·수탁 관계에 따른 처리 위탁 방식으로 이뤄져왔다고 해명했는데 금감원이 이를 정면으로 반박한 것이다. 금감원은 “이번 카카오페이의 사례는 대법원 판례상으로도 신용정보 처리 위탁에 해당하지 않는다”고 했다.
또 알리페이로 이전된 카카오페이의 고객 정보가 필수 범위를 넘어선 것임을 재차 강조했다. 국내 고객이 해외 가맹점에서 카카오페이로 결제할 경우 알리페이와 대금 정산을 위해서는 주문·결제 정보만 공유했어야 한다는 의미다. 금감원은 “불필요한 정보 제공에 해당해 관련 법령을 위반했다”고 덧붙였다.
금감원은 전달된 고객 정보가 일반인도 ‘복호화(암호 해제)’가 가능한 수준으로 이행돼 원본 데이터 유추가 가능하다는 전날 발표를 다시 강조했다. 알리페이에 이전한 정보를 철저하게 암호화했다는 카카오페이의 입장이 사실과 다르다는 주장이다.
카카오페이는 이에 대해 “금융 당국의 검사 결과 의견서를 수령한 후에 종합적으로 검토하고 입장을 밝히겠다”며 별도의 입장을 내지 않았다.
한편 금감원은 이날 네이버페이·토스페이 등 해외 결제를 주로 담당하는 국내 대형 간편결제사를 대상으로 서면 검사에 착수했다. 다른 간편결제사에도 카카오페이와 유사한 사례가 있는지 확인하기 위해서다. 금감원은 서면 검사에서 법 위반 정황이 발견되면 현장 검사에 돌입할 방침이다. 금감원 관계자는 “모든 업체를 대상으로 동시에 점검하기는 어려운 만큼 대형사의 해외 결제 부분에 대해 우선 점검을 진행하는 것”이라며 “다른 업체에 대해서도 유사한 사례가 발생할 수 있는지 추가적으로 살펴볼 계획”이라고 말했다. 금감원은 신용정보법 23조 위반 여부를 살펴볼 방침이다. 신용정보법 23조4항에 따르면 개인 신용정보를 제공하는 경우에는 제공받으려는 자가 해당 개인으로부터 신용 정보 제공·이용에 대한 동의를 받았는지 확인해야 한다. 또 개인 신용정보를 제공받은 자는 그 정보를 제3자에게 제공해서는 안 된다.