"서류 어디에도 위탁 근거없다"…금감원, 카카오페이 주장 반박

계약서·동의서 등 확인 결과
신용정보 위탁 내용 없어
일반인도 암호 풀 수 있는 수준


금융감독원이 ‘알리페이에 고객 정보를 불법으로 제공하지 않았다’는 카카오페이 측 주장에 계약서와 회원가입 동의서, 대법원 판례까지 들며 반박에 나섰다. 넘어간 정보는 일반인도 풀 수 있는 수준으로 암호화돼 원본 데이터 유추 역시 충분히 가능하다는 입장이다.


14일 금감원에 따르면 카카오페이와 알리페이가 체결한 일체의 계약서를 확인한 결과 카카오페이가 알리페이에 'NSF(애플에서 일괄 결제 시스템 운영 시 필요한 고객별 신용점수) 스코어 산출·제공업무'를 위탁하는 내용은 전혀 존재하지 않았다. 금감원이 확인한 계약서는 △해외결제사업 계약서 2건 △아웃바운드 계약서 4건 △인바운드 계약서 1건 △기타 2건 등 총 9건이다.


앞서 카카오페이는 “정보 이전은 사용자의 동의가 필요없는 카카오페이, 알리페이, 애플 간의 업무 위수탁 관계에 따른 처리 위탁 방식으로 이뤄져 왔다”며 불법 사실이 없다고 해명한 바 있다.


카카오페이가 회원가입시 징구하는 약관과 해외결제시 징구하는 동의서에도 NSF스코어와 관련한 고객정보 제공을 유추할 수 있는 내용은 전혀 없었다. 카카오페이가 홈페이지에 공시한 '개인신용정보 처리업무 위탁' 사항에도 NSF스코어 산출·제공 업무는 포함되지 않는 것으로 나타났다. 금감원은 “국내 고객이 해외 가맹점에서 카카오페이로 결제시 알리페이와 대금정산을 위해서는 주문·결제정보만 공유하면 된다” "그럼에도 본 동의서를 통해 해외결제고객의 신용정보를 불필요하게 알리페이에 제공하는 것은 관련 법령 위반에 해당한다"고 해석했다.


카카오페이의 사례는 대법원 판례 상으로도 신용정보의 처리 위탁에 해당하지 않는다고 반박했다. 대법원 판례에 따르면 '신용정보의 처리 위탁'이 되기 위해서는 위탁자 본인의 업무처리와 이익을 위한 경우로서 수탁자는 위탁사무 처리 대가 외에는 독자적인 이익을 가지지 않고 위탁자의 관리·감독 아래에서 처리한 경우 등에 해당해야 한다. 하지만 이번 사례는 이에 해당하지 않을 뿐더러 '금융회사의 정보처리 업무 위탁에 관한 규정' 제7조에 의거 정보처리 업무 위수탁 시 금감원에 사전 보고해야 하는 의무조항이 있는데 이 또한 지키지 않았다는 게 금감원 입장이다.


전달된 고객 정보가 철저하게 암호화돼 원본 데이터를 유추해낼 수 없다는 카카오페이의 설명에 대해서도 조목조목 반박했다. 금감원에 따르면 카카오페이는 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 암호화 프로그램(SHA256)을 사용했고 해시처리(암호화) 함수에 랜덤값을 추가하지 않고 해당 정보 위주로만 단순하게 설정했다. 지금까지 해시처리 함수를 변경한 적도 한 번도 없는 것으로 나타났다. 금감원은 “가장 일반적인 암호화 프로그램으로 일반인도 복호화가 가능한 수준으로 원본 데이터 유추가 가능하다”고 지적했다.


알리페이가 애플에 특정 카카오페이 고객의 NSF스코어를 제공하면서 개인신용정보를 식별하지 않는다는 주장도 모순이라고 꼬집었다. 금감원은 "알리페이가 애초 카카오페이에 개인신용정보를 요청한 이유는 동 정보를 애플 ID에 매칭하기 위한 것이었다"며 "애플 ID에 매칭하기 위해서는 카카오페이에 제공한 개인식별정보를 복호화해야 가능하다"고 언급했다.


금감원은 "그동안 개인신용정보 등이 동의 없이 제3자에게 제공되는 경우 엄정하게 처리해 왔다"며 "앞으로도 유사사례 재발 방지를 위해 노력하겠다"고 강조했다.


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>