고객신용정보 유출 의혹 카카오페이…신정법 개정안에 실적 순항 제동 걸릴까

[한국금융신문 김다민 기자] 금융감독원이 카카오페이가 알리페이에 무단으로 고객 신용정보를 넘겼다는 의혹과 관련해 제재절차에 돌입한다. 이에 성장세를 이어가던 카카오페이의 실적에 악영향을 끼칠 수 있다는 우려가 제기된다. 신용정보법 위반은 과징금 규모가 크기 때문이다.

20일 금융권에 따르면 금감원은 카카오페이에 이번 주 내로 신용정보법 위반 사항을 적시한 검사의견서를 보낼 계획이다. 검사의견서는 검사 결과 드러난 부당 및 위법 행위에 대해 공식 소명을 요구하는 절차다.

금감원이 검사의견서를 송부할 경우 카카오페이는 검사 지적사항을 토대로 답변서를 2주에서 3주 안에 제출해야 한다. 일반적으로 금감원 제재 절차는 금융사 제재 사전 통보 후 제재심이 개최된다. 이후 대심제 운영 후 제재 수위를 결정하고, 최종적으로 제재안을 통보한다.
금감원이 지난 13일 발표한 '검사 결과(잠정)'에 따르면, 카카오페이가 지난 2018년부터 6년여간 누적 4045만여명의 개인신용정보를 고객 동의 없이 제삼자인 중국 알리페이에 제공했다고 밝혔다. 유출된 개인정보에는 카카오계정 ID와 휴대전화번호, 이메일, 가입·거래내역, 페이머니 잔고 등이 포함됐다.

애플스토어 입점을 위한 NSF 스코어 산출 명목이라면 관련모형 구축이 끝난 2019년 6월 이후에는 스코어 산출대상 고객의 신용정보만 제공해야 한다. 그러나 카카오페이는 전체 고객의 신용정보를 알리페이에 계속 제공하고 있어 고객정보 오남용이 우려되는 상황이라고 금감원은 판단했다.

아울러, 국내 고객이 해외가맹점에서 카카오페이로 결제 시 알리페이에 대금 정산을 해주기 위해서는 알리페이와 주문·결제 정보만 공유하면 된다. 그럼에도 불구하고 지난 5년여간 불필요하게 누적 5억5000만여건의 해외결제 고객 신용정보를 알리페이에 제공한 것으로 확인됐다.

현재 금감원은 '신용정보법 23조 위반 여부'에 대해 집중적으로 살피고 있는 것으로 알려졌다.

신용정보법 23조4항에 따르면 개인신용정보를 제공하는 경우, 제공받으려는 자가 해당 개인으로부터 신용정보 제공 및 이용에 대한 동의를 받았는지 확인해야 한다. 또한, 개인신용정보를 제공받은 자는 그 정보를 제삼자에게 제공해서는 안 된다.
금융사가 신용정보법을 어길 경우, '제45조(감독·검사 등) 7항'과, '제42조의2(과징금의 부과 등) 1항'에 따라 금융위나 개인정보보호위원회로부터 과징금과 기관·신분제재를 받을 수 있다.

이에, 지난해 9월 시행된 신용정보법 개정안의 영향으로 카카오페이의 과징금 규모가 클 것이라는 예측이 나오고 있다.

개인정보위는 지난해 9월 글로벌 기준에 부합할 수 있게끔 과징금 제도를 정비했다. 개정법이 시행되면서 당해 ‘전체 매출의 3%’로 과징금 규모가 대폭 확대됐기 때문이다. 기존 법은 사안이 발생한 그해 ‘관련 매출의 3%’를 과징금으로 부과했다. 단 산정 시 위반 행위와 관련 없는 매출액은 제외하도록 했다.

특히, 건별로 산출하는 것이 원칙이어서 이번 과징금 규모는 더욱 커질 것으로 우려된다. 예를 들어 2023년 총 20건의 신용정보법 위반행위가 있었다면 20건 각각에 대해 2023년 매출액의 최대 3%를 과징금으로 부과한다.
즉, '2023년 매출액의 최대 3%×20건'이 과징금으로 부과될 수 있다. 다만, 이는 기본부과율로 금융위원회 차원에서 과징금이 감경될 가능성이 있다. 최종 액수는 정례회의를 통해 정해진다.

지난 6일 카카오페이가 발표한 2024년 2분기 실적에 따르면, 올해에는 1분기 1855억원, 2분기 1763억원의 매출을 기록하며 상반기에만 이미 작년 매출의 절반 이상인 3618억원을 달성했다. 카카오페이는 지난해 매출액 6154억원을 기록했으며, 전체 매출액의 3%에 해당하는 금액은 185억원에 달한다.

다만, 이번 제재로 인해 당장 하반기 실적에 영향을 끼치진 않을 것으로 전망된다. 제재가 결정되더라도 기한이 정해져 있지 않아 결과가 나오기까진 시간이 걸릴 것으로 보이기 때문이다.

일반적으로 제재 결정은 기한이 정해진 것이 아닌 여러 우선순위에 따라 처리된다. 이에 1년 넘게 시간이 걸리는 경우도 많아 당장 하반기 실적에는 영향을 끼치진 않을 것으로 점쳐진다.

금융권 관계자는 “금융감독원 제재심의가 상당히 시간을 소요하는 만큼 당장 하반기 실적에 영향을 줄 것으로 보이진 않는다”며 "업계에서 최소 1년은 걸릴 것으로 보고 있으며, 특히 카카오페이와 금감원의 입장이 대립하고 있는 만큼 더 오래 걸릴 것 같다"고 밝혔다.

실제로, 카카오페이는 금감원의 검사 결과에 대해 반박하고 있다. 해당 고객 정보 위수탁은 애플의 앱스토어 결제 수단 제공을 위한 정상적 위수탁이라는 입장이다.

카카오페이는 "알리페이와 애플과의 3자 협력을 통해 애플 앱스토어에서 결제가 가능하게 하는 데 필수적으로 필요한 부정결제 방지 절차를 마련해 두고 있다"며 "애플은 카카오페이를 앱스토어 결제 수단으로 채택해 알리페이의 시스템을 활용할 것은 권고, 이에 따라 3자 간 협력 관계를 구축했다"고 설명했다.

특히, 위수탁된 고객 정보는 철저한 암호화를 통해 전달됐다는 주장이다. 알리페이에 정보 제공 시 무작위 코드로 변경하는 암호화 방식을 적용, 철저히 비식별 조치를 하고 있다는 설명이다.

이에 사용자 특정은 물론, 원문 데이터를 유추해 낼 수 없으며, 절대로 복호화 할 수 없는 일방향 암호화 방식이 적용돼 부정 결제 탐지 이외 목적으로는 활용이 불가능하다는 게 카카오페이 측의 입장이다.

반면, 금감원의 입장은 달랐다. 카카오페이는 알리페이와 'NSF스코어를 산출해 애플에 제공하는 업무'에 대해 위수탁 계약을 체결한 바 없다는 지적이다.

금감원은 "'신용정보의 처리 위탁'이 되기 위해서는 위탁자 본인의 업무처리와 이익을 위한 경우로서, 수탁자는 위탁사무처리 대가 외에는 독자적인 이익을 가지지 않고, 위탁자의 관리·감독 아래에서 처리한 경우 등에 해당해야 한다"며 "본건은 이에 해당하지 않는다"고 강조했다.

아울러, 카카오페이의 주장과 달리 무작위값 없이 단순 해시 처리(암호화)하면서, 암호화 시 필요한 함수구조를 지금까지 전혀 변경하지 않았다는 지적이다.

금감원은 "일반인도 공개된 암호화 프로그램으로 복호화가 가능한 수준"이라며 "철저히 비식별 조치해 원본 데이터를 유추해 낼 수 없다는 의견은 사실과 다르며, 해시처리를 제대로 하더라도 관련법상 가명 정보에 해당해 고객 동의가 필요하다"고 지적했다.

카카오페이는 "현재 검사가 진행 중이며 적법한 절차를 통해 입장을 밝히고 성실하게 소명할 것"이라고 밝혔다.

김다민 한국금융신문 기자 dmkim@fntimes.com