thinkpool

카카오(035720)페이 CI (사진=카카오페이(377300))

[서울 = 뉴스핌] 메디컬투데이 = 금융감독원이 네이버페이, 토스페이 등 대형 결제대행업체를 대상으로 서면 검사에 착수했다.

금융권에 따르면 금감원은 해외 결제 기능이 있는 국내 전자 결제 서비스 업체인 네이버페이와 토스페이를 대상으로 서면검사에 착수했다. 카카오페이의 개인 신용 정보 유출을 계기로 점검을 확대하고자 하기 위함이다.

금감원은 필요 시 현장검사로 전환하고 다른 간편결제사로 검사 대상을 확대한다는 계획이다.

금감원은 지난 13일 올해 5~7월 카카오페이의 해외결제부문에 대한 현장검사를 실시한 결과 카카오페이가 고객 동의 없이 고객신용정보를 제3자인 알리페이에 제공한 사실을 적발했다고 밝혔다.

금감원에 따르면 카카오페이는 2018년 4월부터 현재까지 알리페이가 NSF 스코어 산출을 명목으로 카카오페이 전체 고객의 신용정보를 요청하자 해외결제를 이용하지 않은 고객까지 포함한 전체 고객의 개인신용정보를 고객 동의 없이 매일 1회, 누적 4045만명의 개인신용정보 542억건을 알리페이에 제공했다.

금감원은 "NSF 스코어 산출 명목이라면 2019년 6월 관련모형 구축 이후에는 스코어 산출대상 고객의 신용정보만 제공해야 함에도, 전체고객의 신용정보를 계속 제공하고 있어 고객정보 오남용이 우려되는 상황"이라고 말했다.

카카오페이는 국내 고객이 해외가맹점에서 카카오페이로 결제 시 알리페이에 대금정산을 해주기 위해서는 알리페이와 주문.결제정보만 공유하면 되는데도 2019년 11월부터 지금까지 해외결제고객의 신용정보를 불필요하게 알리페이에 5억5000만건을 제공했다. 여기에는 카카오계정 ID 및 마스킹한 이메일 또는 전화번호, 주문정보, 결제정보 등이 담겨 있었다.

'신용정보의 이용 및 보호에 관한 법률' 제32조(개인신용정보의 제공활용에 대한 동의)에 따르면 신용정보제공이용자가 개인신용정보를 타인에게 제공하려는 경우 신용정보주체로부터 개인신용정보를 제공할 때마다 미리 개별적으로 동의를 받아야 한다.

이에 대해 카카오페이는 알리페이에 불법적으로 회원 정보를 제공했다는 점은 사실과 다르다고 해명했다.

카카오페이는 "카카오페이는 ID 도용으로 인한 부정 결제나 이상거래를 사전에 차단하는 등 안전한 결제 환경을 구축하기 위해 애플, 알리페이와 3자 협력을 통해 애플 앱스토어 결제에 부정 결제 방지 절차를 마련해 두고 있다"며 "애플 요청에 기반한 카카오페이와 알리페이 간 업무 위수탁 관계에 따라 비식별화된 정보가 전송되고 애플이 요구하는 기준에 맞춰 부정 결제 위험성을 산정하기 위한 데이터를 산출하며 애플은 자체 리스크 관리 정책에 따라 해당 데이터를 활용해 부정 결제 여부 등을 판단하게 된다"고 설명했다.

그러면서 정보 제공의 배경은 애플 앱스토어에서의 부정 결제 방지 등을 위한 정상적인 정보 처리 위수탁이라고 덧붙였다.

그러나 금감원은 카카오페이가 알리페이와 체결한 일체의 계약서를 확인한 결과, 카카오페이가 알리페이에게 'NSF스코어 산출.제공업무'를 위탁하는 내용은 전혀 존재하지 않는다고 밝혔다.

금감원은 "카카오페이가 회원가입시 징구하는 약관 및 해외결제시 징구하는 동의서를 확인한 결과, 'NSF스코어와 관련한 고객정보 제공'을 유추할 수 있는 내용이 없다"고 지적했다.

그러면서 카카오페이는 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 암호화 프로그램(SHA256)을 사용했고, 해시처리(암호화) 함수에 랜덤값을 추가하지 않고 해당정보(전화번호, 이메일 등) 위주로만 단순하게 설정했으며 해시처리(암호화) 함수를 지금까지 한번도 변경한 사례가 없다고 주장했다.

또한 "알리페이가 애초 카카오페이에 개인신용정보를 요청한 이유는 동 정보를 애플ID에 매칭하기 위한 것이었고 애플ID에 매칭하기 위해서는 카카오페이가 제공한 개인식별정보를 복호화해야 가능하기 때문에 알리페이가 애플에 '특정 카카오페이 고객의 NSF스코어를 제공'하면서, 개인신용정보를 식별하지 않는다는 주장은 모순"이라고 판단했다.

이 기사는 메디컬투데이가 제공하는 기사입니다