카카오페이가 중국 알리페이에 고객 동의 없이 개인정보를 넘겼다는 의혹이 불거진 가운데 ‘C페이’(중국 간편결제)가 한국인 개인정보 유출의 ‘블랙홀’이 될 수 있다는 우려가 나온다.
카카오페이뿐 아니라 네이버페이, 토스페이 등 국내 주요 간편결제사가 무더기로 중국 간편결제사와 제휴를 맺고 있어서다. 이들 ‘네카토’ 3사는 개인정보 처리에 관한 통일된 기준을 갖고 있지 않아 알리페이에 제각각 다른 형태의 고객 정보를 넘긴 것으로 확인됐다. C페이와 ‘C커머스’(중국 전자상거래) 등의 존재감이 커지는 가운데 국내 개인정보 보호 체계를 전면적으로 손질해야 한다는 목소리가 나온다.
14일 금융권에 따르면 네카토 3사는 중국 앤트그룹의 모바일 결제 서비스인 ‘알리페이플러스’와 제휴를 맺고 해외 결제 서비스를 운영하고 있다. 고객이 해외 결제 서비스를 이용하기 위해서는 알리페이 등 제휴사에 정보를 제공한다는 데 동의해야 한다. 형식상 동의 절차가 있지만 금융소비자가 약관을 읽지 않고 무작정 동의하는 사례가 대부분이다.
네카토 3사는 알리페이플러스와의 제휴를 통해 사실상 동일한 해외 결제 서비스를 운영하고 있다. 하지만 이들 회사가 알리페이에 넘기는 고객 정보는 제각각인 것으로 파악됐다.
예를 들어 카카오페이는 온·오프라인 해외 결제 시 암호화한 카카오 계정(이메일 또는 휴대폰 번호), 고객 번호, 결제 정보 등을 알리페이에 제공한다. 반면 네이버페이는 오프라인 결제 시 암호화한 고객 번호와 결제 정보 등을 알리페이에 전달하고, 온라인 결제 시에는 마스킹(숨김) 처리한 이메일과 카드번호, 계좌번호 등을 넘긴다. 토스페이는 고객 번호와 결제 정보 등을 암호화해 제공한다.
개인정보 보유 기간도 천차만별이다. 알리페이는 카카오페이와 토스페이로부터 받은 개인정보를 거래 종료일로부터 5년간 보관한다. 네이버페이로부터 받은 정보는 해외 국가에 따라 보관 기간이 다르다. '알리페이 리워드 서비스'는 탈퇴 후 6개월 이내까지 보관 및 이용한다.커머스 이어 페이까지…
韓 개인정보 쓸어가나 '차이나 포비아' 증폭국내 간편결제사들이 중국 알리페이에 제각각 다른 개인정보를 제공한 것으로 나타나면서 ‘최소 수집의 원칙’을 위배했다는 지적이 나온다. 앞서 금융감독원은 카카오페이가 알리페이에 주문·결제 외 개인신용정보 등을 불필요하게 제공해왔다고 문제 삼았다. 금융당국 관계자는 “특정 회사는 주고 다른 회사는 주지 않았다면 불필요한 정보일 수 있다”며 “최소한의 정보만 제공해야 한다는 원칙을 위배했을 가능성이 있다”고 말했다.
업계 관계자는 국내 간편결제사가 서로 다른 개인정보를 전달하는 것과 관련해 “알리페이와 계약을 맺을 때 개인정보 제공 항목을 협의한다”며 “각 사에서 고객을 식별하기에 더 적합한 정보를 제공하는 과정에서 서로 다른 정보가 제공된 것으로 보인다”고 했다.
개인정보를 암호화해 전달하기 때문에 중국 기업이 국내 이용자의 개인정보를 특정하거나 악용하는 것이 불가능에 가깝다는 게 업계 주장이다. 하지만 개인정보를 암호화했더라도 중국 기업이 악용할 가능성을 원천적으로 봉쇄했다고 볼 수 없다는 지적도 있다.
금감원은 14일 카카오페이가 알리페이와 체결한 모든 계약서를 확인한 결과, 카카오페이가 알리페이에 ‘NSF스코어 산출·제공 업무’를 위탁한 내용은 존재하지 않았다고 밝혔다. 카카오페이가 고객 동의를 받아야 하는 정보를 동의 없이 제3자인 알리페이에 제공했다는 게 금감원 주장이다. 카카오페이는 공지사항을 통해 “금감원 조사 과정임을 감안해 지난 5월 22일부터 알리페이에 해당 정보 제공을 잠정 중단했다”고 밝혔다.
C커머스에 이어 C페이까지 개인정보 유출 논란이 옮겨 붙으면서 우려가 커지고 있다. 앞서 개인정보보호위원회는 C커머스 업체인 알리익스프레스가 개인정보보호법에 명시된 국외 이전 절차를 위반했다며 과징금 19억7800만원을 부과했다.
김민호 성균관대 법학전문대학원 교수는 “전 세계적으로 중국은 개인정보 보호가 투명하게 이뤄지지 않는다는 우려가 많다”며 “중국으로 들어간 개인정보가 어떻게 활용되는지 통제할 방법이 없기 때문에 개인이 경각심을 가질 필요가 있다”고 말했다.
서형교/조미현/최한종 기자 seogyo@hankyung.com