금융감독원이 카카오페이의 고객정보 유출 관련 해명에 또 한번 반박했다. 카카오페이는 고객 동의가 필요 없는 신용정보 처리 위탁이라고 해명했으나, 금감원이 대법원 판례를 인용해 이에 해당하지 않는다고 반박했다.
또, "알리페이가 특정 고객의 개인신용정보를 식별하지 않는다는 카카오페이 측 주장은 모순적"이라고 주장했다. 신용정보를 철저히 암호화했다는 주장에도 "일반인도 복호화가 가능한 수준"이라고 지적했다.
금감원은 14일 보도설명 자료를 배포해 카카오페이가 알리페이로의 고객정보 제공과 관련해 내놓은 해명에 대해 이 같이 반박했다.
앞서 카카오페이는 "알리페이로의 정보 제공이 사용자의 동의가 필요 없는 업무 위수탁 관계에 따른 신용정보의 처리위탁"이라고 해명했다. 또, 전달된 고객 정보는 철저한 암호화를 통해 전달돼 원본 데이터를 유출해 낼 수 없다고 주장했다.
이에 금감원은 카카오페이가 알리페이와 체결한 일체의 계약서를 확인한 결과, 카카오페이가 알리페이에게 'NSF스코어 산출·제공업무'를 위탁하는 내용은 전혀 존재하지 않는다고 밝혔다. NSF스코어는 애플이 일괄 결제 시스템을 운영하면서 필요한 고객별 신용점수다.
국내 고객이 해외가맹점에서 카카오페이로 결제시 알리페이와 대금정산을 위해서는, 주문·결제정보만 공유하면 되는데도, 본 동의서를 통해 해외결제고객의 신용정보를 불필요하게 알리페이에 제공한 것이 관련 법령 위반에 해당한다고 금감원은 보고 있다.
또, 금감원은 카카오페이의 약관과 동의서 등을 확인한 결과 NSF스코어와 관련한 고객정보 제공을 유추할 수 있는 내용이 존재하지 않는다고 반박했다. 게다가 카카오페이가 홈페이지에 공시한 '개인신용정보 처리업무 위탁' 사항에도 해당 업무는 포함돼 있지 않다는 게 금감원 측 설명이다.
금감원은 대법원 판례도 인용하며 카카오페이 주장에 반박했다. 2016년 대법원은 '신용정보의 처리 위탁'이 되기 위해서는 ▲위탁자 본인의 업무처리와 이익을 위한 경우로서 ▲수탁자는 위탁 사무 처리 대가 외에는 독자적인 이익을 가지지 않고 ▲위탁자 관리·감독 아래에서 처리해야 한다고 판결했다. 카카오페이 건은 이에 해당하지 않는다는 게 금감원의 판단이다.
아울러 금융회사의 정보처리 업무 위탁에 관한 규정 제7조에 의거해, 정보처리 업무 위수탁시 금감원에 사전 보고해야 하는데도, 카카오페이는 이를 보고한 바가 없다고 금감원은 지적했다.
고객 정보를 철저하게 암호화했다는 카카오페이 주장에도 금감원은 원본 데이터를 유추할 수 있다고 반박했다.
금감원에 따르면, 카카오페이는 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 프로그램(SHA256)을 사용했고, 해시처리(암호화) 함수에 랜덤값을 추가하지 않고 해당정보 위주로만 단순하게 설정했다.
이는 가장 일반적인 암호화 프로그램으로 일반인도 복호화가 가능한 수준으로, 원본 데이터 유추가 가능하다는 것이다.
그러면서 금감원은 "알리페이가 애초 카카오페이에 개인신용정보(핸드폰, 이메일 등)를 요청한 이유는 해당 정보를 애플ID에 매칭하기 위한 것"이라며 "애플ID에 매칭하기 위해서는 카카오페이가 제공한 개인식별정보를 복호화해야 가능하다"고 했다.
이어 "알리페이가 애플에 특정 카카오페이 고객의 NSF스코어를 제공하면서, 개인신용정보를 식별하지 않는다는 카카오페이 주장은 모순"이라고 강조했다.
금감원은 신용정보 부당제공에 대한 처벌을 강화하겠다는 방침이다. 금감원 관계자는 "그동안 개인신용정보 등이 동의 없이 제3자에게 제공되는 경우 엄정하게 처리해 왔으며, 앞으로도 유사사례 재발방지를 위해 노력하겠다"고 전했다