금융감독원이 카카오페이의 무단 고객정보 제공을 두고 제재에 착수한 가운데 다른 간편결제업체들의 개인신용정보 관리 현황도 도마에 올랐다. 주요 업체들은 특정 거래와 관련 없는 고객의 정보를 이전하거나 거래 시 필요한 범위를 넘어선 정보를 제공하는 일은 없다는 입장이지만, 경계가 명확하지 않은 경우도 많아 파장이 예상된다.
정보 무단 제공 점검 나선 당국…간편결제사들 "문제없다"
15일 금융당국에 따르면 금감원은 네이버페이와 토스페이 등 주요 간편결제 업체들에 대해 서면검사를 진행 중이다. 최근 카카오페이에 대한 현장검사 과정에서 해외결제와 관련해 고객의 개인신용정보를 위법하게 제공한 혐의를 적발하고 이와 유사한 사례를 점검하기 위한 것이다.
금감원은 카카오페이가 애플 앱스토어와 제휴하는 과정에서 ①해외결제를 이용하지 않은 고객을 포함한 전체 카카오페이 가입 고객의 개인신용정보를 고객 동의 없이 알리페이(PG 업무)에 제공하고 ②해외결제 대금 정산 과정에서 주문·결제정보만이 아닌 계정 ID와 이메일, 전화번호 등까지 불필요하게 제공했다며 제재를 예고했다.
주요 간편결제사들은 해외결제 비이용 고객의 정보가 무단으로 외부에 제공되거나 대금 정산과 무관한 개인신용정보가 제공되는 일은 없다고 선을 긋고 있다.
우선 네이버페이와 토스페이는 애플 앱스토어와 간편결제 제휴를 맺지 않았고 현재 서비스 중인 구글 플레이스토어의 경우 거래와 무관한 고객 정보를 요구한 적이 없다는 입장이다.
네이버페이 관계자는 "거래와 무관한 고객의 정보가 제공되는 경우는 전혀 없고, 해외결제든 국내결제든 결제 프로세스상 필요한 최소한의 정보만 식별 불가능하게 처리해 제공되고 있다"고 말했다. 개인정보 암호화 수준도 쉽게 복호화할 수 없는 안전성이 담보된 수준이라고 답했다.
토스페이 측도 "이메일과 전화번호 등은 정보제공 대상에 포함돼 있지 않고 다른 결제정보 관련 항목에 대해서도 고객의 필수 사전 동의를 받고 제공되고 있다"고 강조했다.
페이코는 카카오페이처럼 애플 앱스토어와 간편결제 제휴 관계에 있지만 애플 측으로부터 NSF스코어(고객별 신용점수) 산출을 위한 고객정보 제공을 요구받은 적이 없다고 답했다. 또 카카오페이와는 달리 중간 PG사가 계열사인 NHN KCP로 국내에서 안전하게 관리되고 있다고 설명했다.
신용정보 '처리 위탁' 둔갑, 부당한 개인정보 제공 잡는다
그럼에도 점검 과정에서 예상치 못한 개인정보 무단제공 사례가 더 적발될 가능성도 제기된다. 이번 카카오페이의 경우에도 금감원의 지적에 대해 신용정보법상 적법한 '처리 위탁'에 해당해 사용자의 동의 등이 필요치 않은 상황이었다고 반론을 제기하고 있기 때문이다.
통상적으로 '개인정보 업무의 처리 위탁'은 고객이 주문한 물품을 배송하기 위해 제조사가 택배사에 주소를 전달하는 수준의 업무태양으로 해석된다. 고객은 자신의 정보를 물건을 구매한 곳에 제공했을 뿐 택배사에 주는 덴 동의한 적이 없지만, 신용정보법상 '처리 위탁' 수준의 업무엔 이같은 동의 절차를 생각하는 것이 가능하다.
반면 개인정보를 제3자에게 '이전'할 때는 반드시 당사자의 동의가 필요함에도 단순 '처리 위탁'으로 둔갑해 고객 정보를 빼돌리는 일이 많은 상황이다.
금감원은 대법원 판례 등을 인용해 '처리 위탁'이 되려면 ①위탁자(카카오페이) 본인의 업무처리와 이익을 위한 경우여야 하고 ②수탁자(알리페이)는 위탁사무처리 외에 독자적인 이익을 가지지 않고 ③위탁자의 관리·감독 아래에서 처리한 경우 등에 해당해야 하지만 카카오페이 사안은 그렇지 않다고 지적했다.
애플스토어 입점은 카카오페이뿐 아니라 PG사 수수료를 나누는 알리페이에게도 이익이 되는 업무여서 ①·②에 위배되고, 카카오페이가 알리페이를 관리·감독 하는 위치에 있지도 않았다는 것이다.
또한 정보처리 업무 위·수탁으로 본다 하더라도 해당 내용은 금감원에 사전 보고했어야 하지만, 감독당국에 보고된 적이 없다고 확인했다.
금융당국의 한 관계자는 "기존에도 개인신용정보의 단순 처리 위탁에 해당하는 것처럼 오인하고 동의 없이 제3자에게 제공해 제재 받은 사례들이 다수 있었다"며 "법실무상 처리 위탁의 기준이 모호하다는 의견이 있지만 금융회사라면 더 보수적으로 판단하고 당국 보고와 고객 사전동의 절차를 마련했어야 할 것"이라고 말했다.