카카오페이가 애플 앱스토어 결제 서비스를 제공하기 위해선 앱스토어 입점 결제 업체에게 고객 관련 데이터를 제공해야 한다. 해당 데이터는 고객 개인정보 등을 바탕으로 재가공해서 만들어지는데 카카오페이는 이 재가공 업무를 알리페이 계열사에게 맡겼다.
금감원이 문제로 삼은 것은 이 과정에서 고객 동의 없이 개인신용정보가 알리페이에 넘어갔다는 점이다. ‘신용정보의 이용 및 보호에 관한 법률(신용정보법)’에 따르면 개인신용정보를 수집하거나 수집된 정보를 다른 곳에 제공할 경우 반드시 당사자 동의를 받도록 돼 있다. ‘개인정보 보호법’에 따르면 알리페이는 해외에 지점을 둔 회사이기 때문에 개인 정보 국외 이전 동의도 받아야 한다. 금감원은 카카오페이가 이 두 가지 모두를 지키지 않은 것으로 보고 있다.
카카오페이가 알리페이에 해당 정보를 넘긴 것은 카카오페이의 2대 주주가 알리페이싱가포르홀딩스(32.06%)이기 때문으로도 해석한다.
이와 관련 카카오페이는 13일 “애플의 앱스토어는 여타 해외 가맹점들과 달리 더 높은 수준의 부정결제 방지 프로세스를 요구하고 있고 애플은 알리페이와 오래 전부터 협력 관계를 구축해왔다”며 “애플은 카카오페이를 앱스토어 결제 수단으로 채택 함에 있어 알리페이 시스템을 활용할 것을 권고했다”고 밝혔다.
카카오페이는 “이 과정에서 불법적 정보를 제공한 바 없다”며 “애플 앱스토어 결제를 위해 꼭 필요한 정보 이전은 사용자 동의가 필요 없는 카카오페이-알리페이-애플 간의 업무 위수탁 관계에 따른 처리 위탁 방식으로 이뤄졌다”고 설명했다.
신용정보법에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되는 경우 정보주체의 동의가 요구되지 않는다. 즉, 카카오페이가 위탁자로서 원활한 업무를 처리하기 위해 제3자에게 정보를 제공하는 경우에는 사용자 동의가 불필요하다는 관측이다. 특히 카카오페이는 일련의 숫자를 조합한 암호화를 통해 전달하는 데다 부정 결제 여부를 확인하는 용도 외에는 사용이 불가하다고 지적했다.
카카오페이는 “알리페이, 애플은 카카오페이에서 제공하는 정보를 받아 마케팅 등 다른 어떤 목적으로도 활용하지 못하도록 돼 있다”며 “카카오페이는 최근 이에 대한 별도의 공식 확인절차도 진행했다”고 설명했다.
카카오페이가 알리페이에 정보를 제공할 때 무작위 코드로 변경, 암호화 방식을 적용해 절처하게 비식별 조치를 하고 있다는 설명이다. 카카오페이는 “사용자를 특정할 수 없고 원문 데이터를 유추할 수도 없고 복호화할 수 없는 일방향 암호화 방식이 적용돼 부정 결제 탐지 외의 목적으로 활용이 불가능하다”고 설명했다.
특히 “알리페이가 속해 있는 앤트그룹은 이커머스 플랫폼 알리바바 그룹과는 별개의 독립된 기업”이라며 “카카오페이 고객 정보가 동의 없이 중국 최대 커머스 계열사에 넘어갔다고 주장하는 것은 어불성설”이라고 강조했다.
카카오페이는 “5월 금감원 현장검사 이후 지금까지 어떠한 공식적인 감사 의견서도 받지 못했다”며 “이러한 내용이 언론에 먼저 알려지게 돼 매우 당황스럽다”고 밝혔다. 이어 “향후 조사 과정에서 적법한 절차를 통해 입장을 밝히고 성실하게 소명하겠다”고 덧붙였다.