카카오페이-알리페이 일체 계약서 확인
"NSF스코어 위탁 내용 전혀 없어"
"암호화, 일반인도 복호화 가능한 수준"
[이데일리 김국배 기자] 금융당국이 “알리페이에 고객 동의 없이 불법으로 정보를 제공한 사실이 없다”는 카카오페이의 입장에 대해 조목조목 반박했다.
금융감독원은 14일 보도 참고자료를 통해 “카카오페이가 알리페이와 체결한 일체의 계약서를 확인한 결과, 카카오페이가 알리페이에 ‘고객별 신용점수(NSF) 스코어 산출·제공 업무’를 위탁하는 내용은 전혀 존재하지 않는다”고 밝혔다.
또 카카오페이가 회원 가입과 해외 결제 시 요구하는 약관과 동의서를 확인해 보니 “NSF 스코어와 관련한 고객정보 제공을 유추할 수 있는 내용이 전혀 존재하지 않는다”고 했다. 카카오페이가 홈페이지에 공시한 개인신용정보 처리 업무 위탁 사항에도 NSF 스코어 산출·제공 업무가 포함돼 있지 않다는 설명이다.
금감원은 대법원 판례를 인용하며 “신용정보 처리 위탁이 되기 위해선 ①위탁자 본인의 업무 처리와 이익을 위한 경우로서 ②수탁자는 위탁 사무 처리 대가 외에는 독자적인 이익을 가지지 않고, ③위탁자의 관리·감독 아래에서 처리한 경우 등에 해당해야 하는 바 본건은 이에 해당하지 않는다”고 지적했다.
원본 데이터 유추 가능 여부에 대해서도 금감원은 “가장 일반적인 암호화 프로그램(SHA256)를 사용했고, 해시 처리(암호화) 함수에 랜덤값을 추가하지 않고 해당 정보(전화번호, 이메일 등) 위주로만 단순히 설젛애 일반인도 복호화가 가능한 수준”이라고 했다.
그러면서 “알리페이가 애초 카카오페이에 개인신용정보를 요청한 이유는 동 정보를 애플 아이디에 매칭하기 위한 것이었고, 이를 위해선 복호화해야 가능하다”며 “알리페이가 애플에 특정 카카오페이 고객의 NSF 스코어를 제공하면서 개인신용정보를 식별하지 않는다는 주장은 모순”이라고 덧붙였다. “애플의 앱스토어 결제 수단 제공을 위한 정상적 고객 정보 위수탁”이라는 카카오페이의 설명은 앞뒤가 맞지 않는다는 것이다.
금감원은 “그동안 개인신용정보 등이 동의 없이 제3자에게 제공되는 경우 엄정하게 처리해왔다”며 “앞으로도 유사 사례 재발 방지를 위해 노력할 것”이라고 했다.