안녕하세요 여러분!
펜을 든 펭귄이 전해주는 뉴스레터 📰
🐧FENguin🐧입니다.
오늘의 주제는 '카카오톡 개인정보 유출 사태'입니다.
최근 금융감독원은 카카오페이가 지난 6년간 4000만명의 고객 개인 신용정보 약 542억 건을 고객 동의 없이 중국 최대 핀테크 업체인 알리페이에 넘긴 사실을 적발했습니다.🔥
우리나라 국민의 개인정보가 무방비 상태로 중국에 제공된 것으로, 카카오페이를 향한 고객의 신뢰에 적신호가 켜졌습니다.
하지만 개인정보 유출에 대해 카카오페이는 자신들의 행위가 불법적이지 않다고 주장하고 있어 금융당국과의 갈등이 심화되고 있습니다.
이번 뉴스레터에서는 4000만명이 당한 카카오페이 개인정보 유출 사건의 핵심과 카카오페이와 금융당국 사이의 대립을 다뤄보도록 하겠습니다.
💌오늘의 목차💌
1. 수면 위로 떠오른 카카오페이의 정보 유출 사건
2. 정보 유출의 원인은 애플?
3. 금융감독원과 카카오페이의 대립
4. 카카오페이의 대응과 앞으로의 흐름
💭 1. 수면 위로 떠오른 카카오페이의 정보 유출 사건
지난 8월 13일 금융감독원은 ‘카카오페이 해외결제부문에 대한 현장검사 결과’를 통해 카카오페이가 고객 동의 없이 고객의 개인정보를 중국 알리페이에 제공한 사실을 발표했습니다.
2018년 4월부터 현재까지 4,045만명, 약 547억건의 카카오페이 가입자 정보를 전달한 것으로 밝혀졌는데요.
고객식별정보(계정 일련번호, 핸드폰 번호, 이메일), 가입고객정보(가입일, 휴면계정 여부 등), 페이머니 거래내역(잔고, 충전·출금 횟수, 결제 여부 등), 카드등록 여부 등이 알리페이로 유출된 것입니다.
💭 2. 정보 유출의 원인은 애플?🍎
카카오페이는 알리페이에 정보를 넘긴 것은 애플의 요청 때문이라고 해명했습니다.
애플의 앱스토어와 제휴를 맺은 업체는 고객의 신용정보를 애플에 제공해야 합니다. 이는 개인 신용정보를 기반으로 재가공해서 만들어지는 고객별 신용점수 ‘NSF(Non-Sufficient Funds) 스코어’ 입니다.
카카오페이 역시 애플과 제휴를 위해 NSF 스코어를 제공해야 했는데요.
카카오페이에 따르면 애플이 NSF 제공 시스템을 이미 갖추고 있는 알리페이를 통해 NSF 스코어를 전달할 것을 요구했다고 밝혔습니다.
카카오는 이에 따라 알리페이가 NSF를 산출할 수 있도록 고객 신용정보를 전달한 것이죠. 이를 통해 카카오페이가 알리페이에 정보를 제공한 배경에는 애플이 있다는 것을 알 수 있습니다.
카카오페이는 애플과의 제휴를 위한 업무를 알리페이에 위탁해 처리했으며, 이 과정에서 고객 정보 유출은 없었다고 주장하고 있습니다.
하지만 금융감독원이 주목한 것은 단순히 카카오페이가 알리페이에 정보를 제공한 사실이 아니었습니다.
금융감독원은 고객 신용정보 전달 과정에서 해외결제를 이용하지 않은 고객까지 포함한 카카오페이 전체 가입고객의 신용정보를 고객 동의 없이 알리페이에 전달한 것을 지적했습니다.
NSF 스코어 산출 명목이라면 스코어 산출 대상 고객의 신용정보만 제공하여야 함에도, 전체고객의 신용정보를 계속 제공한 것에 대해 고객정보 오남용을 우려하고 있습니다.
금융감독원은 이러한 고객의 동의 없는 정보 유출은 ✅개인정보 보호법 ✅신용정보법 등 관련 법 위반 소지가 있다고 보고 있습니다.
신용정보법에 따르면 수집된 개인신용정보를 타인에 제공하려면 정보주체의 동의를 받아야 합니다. 또한 해외에 있는 알리페이에 정보를 제공하기 위해서는 개인정보 국외이전 동의 절차도 필요한데요.
그러나 카카오페이는 위 2가지 법을 모두 위반한 것으로 금감원은 파악하고 있습니다.
💭 3. 금융감독원과 카카오페이의 대립
금융감독원이 카카오페이를 향해 고객의 동의가 없는 정보 유출에 대해 지적하자 카카오페이는 고객 동의 없이 불법적인 정보 전달은 없었다고 반박했습니다.
그러나 금융감독원은 이에 대해 다시 설명자료를 제출하여 카카오페이의 주장을 재반박하며 금융당국과 카카오페이 사이의 대립이 이어지고 있는 흐름입니다.
그렇다면 카카오페이와 금융감독원의 입장이 어떻게 대립하고 있는 걸까요?
(1) 정보 이용 동의 위반이 아니다? 🤔
금융감독원은 카카오페이가 알리페이에 정보를 제공하며 고객 동의를 받지 않은 점에 대해 가장 큰 문제를 삼고 있습니다.
이에 대해 카카오페이 관계자는 “신용정보법 제17조 1항에 따르면 개인 신용정보의 처리위탁으로 정보가 이전되는 경우에 정보 주체의 동의가 요구되지 않는다”라고 해명했는데요.
알리페이에 대한 정보 이전이 고객의 동의가 필요 없는 카카오페이-알리페이-애플 간의 ‘업무 위수탁 관계’에 따른 처리위탁 방식에 해당한다고 하며 고객 동의 필요성에 대해 반박했습니다.
처리위탁이란 위탁자가 자신의 업무처리와 이익을 위해 제3자인 수탁자에게 개인정보를 제공하는 경우를 의미합니다. 정보 처리 목적이 수탁자가 아닌 위탁자에 있죠.
카카오페이(위탁자)가 NSF 스코어 산출이라는 목적을 이루기 위해 고객 정보를 알리페이(수탁자)에게 위탁하는 처리위탁이라는 것이 카카오페이의 입장입니다.
즉 알리페이는 NSF 스코어 산출을 대신 해줬을 뿐, 알리페이가 카카오페이 이용자의 개인 신용정보를 따로 활용하는 것이 아니기 때문에 동의가 필요 없다는 것입니다.
🆚하지만 금융감독원은 카카오페이의 입장에 대해 재반박했습니다.
금융감독원 보도자료에 따르면 카카오페이와 알리페이가 체결한 약정서에는 ‘NSF스코어를 산출하여 애플에 제공하는 업무’에 대해 전혀 기술되어 있지 않으며, 위수탁 계약을 체결한 바 없다고 일갈했습니다.
카카오페이가 주장하는 ‘처리위탁’에 해당하려면 1️⃣위탁사무처리 대가 외에 수탁자는 독자적 이익을 획득할 수 없어야 하고 위탁자가 관리·감독해야 함은 물론 2️⃣금융위원회에 처리위탁 여부를 신고해야 합니다.
또한, 카카오페이가 홈페이지에 공시한 ‘개인신용정보 처리업무 위탁’ 사항에도 이 처리 위탁에 관한 내용은 없었습니다.
금융감독원은 이번 사건이 처리위탁에 해당하지 않기 때문에 정보 이용을 위한 고객 동의를 받지 않은 카카오페이는 불법적인 정보 전달을 했다는 것이죠.
(2) 일반인도 식별 가능한 수준의 암호화 기술? 🔍
카카오페이는 알리페이에 개인 정보를 전달하는 과정에서 고객 개인을 식별할 수 없도록 철저한 암호화를 거쳐 원본 데이터를 유추해 낼 수 없다 밝혔습니다.
이로 인해 알리페이가 카카오페이의 고객 정보를 이용할 가능성이 없다고 주장하고 있는데요.
카카오페이가 사용중인 암호화 프로그램(SHA256)은 단방향 암호화 기술의 한 종류로, 국내 인터넷 뱅킹에서도 사용되는 방식입니다. 정보를 외부로 전송 시 이중으로 암호화하여 전송하고 있죠. 전문가들은 이중 암호화된 형태로 제공된 정보는 해독이 거의 불가능한 수준으로 기술은 일반인이 복호화하기 쉬운 구조가 아니라고 평가합니다.
✅복호화: 암호화된 데이터를 원본 데이터로 되돌리는 과정
✅단방향 암호화: 평문을 암호화 할 수는 있지만 암호화한 문자를 다시 평문으로 되돌리는 것이 불가능한 방식
🆚그러나 금융감독원은 카카오페이의 암호화 기술에 대해서도 재반박했습니다.
금융감독원은 “카카오페이는 공개된 암호화 프로그램 중 1️⃣가장 일반적으로 통용되는 암호화 프로그램(SHA256)을 사용했고, 2️⃣암호화 함수에 랜덤값을 추가하지 않고 전화번호, 이메일 등의 정보 위주로만 단순하게 설정했다”고 밝혔습니다.
2022년 금융위원회와 금감원이 작성한 ‘금융분야 가명·익명 처리 안내서’를 보면, 신용정보회사 등은 원본값을 알아내려는 외부 공격에 대비해 암호화 함수에 랜덤값을 추가해 함수를 복잡하게 구성해야 한다고 명시하고 있습니다.
금감원 검사 결과에 비춰보면, 카카오페이는 개인신용정보를 알리페이에 제공할 때 기본적인 가이드라인이 지켜지지 않아 암호화가 제대로 이루어지지 않은 것으로 보입니다.
암호화를 제대로 했는지는 신용정보보호법 위반 여부를 결정짓는 중요한 쟁점 중 하나입니다.
신용정보보호법상 암호화 정도가 강해서 누구의 정보인지 알 수 없는 경우는 ‘익명정보’, 누구인지 가려져 있지만 다른 정보와 결합해 알 수 있으면 ‘가명정보’로 분류합니다.
‘익명정보’는 고객의 동의 없이 제3자에게 넘겨도 법 위반이 아닙니다. 하지만 ‘가명정보’는 반드시 당사자 동의를 받아야 제3자에게 제공이 가능하죠.
카카오페이가 애플에게 NSF 스코어를 제공하기 위해 알리페이에 전달한 고객 정보와 해외 결제 고객 정보를 결합해보면 누구인지 식별이 가능한 것으로 금융감독원은 판단했습니다. 쉽게 말하자면 카카오페이가 알리페이에게 넘긴 정보가 ‘가명정보’에 해당하며 반드시 고객 동의가 필요하다는 것이죠.
하지만 카카오페이는 고객의 동의 없이 제3자인 알리페이에게 정보를 전달했기 때문에 금융감독원은 이 부분을 사건의 핵심 문제로 보고 있는 상황입니다.
또한, 카카오페이는 지금까지 개인 신용정보 암호화에 필요한 암호화 함수를 한 번도 변경하지 않은 것으로 드러나, 고객 정보 보호에 안일하게 대처한 것으로 보입니다. 이로 인해 알리페이가 의도만 한다면 원본 데이터 유추가 가능해 개인 계정 아이디, 휴대전화 번호, 이메일, 거래내역 등이 가입자의 동의 없이 유출될 수 있는 허점이 존재합니다.
💭 4. 카카오페이의 대응과 앞으로의 흐름
(1) 본격화되는 카카오페이와 금감원의 진실공방
금융감독원은 지난 8월 23일 카카오페이에 대한 검사의견서를 전달하고 본격적인 제재 절차에 들어갔습니다. 금감원은 검사의견서를 전달받은 카카오페이의 소명 절차를 거쳐 구체적인 위법 내용을 확정하고, 이에 따른 제재 수위를 판단할 계획입니다.
카카오페이가 신용정보법을 위반했다는 금감원의 판단이 확정되면 개인정보 유출 규모가 542억 건에 달하는 만큼 과징금 등 각종 제재가 역대 최대 수준에 달할 것이라는 전망이 나오고 있습니다.
카카오페이는 개인정보 유출 논란이 커지자 알리페이에 정보 제공을 잠정 중단했다고 밝혔습니다. 이에 덧붙여 정보제공 관련 논란으로 심려를 끼쳐 죄송하다고 사과하는 모습을 보였습니다.
다만, 알리페이에 전달한 개인정보는 고객 동의가 필요 없는 정상적인 업무 위수탁에 해당하며, 불법적인 정보 제공이 없었다는 기존 입장을 고수하고 있습니다. 향후 있을 조사 과정에도 적법한 절차를 통해 성실하게 소명하겠다 했습니다.
(2) 긴장하는 핀테크 업계
카카오페이가 정보 유출 논란에 휩싸이자 금융감독원은 또 다른 대형 간편결제사인 네이버페이와 토스페이에 대한 현장검사에 돌입했습니다. 현장검사를 통해 해외 결제대행 과정에서 카카오페이와 같이 이용자 동의 없는 정보제공은 없었는지 점검을 진행할 예정입니다.
이러한 조치는 국내 핀테크 업체들에서 유사한 문제가 발생할 수 있음을 염두해 둔 것인데요. 만약 추가적인 불법 사례가 발견된다면 핀테크 산업 전반에 규제와 압박이 심화될 것으로 예상됩니다.
🔐 금융에서 가장 중요한 것은 고객의 신뢰입니다. 소비자의 개인정보를 제대로 보호하지 못하는 회사를 신뢰하고 거래할 고객은 거의 없죠.
이번 카카오페이의 정보 유출 논란은 그동안 신뢰하며 사용해 온 고객들에게 부정적인 영향을 미칠 가능성이 큽니다. 이후 간편결제사의 현장점검에서 카카오페이와 유사한 사례가 발견된다면, 국내 핀테크 산업 전체의 신뢰도에 타격을 줄 수 있습니다.
카카오페이는 이번 사태를 계기로 더욱 철저한 데이터 보호 조치를 마련하고, 향후 유사한 문제가 발생하지 않도록 보안 시스템을 강화하여 소비자의 신뢰를 회복할 필요가 있어 보입니다.
✅ 디지털 시대에서 개인정보 보호는 중요한 과제 중 하나입니다. 정보 보호를 위한 안전조치가 부족할 경우, 서비스에 대한 불신으로 이어져 산업 전반의 경쟁력 저하를 초래할 수 있다는 점을 유념해야 합니다.
💌 저희가 준비한 이번 뉴스레터는 여기까지입니다 💌
최근 금융권 이슈에 대해 알 수 있었던 뉴스레터였길 바랍니다🔥
참고자료💬
금융감독원 보도자료 : 카카오페이의 해외결제부문에 대한 현장검사 결과
한겨례 : ID부터 잔고까지 542억건…알리 쪽 불법 사용해도 확인 불가능
한겨례 : ‘개인정보 유출 논란’ 카카오페이, 가명 정보처리도 안 했다니
한겨례 : 6년 알리에 개인정보 준 카카오페이 “5월 중단” 해명
중앙일보 : “카카오페이 암호화, 일반인도 푼다” “사용자 식별 불가능”
바이라인 네트워크 : 카카오페이의 개인정보 중국 유출 사건
보안뉴스 : 카카오페이, 中 알리페이에 4,045만명 신용정보 넘겨...금감원 제재 착수
한국경제 : 카카오 "동의 필요없는 정보이전…위법 아냐"
벨로그 : 암호화의 종류와 Bcrypt
작성인 : 김연진
편집자 : 정준우
의견을 남겨주세요