14일 네이버페이와 토스페이 서면검사 명령..타 해외지급결제사에 검사 확대 가능성
[파이낸셜뉴스] 금융감독원이 네이버페이와 토스페이 등 대형 결제대행업체(PG사)에 대해 서면 검사에 착수했다. 최근 카카오페이가 중국 알리페이에 고객동의 없이 신용정보를 제공했다는 의혹이 나온 만큼 다른 PG사들의 해외지급결제 현황도 파악하기 위해서다.
14일 금융권에 따르면 금감원은 이날 네이버페이와 토스페이를 대상으로 해외지급결제 관련 서면검사에 돌입했다. 금감원 관계자는 "카카오페이의 경우 해외 제휴 페이가 알리페이 한곳이지만 네이버페이는 2곳, 토스페이는 7곳 등"이라며 "이들 페이사에도 유사 사례가 있는지 점검하는 차원"이라고 말했다.
이 관계자는 "우선 네이버페이와 토스페이 2개사에 대해 서면검사 명령을 내렸으며 필요하면 현장검사로 전환할 것"이라며 "다른 해외결제대행업체까지 검사대상이 확대될 수 있다"고 말했다.
전날 금감원은 지난 5∼7월 카카오페이의 해외 결제 부문에 대한 현장검사 결과 카카오페이가 고객의 동의 없이 가입 전체 고객의 카카오 계정 ID, 휴대전화 번호, 이메일, 카카오페이 가입 내역과 거래 내역(잔액, 충전, 출금, 결제, 송금 내역) 등을 알리페이에 제공했다고 밝혔다. 카카오페이의 2대 주주는 알리페이싱가포르홀딩스다.
카카오페이는 2대 주주의 관계사인 알리페이와 제휴를 맺고 국내 고객이 알리페이가 계약한 해외가맹점에서 결제할 수 있는 서비스를 제공하고 있다.
카카오페이는 2018년 4월부터 현재까지 알리페이에 해당 정보들을 매일 1회 제공했다. 이렇게 전달된 정보는 총 542억 건, 누적 4045만명에 달한다.
알리페이는 애플 일괄 결제 시스템 운영에 필요한 고객별 신용점수(NSF) 스코어 산출 명목으로 카카오페이에 전체 고객 신용정보를 요청했고, 카카오페이는 고객 동의 없이 정보를 내준 것으로 파악됐다.
아울러 카카오페이는 국내 고객이 해외 가맹점에서 카카오페이로 결제 시 알리페이에 주문·결제 정보만 공유하면 되는데 해외 결제 고객의 신용정보까지 불필요하게 제공했다. 2019년 11월부터 현재까지 이렇게 나간 정보만 누적 5억5000만 건에 달한다.
한편 금감원은 알리페이에 대한 고객 정보제공이 고객 동의가 필요 없는 정보 이전이었다는 카카오페이 주장에 대해 반박했다.
카카오페이는 앞서 정보제공이 사용자 동의가 필요 없는 업무 위수탁 관계에 따른 신용정보 처리 위탁에 해당하고 철저한 암호화로 원본 데이터를 유추할 수 없다고 주장했다.
이에 대해 금감원은 이날 보도설명자료를 통해 "카카오페이와 알리페이가 체결한 일체의 계약서(해외결제사업 계약서 2건·아웃바운드 계약서 4건·인바운드 계약서 1건·기타 2건)를 확인한 결과 카카오페이가 알리페이에 'NSF스코어 산출·제공업무'를 위탁하는 내용은 전혀 존재하지 않았다"고 반박했다. 카카오페이가 회원가입시 징구하는 약관 및 해외결제시 징구하는 동의서에도 NSF스코어와 관련한 고객정보 제공을 유추할 수 있는 내용은 없었다는 것이다.
금감원은 또한 국내 고객이 해외 가맹점에서 카카오페이로 결제시 알리페이와 대금정산을 위해서는 주문·결제정보만 공유하면 되는데도 본 동의서를 통해 해외결제고객의 신용정보를 불필요하게 알리페이에 제공하는 것은 관련 법령 위반에 해당한다고 해석했다.
카카오페이가 홈페이지에 공시한 '개인신용정보 처리업무 위탁' 사항에도 NSF스코어 산출 및 제공 업무는 포함되지 않았다.
대법원 판례 등은 '신용정보의 처리 위탁'을 △위탁자 본인의 업무처리와 이익을 위한 경우로서 △수탁자는 위탁사무 처리 대가 외에는 독자적인 이익을 가지지 않고 △위탁자의 관리·감독 아래에서 처리한 경우 등에 해당해야 한다고 판시한다.
하지만 해당 건은 이에 해당하지 않을 뿐더러 '금융회사의 정보처리 업무 위탁에 관한 규정' 제7조에 의거 정보처리 업무 위수탁시 금감원에 사전 보고해야 하는 의무조항이 있는데 이 또한 지키지 않았다.
금감원은 알리페이가 원본 데이터 유추가 가능해 개인신용정보를 식별하지 않는다는 카카오페이 주장에 대해서도 모순이라고 말했다.
카카오페이는 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 암호화 프로그램(SHA256)을 사용했고 해시처리(암호화) 함수에 랜덤값을 추가하지 않고 해당 정보 위주로만 단순하게 설정했기 때문이다. 이는 일반인도 복호화가 가능한 수준으로 해시처리 함수도 지금까지 한 번도 변경한 사례가 없다.
금감원은 "알리페이가 애초 카카오페이에 개인신용정보를 요청한 이유는 동 정보를 애플 ID에 매칭하기 위한 것이었다"며 "애플 ID에 매칭하기 위해서는 카카오페이에 제공한 개인식별정보를 복호화해야 가능하다"고 말했다.
sjmary@fnnews.com 서혜진 이승연 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지