중국 알리페이에 동의도 없이 넘겨
불법 땐 엄정 제재, 법 허점 고쳐야
불법 땐 엄정 제재, 법 허점 고쳐야
2018년 4월부터 현재까지 고객 동의 없이 이전된 누적 개인신용정보는 4045만명, 542억건에 이른다. 카카오계정 ID와 휴대폰 번호, 거래내역 등과 같은 정보다. 카카오페이는 알리페이에 'NSF스코어'(애플의 일괄결제 시스템에 필요한 고객 신용점수) 산출 대상고객의 신용정보만 제공해야 하는데, 해외결제를 이용하지 않은 고객까지 포함해 전체 신용정보를 개인 동의 없이 넘겼다.
더욱이 국내 고객이 해외가맹점에서 카카오페이로 결제했을 경우 주문·결제 정보 외에 불필요한 신용정보까지 알리페이에 보냈다. 이렇게 제공된 전화번호와 주문 결제정보 등 신용정보가 2019년 11월부터 현재까지 누적 5억5000만건에 이른다.
연간 거래액이 수백조원에 이르는 국내 금융플랫폼의 개인정보 관리 체계와 법 규정에 허점이 드러났다는 점에서 여간 심각한 문제가 아니다. 카카오페이가 신용정보보호법, 개인정보보호법 등 관련 법을 다르게 해석했거나 잘못 인지했을 수도 있는데, 이것 또한 큰 문제다. 수년간 이런 사실조차 몰랐던 금융당국과 정보보호 당국의 책임도 크다. 총체적 부실이 아닐 수 없다.
법에선 수집된 개인신용정보를 타인에게 제공할 경우 개인 동의를 받아야 함은 물론 알리페이와 같이 해외업체이면 국외이전 동의까지 받도록 돼 있다. 이를 모두 위반했다는 게 금감원의 판단이다. 카카오페이는 개인신용정보 처리 위탁으로 정보가 이전되는 경우 정보주체 동의가 요구되지 않는다는 조항을 들어 "불법이 아니다"라고 주장하고 있다. 개인정보는 암호화 비식별 조치가 돼 있으며, 사용자 동의가 필요 없는 정상적인 업무 위수탁 절차라는 것이다.
개인신용정보는 보안이 생명임은 두말할 필요가 없다. 새 나간 개인정보가 불법유통되거나 피싱 등에 악용된다면 사후수습이 불가능하다. 지난달 중국 이커머스플랫폼 알리익스프레스가 국내에서 개인정보보호법 위반으로 과징금 처분을 받은 것도 같은 이유다. 18만건의 국내 소비자 개인정보를 고객 동의 없이 중국 판매자들에게 무단으로 넘긴 데 대한 제재였다.
카카오페이의 정보유출은 쉽게 넘겨서는 안 될 엄중한 사안이다. 철저한 조사와 사후처리, 법에 근거한 엄정한 제재가 요구된다. 허점이 확인된 법 규정도 명확하게 바로잡아야 한다. 국내 금융플랫폼은 물론 쇼핑·채팅·동영상 등 다국적플랫폼의 개인정보의 해외이전 실태와 보안관리도 전반적으로 점검해야 할 것이다.
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지