카카오페이의 개인정보유출과 관련된 쟁점을 정리해봅니다. 금융감독원(금감원)은 카카오페이가 우리나라 국민의 신용정보를 중국의 알리페이에 동의 없이 전송했다고 하며 신용정보법 위반으로 판단하고 있습니다. 이에 대해 카카오페이는 정상적인 업무 위수탁 관계이므로 고객의 동의가 필요 없다고 하고 있습니다.
왜 이제 발견이 되었을까?
일단 금감원은 카카오페이가 심각한 법 위반을 했다는데에 방점을 찍고 있다. 카카오페이에 정식 처분이 내려지기 전에 이미 보도자료를 내보내며 우리 국민의 신용정보가 중국으로 넘어갔다고 언론에 대서특필되도록 했다.
2019년부터 현재까지 5억건 이상이 넘어갔다고 하는데, 그동안 왜 발견되지 않았을까?하는 의심이 든다. 한 5년 정도 이렇게 보낸 것인데, 그동안 보안 점검을 수도 없이 많이 했을 것이고, 핀테크 업체 중 최초로 금융보안원으로부터 정보보호관리체계(ISMS-P) 인증도 받았던 곳이다.
왜 그 때는 발견하지 못했을까 생각이 든다. 2020년 인증, 2021년, 2022년, 2023년 매년 인증을 받으면서 발견을 못했을까? 그 때 지적했다면 오히려 이렇게 대량으로 해외로 유출되지는 않았을 것 같다는 생각이 든다.
그리고 카카오페이만 이런 문제가 있는 것인지, 네이버페이나 토스페이는 동일한 건에 대해 어떤 정책을 가지고 있는지도 비교해봐야 할 것으로 보인다. 금융감독원에서 이와 관련해서는
별도로 조사하겠다는 계획을 발표했다.
불필요한 정보까지 넘긴건 왜일까?
카카오페이는 왜 반드시 필요하지도 않은 신용정보를 알리페이에 보내줬을까? 심지어 암호화해서 괜찮다고 하는데, 굳이 암호화까지 해서 보내줄 이유는 더더욱 없는 것이 아닐까?
금융감독원도 이부분을 문제 삼고 있는 것이다.
그리고 개인정보보호상 필요 최소한의 정보만을 수집하고 이용해야 한다는 것은 기본 중의 기본이라는 점에서 볼 때 이것은 카카오페이의 문제가 아닐까 싶다,
카카오페이가 넘긴 고객정보
카카오페이가 알리페이에 넘긴 신용정보는 카카오페이 ID, 핸드폰 번호, 이메일 주소, 주문정보, 카카오페이 거래내역, 카카오페이 등록카드 거래내역까지 상당히 개인적인 정보를 넘겼다.
위수탁이란 무엇인가?
위수탁은 위탁과 수탁의 준말이다. 무언가 위탁하는 사람이 있으면 수탁하는 사람이 있는 것이다. 위탁은 내가 해야 할 일을 남에게 넘긴다는 것이고, 수탁은 그 일을 받는 것을 말한다.
이 사건에 대해서는 카카오페이가 위탁자가 되고, 알리페이가 수탁자가 된다.
위탁은 내 업무를 주는 것을 말하고, 수탁은 다른 사람의 업무를 받아서 처리하는 것을 말한다. 쿠팡이 택배업체를 통해 배송을 할 경우 쿠팡은 위탁자가 되고 배송업체는 수탁자가 된다.
쿠팡은 여러 배송업체를 이용하겠지만 고객에게 매번 A배송업체에 주소 정보를 주는 것에 동의합니까?라고 하지 않는다.
카카오페이도 이렇게 위수탁 관계라고 주장하고 있는 것이다. 그렇다면 위수탁 계약서가 있는지, 개인정보처리방침에도 수탁자 목록에 알리페이가 포함되어 있고, 전달하는 정보의 종류가 기재되어 있는지 살펴보면 될 것이다.
앞으로 이 사건이 어떻게 전개될지 한번 주의 깊게 볼 필요가 있다. 이번 기회에 위수타과 제3자제공에 대해 정확한 기준이 만들어지면 좋겠다. 금융당국을 포함해서 정부기관들이 명확하게 구분할 수 있도록 가이드를 해주는 것이 먼저 되어야 한다고 본다.
비슷한 사례로 여행업도 있을 수 있다. 하나투어나 모두투어에서 여행자 보험을 들기 위해 고객을 대신해서 보험사에 고객정보를 전달하는 것은 위탁일까 제3자제공일까? 동의를 받아야 하나, 동의를 받지 않아도 되나? 11번가와 입점업체들과의 관계는 위탁일까 제3자제공일까? 등등 이슈가 될 만한 것들이 많은데 정부가 딱 명확하게 구분해주지는 않는 것 같다.
