사실 이걸 유출이라고 말하는게 맞을까? 중국으로부터의 해킹과 보이스피싱, CCTV 탈취로 경각심이 고조된 가운데, 카카오페이에서 고객 개인정보를 중국 알리에 넘긴 사건이 논란이 되고 있다. 유출된게 아니라 그냥 제손으로 넘긴 것이다.
어떻게 이런일이 있을 수 있었을까? 카카오가 정말 중국으로 넘어가버린 것일까? 제재와 과징금을 먹이려는 금감원과 그리고 국민 정서는 분노로 들끓고 있다.
반면 카카오는 이와 다소 상반된 동떨어진 소리로 해명하고 있는데 뭐라고 하는지 자세하게 알아본다.
금감원 등 4개 기관이 동시에 조사에 착수했으며, 곧 있으면 카카오페이에 대한 공식 제재 절차가 이뤄질 예정이다. 이복현 금감원장은 최근 카카오페이에 검사의견서를 발송하며 본격적인 제재 절차를 시작했다.
카카오페이 측이 답변서를 제출하면 금감원은 이를 검토한 뒤 제재심의위원회를 열어 제재 수위를 결정할 방침이다.
중국 넘어간 카카오페이 고객정보 어디까지?
정보 제공 범위
금감원은 카카오페이가 해외 결제를 이용하지 않은 고객을 포함한 전체 가입 고객의 정보를 제공했다고 지적했다. 카카오페이 측은 이에 대해 구체적인 해명을 내놓지 않고 있다.
정보 제공 규모와 기간
- 제공 기간 : 2024년 8월 적발되기까지 약 2년간
- 영향 받은 고객 수 : 누적 4,045만 명
- 제공된 정보 건수 : 542억 건
제공된 고객 개인정보
- 카카오계정 ID
- 휴대전화번호
- 이메일
- 카카오페이 가입정보 (가입일, 카카오페이 머니 가입일, 고객확인 실시 여부, 휴면계정 여부)
- 카카오페이 거래내역 (잔고, 충전 횟수, 출금 횟수, 결제 횟수, 송금)
- 등록카드 거래내역 (등록카드 수, 결제거래 건수)
아니… 이 정도면 그냥 서버 데이터를 통째로 사용하세요 하고 가져다 준 수준 아닌가? 여기서 궁금해지는 점은 이것이다. 해킹을 당한것도 아니고 대체 왜??? 알아서 갖다바친 걸까???
카카오vs금융당국 입장차이
카카오페이의 개인정보 유출 논란을 둘러싸고 카카오페이와 금융감독원의 입장이 첨예하게 대립하고 있다. 양측은 정보 제공의 성격과 개인정보 식별 가능성 등을 두고 상반된 주장을 펼치고 있다.
1. 정보 제공의 성격
카카오페이는 알리페이에 대한 정보 제공이 업무 위·수탁 관계에 따른 것으로, 고객 동의가 필요 없는 정당한 절차라고 주장하고 있다.
반면 금감원은 이를 제3자 정보 제공으로 보고, 고객 동의가 필요한 행위라고 판단했다.
흠… 그러니까 약관 어딘가엔 써있었을 거고 우리는 법적 문제가 없다 이말인거지? 과연 이 내용을 카카오페이 접속하면 메인 공지사항에 해놨어도 아무일이 없었을까?
<카카오페이는 위수탁 관계에 의해 고객 개인정보가 알리페이에 공유될 수 있음을 알립니다>
이 말을 보고도 사람들이 계속 이용했을까? 그리고 뭐 무슨 이유 때문에 제공할 수 밖에 없었다고 핑계를 대는데, 금융감독원 조사하면서 5/22부터는 정보 제공을 중단했다며? 그러면 제공 안해도 운영하는데 문제없고 어떻게든 된다는 거잖아? 이러니 이 말을 누가 곧이 곧대로 믿겠음
2. 개인정보 식별 가능성
쟁점 | 카카오페이 입장 | 금감원 입장 |
---|---|---|
암호화 방식 | 무작위 코드로 변경, 사용자 특정 불가능 | 단순 해시처리, 일반인도 복호화 가능 |
데이터 유추 가능성 | 원문 데이터 유추 불가능 | 공개된 프로그램으로 해독 가능 |
정보의 성격 | 부정 결제 탐지 외 활용 불가능 | 가명정보에 해당, 고객 동의 필요 |
고객 불안을 만들어서 죄송하다고 사과는 안하고 끝까지 어쩌고저쩌고 빠져나가려고 구멍만 만들려는 모습이라 더 제대로 조사받고 처벌 들어가야 한다고 느껴진다.
금감원에서 일반인도 공개된 프로그램 가져다가 복호화 가능하다고 한걸 무슨 암호화되어서 특정 불가능하다고 참… 그러면 복호화 불가능해서 쓸 수 없는 정보를 알리에 넘겼다는건가? 아니 말이 뭐가 앞뒤가 하나도 안맞아?
조사 진행 상황
금융감독원이 카카오페이에 대한 제재 절차를 진행 중인 가운데, 개인정보보호위원회도 개인정보보호법 위반 여부를 조사하고 있다. 개인정보위는 카카오페이와 관련 회사들 사이의 데이터 흐름과 결제 절차 등을 면밀히 살피고 있는 것으로 알려졌다.
카카오페이는 위법 행위가 없었다는 입장을 고수하며, 제재 처분이 내려질 경우 행정소송 등 적극적인 대응을 검토 중이다. (잘하는 짓이다)
다만 이 사안은 개인정보 보호와 기업의 업무 처리 사이의 균형, 그리고 국경을 넘는 데이터 이전에 대한 규제 등 복잡한 법적, 기술적 문제를 내포하고 있어 최종 결론이 나기까지는 상당한 시간이 걸릴 전망이다.
한편 서울 수서경찰서는 시민단체 자유대한호국단이 카카오페이와 신원근 대표이사, 류영준 전 대표이사를 신용정보법 위반 혐의로 고발한 사건에 대한 수사에 착수했다. 경찰은 우선 고발인 조사부터 진행할 예정이다.
금융당국은 카카오페이의 이번 사태가 개인정보보호법과 신용정보법을 모두 위반한 것으로 보고 있다. 위법성이 최종 확정될 경우 카카오페이는 막대한 과징금을 부과받을 것으로 예상된다. (앞서 토스가 60억 과징금 맞았는데 유출 건수가 비교도 할 수 없는 정도라 제대로 처벌한다면 천문학적인 금액 예상)