[IE 산업] 우리나라 이용자 약 4000만 명의 개인정보를 본인 동의 없이 알리페이를 통해 국외에 넘긴 카카오페이와 애플이 약 84억 원대 과징금을 받았다.

23일 개인정보보호위원회(개인정보위)는 전날 제2회 전체회의를 열고 개인정보보호법상 국외이전 규정을 위반한 카카오페이에 과징금 59억6800만 원, 애플에 과징금 24억500만 원과 과태료 220만 원을 각각 부과했다고 알렸다. 총 83억7520만 원이다.

이와 함께 애플과 위수탁 관계인 알리페이에 카카오페이 이용자에 대한 NSF(Non Sufficient Funds Score) 점수의 산출 모델을 파기하도록 시정명령했다. NSF 점수는 애플 서비스 내 여러 건의 소액결제를 한 건으로 묶어 일괄청구할 때 자금 부족 가능성을 판단하기 위한 고객별 점수를 뜻한다.

개인정보위 조사 결과 우선 카카오페이가 전체 이용자 약 4000만 명의 개인정보를 본인 동의 없이 알리페이에 애플 서비스 이용자 평가 목적으로 제공했다. 또 애플이 제3국 수탁자 알리페이를 통해 개인정보를 국외로 이전해 처리하는 사실을 이용자에게 알리지 않았다.

애플은 간편결제와 같은 국가별 결제 수단을 하나씩 시스템과 연동하는 부담을 덜기 위해 권약별 해당 업무를 위탁한다. 알리페이는 국내 권역 수탁자 중 하나인데, NSF 점수 산출와 더불어 결제 처리에 수반한 개인정보 처리 업무를 담당했다. 즉, 알리페이가 카카오페이에 개인정보를 매일 받은 뒤 이용자별 NSF 점수를 산출하고 애플이 결제 이용자 점수를 조회하면 바로 회신한 것.

개인정보위 전승재 조사3팀장은 이날 브리핑을 통해 "카카오페이는 지난 2019년 7월부터 애플 플랫폼 내 결제 수단으로 연동됐는데, 금융감독원(금감원) 조사로 전송을 중단한 작년 5월21일까지 애플에 제공하는 이용자 결제 데이터를 알리페이를 경유해 전송하고 있었다"고 말했다. 카카오페이는 2019년 이전인 지난 2018년 4~7월에도 알리페이에 넘긴 바 있다.

이 기간 넘긴 정보는 ▲카카오페이 가입일 ▲계정 유지기간 ▲신분증 확인 계정 여부 ▲충전 잔고 ▲최근 7일간 충전 건수 ▲결제 건수 ▲송금 건수 등 총 24개 항목이며 542억 건에 달한다. 중복 사항을 제거하면 약 4000만 명에 해당하는 규모다.

특히 애플 서비스를 쓰지 않는 안드로이드 사용자들의 개인정보도 넘긴 사실이 확인됐다. 전 팀장은 "카카오페이 이용자 가운데 애플에서 결제하는 이용자는 20% 미만임에도 카카오페이는 애플과 무관한 80% 이상 이용자들의 정보까지 전송하며 정보 주체 예측 가능성에서 벗어났다"고 설명했다.

그러면서 "애플, 알리페이가 카카오페이에 전체 이용자 정보를 반드시 달라고 요구한 게 아니라 이용자 동의를 받거나 적법 근거를 갖춰 달라고 요청했다"며 "그럼에도 카카오페이가 충분한 검토 없이 전체 이용자 정보를 전송하기로 속단한 것으로 보인다"고 부연했다.

애플의 경우 카카오페이와 연동 개발과 같은 시스템 통합 업무, 부수 NSF 점수 산출 업무를 알리페이에 위탁했음에도 개인정보처리방침을 통해 처리 위탁 및 국외 이전에 관한 사실을 고지하지 않았다. 국외 수탁자로 시스템 통합과 결제 정보 등 중계 역할을 하는 NHN KCP만 공개한 것.

이 같은 사실을 바탕으로 개인정보위는 카카오페이, 애플에 과징금과 더불어 시정 및 공표 명령을 내렸다. 카카오페이에는 국외 이전 적법 요건을 갖추도록 요구했으며 홈페이지에 관련 사실을 공표하도록 명했다. 애플에는 알리페이에 대한 국외이전 사실을 개인정보처리방침에 공개하게 했다. 알리페이에 대해서는 NSF 점수 산출 모델을 파기하도록 시정명령했다.

전 팀장은 "이 사건에 대해 개인정보위 처분은 개인정보 국외이전 관련해 한하고, 무단 제공에 대해서는 신용정보법에 따라 금융당국이 처분을 내릴 것"이라고 제언했다.

/이슈에디코 전태민 기자/