이용자 동의 없이 4000만 명의 개인정보를 국외로 이전한 카카오페이(377300)와 애플이 총 83억 원의 과징금 철퇴를 맞게 됐다. 정보를 넘겨받은 알리페이에 대해서는 불법으로 넘겨받은 개인정보로 산출한 모델을 파기하도록 했다.
개인정보보호위원회는 22일 전체회의를 열고 개인정보보호법 상 국외이전 규정을 위반한 세 회사에 대해 과징금·과태료 부과 및 시정명령을 의결했다. 카카오페이는 과징금 59억 6800만 원, 애플은 과징금 24억 500만 원과 과태료 220만 원이 각각 부과됐다. 적법한 국외이전 요건을 갖추도록 시정명령하고 이 같은 사실을 각 사 홈페이지에 공개하도록 했다. 알리페이에 대해서는 애플의 서비스 이용자 평가 목적으로 만든 NSF(Non Sufficient Funds Score) 점수 산출 모델을 파기하도록 시정명령했다.
개인정보위는 카카오페이가 이용자 동의 없이 개인정보를 알리페이에 넘겼다는 언론 보도 등에 따라 조사를 개시했다. 앞서 금융감독원은 지난해 8월 카카오페이가 누적 4045만 명의 개인신용정보 542억 건을 제공한 사실을 적발했다고 밝혔다.
개인정보위 조사 결과 카카오페이는 약 4000만 명인 전체 이용자의 개인정보를 이용자 동의 없이 애플의 서비스 이용자 평가 목적으로 알리페이로 제공했다. 애플이 제 3국의 수탁자인 알리페이를 통해 개인정보를 국외로 이전해 처리하는 사실을 이용자에게 알리지 않은 사실도 확인됐다.
애플의 결제시스템 통합서비스를 담당하는 알리페이는 애플 서비스 내 결제 요금 청구와 관련한 이용자 평가 모델인 ‘NSF 점수 산출 모델’을 구축하기 위해 카카오페이에 이용자 개인정보를 요구했다. 카카오페이는 2018년 4월부터 7월까지 총 3회에 걸쳐 약 4000만 명의 개인정보 542억 건을 전송했다. 전송된 개인정보에는 암호화(해시)된 휴대전화번호, 이메일 주소, 충전 잔고 등 민감한 24개 항목이 포함됐다. 알리페이는 이렇게 확보한 이용자 개인정보로 NSF 점수를 산출해 이용자가 결제액 청구 시 자금부족 가능성이 있는지 판별한 뒤 애플에 제공했다.
특히 카카오페이는 전체 이용자 중 애플에 카카오페이를 결제수단으로 등록한 이용자가 20% 미만에 불과했는데도 애플을 이용하지 않는 이용자의 정보까지 모두 전송한 것으로 드러났다. 개인정보위에 따르면 애플과 연동된 국내 결제수단 중 알리페이에서 NSF 점수를 산출하는 곳은 카카오페이 뿐이다.
애플은 결제 관련 업무를 알리페이에 위탁해 카카오페이 이용자의 개인정보를 처리하도록 하면서 개인정보 처리 위탁 및 국외이전 사실을 이용자에게 고지하지 않았다. 애플은 국외 수탁자로 시스템 통합 및 결제정보 등 중계 역할을 하는 NHN KCP만 공개하고 알리페이는 공개하지 않았다. 반면 구글은 개인정보처리방침에서 알리페이를 국외 수탁자로 공개한다.
향후 카카오페이는 대응방안을 검토하고 추가 소명 절차에 나선다는 입장이다. 카카오페이 관계자는 “카카오페이를 믿고 써주시는 사용자들께 애플 앱스토어 결제와 관련해 심려를 끼쳐 죄송하다”며 “이번 사안에 대해 안전한 결제 환경을 제공하기 위해 꼭 필요한 절차라는 점, 그 처리 근거를 성실히 소명했으나 이러한 결과를 맞게 돼 안타깝게 생각한다”고 설명했다. 이어 “향후 대응방안을 신중히 검토해 계속해서 소명해나갈 것”이라며 “더 안심하고 이용할 수 있는 카카오페이가 되도록 노력하겠다”고 말했다.
개인정보위는 “이번 조사는 글로벌 플랫폼 서비스의 확대로 개인정보 국외이전이 증가하는 상황에서 개인정보 국외 이전의 범위를 명확히 하고 사업자가 적법 요건을 반드시 준수해야 한다는 점을 재확인했다는 의의가 있다”며 “사업자는 개인정보 국외 이전이 수반되는 서비스 제공 시 정보주체의 별도 동의를 받거나 국외 수탁자에게 개인정보 처리를 위탁하는 경우 개인정보처리방침 등을 통해 개인정보가 국경을 넘어 이전되는 사실을 반드시 알려야 한다”고 강조했다. 이어 “개인정보 처리를 외부에 위탁하는 경우 위탁자가 정보주체에 대한 책임을 부담해야 한다”고 덧붙였다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
jin@sedaily.com
