개인정보 국외 이전 고지의무 위반
애플 국내 대리인 “증빙자료 없어”
카카오 정보 제공, 보안 위험 수준

애플페이가 수천만 명에 달하는 국내 소비자의 개인정보를 중국 알리페이에 넘긴 것으로 확인된 가운데, 우리 정부와 기관의 조사에는 무성의한 답변만 늘어놓으면서 공분을 사고 있다. 그간 경쟁사 대비 뛰어난 보안을 자부해 왔던 애플의 이중적 태도에 많은 소비자가 실망감을 감추지 못하는 모습이다. 이에 애플페이 등이 받게 된 처분에도 많은 이목이 쏠린다.

대부분 질의에 ‘모르쇠’로 일관

26일 개인정보보호위원회(개보위)에 따르면 지난달 개보위 등은 국내 소비자 약 4,000만 명의 개인정보를 중국의 알리페이로 넘긴 카카오페이와 애플페이 등에 대한 처분 논의를 위해 총 두 차례의 전체회의를 진행했다. 전날 개보위가 공개한 당시 전체회의 속기록에 의하면 애플 국내 대리인은 ‘알리 등 다른 기업에서 NSF를 받아 활용한 국가는 또 어디냐’는 질문에 “클라이언트(본사)에 말씀드려야 되는 상황이라 공개적으로 말씀드리기 어렵다”며 즉답을 피했다.

NSF 점수란 애플이 자사 서비스 내 여러 건의 소액결제를 한 건으로 묶어 일괄 청구할 때 자금 부족 가능성을 판단하기 위해 산정하는 고객별 점수를 의미한다. 앞서 개보위 조사 결과 애플은 알리페이에 카카오페이 이용자의 결제정보 전송과 NSF 점수 산출을 위한 개인정보 처리를 위탁하면서 정보의 국외 이전과 관련한 내용을 국내 이용자에게 알리지 않았다는 사실이 확인됐다.

이번 사안의 경위를 입증할 수 있는 문건이 있냐는 질문에도 애플 측은 “담당자 중 퇴사한 분들이 많아 이메일을 못 찾았고 증빙자료도 없다”고 잘라 말했다. 개보위의 관련 자료 제출 요구에 대해서는 “찾지 못했지만, 애플 본사에 요청해 보겠다”는 모호한 답변을 내놨다. 이에 2차 회의에서는 “대부분 질의에 모르쇠로 일관하는 게 피심인으로서의 태도인지 의문”이라는 지적이 위원들의 비판이 쏟아지기도 했다.

관계자들은 다국적 기업에 대한 처분에 현실적 한계가 존재한다고 입을 모았다. 개인정보보호법에 따라 국내에 주소나 영업장이 없는 기업은 국내 대리인을 지정하고 개인정보 보호책임자의 업무와 개인정보 유출 등의 통지 및 신고 업무를 부여해야 하는데, 해당 제도의 실효성이 떨어진다는 지적이다.

이들 대리인 대부분이 홍보나 마케팅 업무 정도만 수행하는 탓에 주요 정보를 숙지하지 않는 것은 물론, 본사의 승인 없이는 특정 사안에 대한 입장을 밝히기도 어렵다는 게 개보위 관계자들의 일관된 지적이다. 한 개보위 위원은 “국내 기업의 경우 지속적으로 문제를 제기하고 현장 조사까지 벌일 수 있지만, 다국적 기업의 경우는 다르다”고 짚으며 “만약 한국 정부가 국외 기업의 본사로 현장 조사에 나선다면 주권 침해 논란 등 소지가 있어 국가 간 양해가 꼭 필요하다”고 말했다.

알리페이 뒤에 카카오페이

이번 사안으로 국내 핀테크 기업의 부실한 개인정보 관리 또한 도마 위에 올랐다. 애플의 NSF 점수 산출을 위해 카카오페이 이용자들의 개인정보가 활용된 것으로 확인되면서다. 개보위의 조사에서 카카오페이는 2019년 6월부터 2024년 5월까지 약 4,000만 명의 개인정보를 당사자 동의 없이 애플 서비스 이용자 평가 목적으로 중국 알리페이에 제공한 것으로 파악됐다. 카카오페이는 애플 서비스를 이용하지 않는 고객까지 포함 전체 이용자 정보를 알리페이에 전송했으며, 누적 정보 전송 건수는 약 542억 건에 달했다.

카카오페이가 제공한 정보는 소비자별 고유번호, 휴대전화 번호, 이메일주소 등이다. 여기에 자금 부족 가능성을 산출하는 데 상관관계가 있는 카카오페이 가입일, 신분증이 확인된 계정여부, 충전잔고, 최근 7일 충전·결제·송금 건수 등도 포함됐다. 심지어 카카오페이는 이들 정보를 제공하는 과정에 가장 낮은 수준의 비식별 조처만 한 것으로 확인돼 논란을 키웠다.

이를 두고 한 보안업체 관계자는 “가명 처리할 때는 반드시 솔트값이나 키값(랜덤값)을 넣어 역방향으로 암호화를 풀 수 없게끔 해야 한다”며 “카카오페이가 공개된 암호화 프로그램을 사용하면서 이런 과정을 거치지 않아 알리페이에서도 마음만 먹으면 원본 데이터 유추가 가능한 상황”이라고 꼬집었다.

기업에 더욱 큰 책임을 지우는 방안이 필요하다는 목소리가 높아지는 이유 또한 여기에 있다. 소비자 정보 보호를 위한 안전조처가 수반되지 않으면, 서비스에 대한 불신으로 이어져 결국 전체 산업 경쟁력 하락으로 이어질 수 있다는 지적이다. 개인정보전문가협회장을 역임 중인 최경진 가천대 법학과 교수는 “정보 보호가 담보돼야 힘들게 유치한 이용자를 유지할 수 있고, 수익 역시 기대할 수 있다는 사실을 IT 기업들이 인식해야 한다”며 “외부 전문가가 참여한 정보보호 준수 체계를 기업들이 제대로 갖춰야 한다”고 제언했다.

59억·24억원 과징금, 시정명령 이행은 “글쎄”

애초 카카오페이는 알리페이에 국내 소비자들의 정보를 제공한 것과 관련해 “동의 절차가 필요 없는 위수탁 계약이며, 불법적으로 정보를 제공한 사실이 없다”는 입장을 밝힌 바 있다. 그러면서 “신용정보법 제17조 제1항에 따라 개인신용정보 처리 위탁으로 정보가 이전되는 경우, 정보 주체의 동의가 요구되지 않는다”고 주장했다.

하지만 금융감독원의 판단은 달랐다. 신용정보법과 개인정보보호법에 따르면 개인신용정보를 수집하거나 수집된 정보를 다른 곳에 제공할 경우 당사자 동의를 받아야 하는데, 카카오페이가 이를 지키지 않았다는 지적이다. 나아가 알리페이는 해외에 지점을 두고 있어 개인정보 국외 이전에 대한 동의도 받아야 하지만 이 역시 생략됐다는 것이다.

결국 개보위는 지난달 23일 열린 2차 전체회의에서 카카오페이와 애플페이에 각각 59억6,800만원, 24억500만원의 과징금을 부과했다. 또 애플페이에는 과징금 외에 220만원의 과태료를 부과하고, 알리페이에는 NSF 점수 산출 모델을 파기하도록 시정명령했다. 개보위 측은 “이번 처분은 개인정보 국외 이전과 관련한 내용에 한정하며, 카카오페이의 신용정보법 위반에 대해선 주무부처인 금융감독원이 조만간 별도의 제재를 결정할 예정”이라고 밝혔다.