알리페이에 불법으로 고객 정보를 제공한 적이 없다는 카카오페이의 해명에 금융감독원이 반박했다.

금융감독원은 14일 보도 참고자료를 통해 “카카오페이가 알리페이와 체결한 일체의 계약서를 확인한 결과, 카카오페이가 알리페이에 '고객별 신용점수(NSF) 스코어 산출·제공 업무'를 위탁하는 내용은 전혀 존재하지 않는다"고 밝혔다. NSF스코어 애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수를 말한다.

카카오페이는 사용자의 동의가 필요 없는 업무 위수탁 관계에 따른 신용정보의 처리위탁에 해당하고, 철저한 암호화를 통해 전달되어 원본 데이터를 유추해 낼 수 없으므로 알리페이에 고객 동의 없이 불법으로 정보를 제공한 사실이 없다는 입장이다.

금감원은 "카카오페이가 회원 가입과 해외 결제 시 요구하는 약관과 동의서를 확인한 결과 'NSF스코어와 관련한 고객정보 제공'을 유추할 수 있는 내용이 존재하지 않는다"며 "카카오페이가 홈페이지에 공시한 '개인신용정보 처리업무 위탁' 사항에도 관련 내용이 포함돼 있지 않다"고 지적했다.

금감원은 대법원 판례를 인용하며 "신용정보 처리 위탁이 되기 위해선 △위탁자 본인의 업무 처리와 이익을 위한 경우로서 △수탁자는 위탁 사무 처리 대가 외에는 독자적인 이익을 가지지 않고 △위탁자의 관리·감독 아래에서 처리한 경우 등에 해당해야 하는 바 본 건은 이에 해당하지 않는다"고 짚었다.

원본 데이터 유추 가능 여부와 관련해선 "카카오페이는 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 암호화 프로그램(SHA256)을 사용했다"며 "해시처리(암호화) 함수에 랜덤값을 추가하지 않고 해당 정보(전화번호, 이메일 등) 위주로만 단순하게 설정했다"고 했다.

특히 "해시처리 함수를 지금까지 한 번도 변경한 사례가 없다"며 "가장 일반적인 암호화 프로그램으로 일반인도 복호화가 가능한 수준으로 원본 데이터 유추가 가능하다"고 강좼다.

그러면서 "알리페이가 애초 카카오페이에 개인신용정보를 요청한 이유는 개인신용정보를 애플 아이디에 매칭하기 위한 것이었고, 이를 위해선 복호화해야 가능하다"며 "알리페이가 애플에 특정 카카오페이 고객의 NSF스코어를 제공하면서 개인신용정보를 식별하지 않는다는 주장은 모순"이라고 덧붙였다.

금감원은 "그동안 개인신용정보 등이 동의 없이 제3자에게 제공되는 경우 엄정하게 처리해왔다"며 "앞으로도 유사사례 재발방지를 위해 노력하겠다"고 전했다.