전체메뉴

닫기

‘역대급 정보 유출’ 카카오페이의 배신

542억건 중국에 바쳤나

[일요시사 취재1팀] 김철준 기자 = 올해 카카오그룹은 계속 여기저기서 논란이 발생하고 있다. 이번엔 카카오페이서 개인정보 불법 제공이 밝혀졌다. 카카오페이는 이번 사건에 대해 적법적인 정보 위수탁이라고 해명했다. 하지만 금융감독원(이하 금감원)은 고삐를 늦출 생각이 없어 보인다. 지난 5월에 개인정보 유출로 국내 최대 과징금 철퇴를 맞은 가운데 카카오와 개인정보보호위원회가 행정소송을 예고한 가운데 이번에는 카카오페이와 금감원의 소송이 이뤄질 것으로 전망된다.

카카오 그룹에 악재가 또 겹쳤다. 이번엔 카카오페이다. 카카오페이서 고객의 동의 없이 고객정보를 알리페이와 애플에 넘긴 사실이 적발됐기 때문이다. 카카오페이는 불법으로 정보를 제공한 것이 아니라는 입장을 내세우지만 금감원과 개인정보보호위원회(이하 개인정보위)의 제재는 이어질 것으로 전망된다.

최대 과징금 
실제로 맞나

지난 4~7월 금감원서 실시한 현장감사 결과에 따르면 카카오페이가 해외 결제 부문서 고객 동의 없이 제3자인 알리페이에 개인정보를 제공했다.

조사 결과에 따르면 카카오페이는 지난 2018년 4월부터 현재까지 매일 1차례 누적 4045만명의 카카오 계정 ID와 휴대전화 번호, 이메일, 카카오페이 가입 명세, 카카오페이 거래 명세(잔고, 충전, 출금, 결제, 송금 등) 등 542억 건의 개인신용정보를 알리페이에 제공했다.

금융당국에 따르면 카카오페이가 알리페이 측에 고객 개인신용정보를 넘긴 것은 애플 앱스토어에 결제 서비스를 제공하기 위해서다. 애플은 자사 앱스토어 입점을 원하는 결제 업체에게 고객과 관련된 데이터를 요구한다.


이때 해당 데이터는 고객 개인정보 등을 바탕으로 재가공해서 만들어지는데, 카카오페이가 이 재가공 업무를 알리페이 계열사에 맡기면서 개인신용정보가 넘어간 것이다. 하지만 정작 재가공된 정보는 애플 측에 제공되지 않은 것으로 알려졌다. 

금감원에 따르면 카카오페이가 위반한 법은 ▲신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) ▲개인정보보호법 등 2가지다. 

신용정보법 제32조에는 신용정보제공·이용자가 개인신용정보를 타인에게 제공하려는 경우에는 대통령령으로 정하는 바에 따라 해당 신용정보 주체로부터 개인신용정보를 제공할 때마다 미리 개별적으로 동의를 받아야 한다고 규정하고 있다.

개인정보보호법에 따르면 개인정보의 국외 이전은 원칙적으로 금지하되 예외적으로 ▲정보 주체로부터 국외 이전에 관한 별도의 동의를 받은 경우 ▲법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우 ▲정보주체와의 계약 체결 및 이행을 위해 개인정보의 처리위탁·보관이 필요한 경우(이전되는 개인정보 항목, 개인정보가 이전되는 국가, 시기 및 방법 등을 알려야 함) ▲개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 개인정보보호법이 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우에는 개인정보를 국외로 이전할 수 있도록 규정한다.

알리페이·애플에 고객정보 넘겨
6년간 매일 제공…금감원 감사 적발

신용정보법과 개인정보보호법 모두 ‘정보 주체의 동의’가 있어야 한다고 규정하고 있다. 금감원은 카카오페이가 개인정보를 제공하면서도 전혀 동의를 받지 않은 것을 불법으로 보고 있다. 하지만 카카오페이는 전혀 불법적인 개인정보 제공이 아니라는 입장이다.

카카오페이는 불법적으로 개인정보를 제공했다는 보도가 잇따르자 애플 앱스토어 결제 수단 제공을 위해 정상적으로 고객 정보 위수탁한 것이라고 반박했다.


카카오페이 관계자는 “카카오페이는 알리페이와 애플과의 3자 협력을 통해 애플 앱스토어서 결제가 가능하도록 하는 데 필수적으로 필요한 부정결제 방지 절차를 마련했다”며 “높은 수준의 부정결제 방지 프로세스를 요구하는 애플은 글로벌 최대 핀테크 기업 알리페이와 오래전부터 협력 관계를 구축해 왔고 카카오페이를 앱스토어 결제 수단으로 채택하는 것에 있어 알리페이의 시스템을 활용할 것을 권고해 이에 따라 3자 간 협력관계를 구축하게 됐다”고 설명했다.

그러면서 “이 과정서 해당 결제를 위해 꼭 필요한 정보 이전은 사용자의 동의가 필요없는 카카오페이-알리페이-애플 간의 업무 위수탁 관계에 따른 처리 위탁 방식으로 이뤄져 왔다”고 부연했다.

신용정보법 제17조 제1항서 개인신용정보의 처리 위탁으로 정보가 이전되는 경우에는 정보 주체의 동의가 요구되지 않는 것으로 규정하는 점을 들어 불법이 아니라고 주장한 것이다. 처리 위탁은 위탁자(카카오페이)가 원활한 업무처리를 위해 제3자에게 정보를 제공하는 것이다. 이는 사용자 동의가 불필요하다.

게다가 철저한 암호화를 통해 전달해 마케팅 등 다른 어떤 목적으로도 제공한 정보를 활용할 수 없다고 강조하기도 했다. 

어떤 목적
사용됐나

카카오페이 관계자는 “카카오페이는 알리페이에 정보를 제공함에 있어 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치를 하고 있다”며 “사용자를 특정할 수 없으며, 원문 데이터를 유추해낼 수 없고, 절대로 복호화할 수 없는 일방향 암호화 방식이 적용돼있어 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다”고 말했다.

이어 “카카오페이는 지난 5월 금감원의 현장 검사 이후 지금까지 어떠한 공식적인 검사 의견서도 받지 못했으며, 이 같은 내용이 언론에 먼저 알려지게 되어 매우 당황스럽게 생각한다”며 “향후 조사 과정서 적법한 절차를 통해 입장을 밝히고 성실하게 소명할 것”이라고 전했다.

카카오페이의 이 같은 해명에도 금감원과 개인정보위는 카카오페이에 관한 제재를 이어간다는 입장이다.

임종건 금융감독원 외환감독국장은 “익명 정보가 돼야 동의가 불필요한 것”이라며 “암호화를 했다고 하더라도 추가 정보로 개인 식별이 가능하면 가명 정보로 볼 수 있어 동의를 받아야 하는 게 맞다”고 지적했다.

개인정보위는 개인정보보호법상 개인정보 국외 이전 의무 준수와 관련한 사실관계 확인을 위해 카카오페이 등에 자료제출을 요구할 계획이다. 이후 카카오페이가 제출한 자료에 대한 면밀한 검토를 거친 후 조사 착수 여부를 결정한다는 방침이다.

카카오그룹은 지난 5월에도 개인정보 유출로 인해 국내 최대 과징금 철퇴를 맞기도 한 만큼 이번 개인정보 보호를 전혀 못하고 있다는 비판적 여론이 크게 나오고 있다.

앞서 개인정보위는 지난해 3월 카카오톡 ‘오픈채팅’ 이용자의 개인정보가 불법 거래되고 있다는 언론 보도에 따라 조사에 착수했다. 당시 익명 채팅인 오픈채팅방을 통해 개인정보가 유출됐다는 점에서 논란이 됐다. 


과징금 
맞고 또…

오픈채팅에선 일반 채팅에 보이는 실명이나 전화번호가 뜨지 않고, 개인이 설정한 닉네임만 보인다. 다만 시스템서 이용자를 식별하기 위한 고유 ID가 주어진다. 문제는 오픈채팅방의 ID 뒷자리가 일반 채팅방서 주어지는 회원일련번호 일부와 같았다는 점이다.

해커는 우선 카카오톡 오픈채팅방의 보안 취약점을 파고들어 오픈채팅 이용자들의 고유 ID를 확보했다. 다음으로 카카오톡 ‘친구 추가’서 휴대전화번호를 무작위로 대량 등록해 일반 채팅 이용자 정보도 확보했다. 이들 정보를 회원 일련번호를 기준으로 대조해 서로 겹치는 이용자들을 찾아냈다.

불법 프로그램으로 이 과정을 반복해 카카오톡 이용자들의 개인정보를 생성·판매할 수 있었다.

개인정보위는 카카오가 서비스 설계·운영 과정서 ‘안전조치 의무’를 위반했다고 지적하며 개인정보보호 법규를 위반한 카카오에 대해 과징금 151억4196만원과 과태료 780만원을 부과하고 시정명령과 처분 결과를 공표하기로 의결했다.

개인정보위 한 관계자는 “2020년 8월 이전 만들어진 오픈채팅방은 참여자의 임시 ID를 암호화하지 않아 회원일련번호를 쉽게 확인할 수 있었고 오픈채팅방 공지 기능에서도 편법으로 암호화된 ID의 일련번호 역시 확인할 수 있었다”며 “또 카카오가 오픈채팅방 이용자의 개인정보가 유출된 사실을 인지하고도 신고와 이용자 통지를 하지 않아 ‘유출 신고·통지 의무’도 위반했다고 판단해 해당 과징금을 부과했다”고 설명했다..


당시 카카오는 현재 모든 온라인 서비스에 이용되고 있는 회원 일련번호 자체는 숫자로 된 문자열이어서 개인정보로 보기 어렵다고 반박했다. 그 자체로는 개인을 식별할 수 없다는 취지였다. 카카오는 개인정보위의 제재 직후 행정소송을 포함한 적극적인 대응방안을 찾겠다고 밝힌 바 있다. 

사측 “위수탁이라 적법”
당국 “동의 없어 불법”

개인정보위도 카카오와 진행할 행정소송 준비에 돌입했다. 다만 카카오에 처분서를 아직 전달하진 않은 상황이다.

서정아 개인정보위 대변인은 “법적 표현이나 법리적인 부분에 완성도를 높이고 있어 처분서 전달에 시간이 걸리고 있다”면서 “빠른 시일 내에 마무리할 수 있으면 좋겠지만, 시간에 쫓겨 서둘러 만들 생각은 없다”고 말했다.

소송 전담팀도 조만간 꾸려질 전망이다. 최 부위원장은 “소송 전담 변호사를 한 명 채용해서 소송 전담할 수 있도록 하겠다”고 부연했다.

카카오와 개인정보위의 행정소송은 조만간 진행될 예정이다. 회사는 통지, 공고 등으로 행정처분을 인지한 날부터 90일 이내에 행정소송을 내야 하는데 8월18일 기준 이미 88일이 지났기 때문이다. 법조계에서는 해당 재판이 개인정보보호 관련해 정부의 제재가 과학적 발전을 따라갈 수 있는지 판단할 중요한 갈림길로 보고 있다.

한 보안 전문 형사 변호사는 “해당 사건서 쟁점이 될 일련번호의 개인정보 유무 등은 법률이 미처 따라오지 못한 현실을 보여주는 것”이라며 “이번 판결로 선례가 생기면 향후 재판에도 지대한 영향을 미칠 것”이라고 봤다.

정보보호 관련 전문가들은 오픈채팅방 개인정보 유출 사건의 결과가 이번 카카오페이 개인정보 불법 제공 사건에도 영향을 미칠 것으로 보고 있다.

한국정보보호학회 한 관계자는 “오픈채팅방 개인정보 유출과 이번 사건은 일련의 암호화가 쟁점인 것이 같다”며 “오픈채팅방 사건서 카카오의 안전관리 의무 위반이 인정되면 이번 사건서도 똑같이 인정될 가능성이 높다”고 전망했다.

알리익스프레스도 개인정보 유출로 개인정보위로부터 과징금이 부여된 적이 있어 제공된 개인정보가 안전하다고 보장할 수 없다는 의견도 나온다.

앞서 개인정보위는 중국계 이커머스 업체인 알리익스프레스를 상대로 개인정보보호법 위반 행위로 과징금 19억7800만원과 과태료 780만원 부과 및 시정조치 명령을 내렸다. 한국 이용자의 개인정보를 제대로 된 공지 없이 중국과 인근 국가에 위치한 18만여개 판매 업체에 넘긴 것이 가장 큰 지적 사항이다.

2·3차
유출도?

한 개인정보위 관계자는 “알리페이로 전달된 만큼 해당 정보가 다시 제3의 국가로 넘어갔을지 여부는 확인을 해봐야 한다”며 “4000만명이 넘는 542억건의 정보가 제3~4국가로 넘어가게 되는 것은 매우 위험하다”고 강하게 우려했다.

카카오페이 관계자는 이에 대해 “ 알리페이가 속해 있는 앤트그룹은 이커머스 플랫폼 알리바바 그룹과는 별개의 독립된 기업이며, 카카오페이의 고객정보가 동의 없이 중국 최대 커머스 계열사에 넘어갔다고 주장하는 것은 어불성설”이라고 말했다.

<kcj5121@ilyosisa.co.kr>

 

저작권자 ©일요시사 무단전재 및 재배포 금지

독자 여러분들의 제보가 세상을 바꿉니다. jebo@ilyosisa.co.kr

김철준 기자 의 전체기사 보기
배너

설문조사

진행중인 설문 항목이 없습니다.

많이 본 뉴스

댓글 많은 뉴스

일요시사 주요뉴스

<단독> 국방부, 내란 문건 ‘대청소 프로젝트’

[단독] 국방부, 내란 문건 ‘대청소 프로젝트’

[일요시사 취재1팀] 오혁진·김철준 기자 = 12·3· 내란 사태와 관련된 국방부 문건이 대규모로 파쇄된 것으로 파악됐다. 이 조치는 오영대 전 인사기획관의 지시로 이뤄졌다. 오 전 기획관은 검찰 특수본과 재판서 정보사와 수사2단 인사안의 문제점을 증언했던 인물이다. 자신이 비상계엄에 적극적으로 가담한 사실을 숨기기 위해 수사에 협조한 것으로 의심되는 대목이다. “올해 초 신년맞이 대청소라면서 문서를 대량으로 파쇄했다.” <일요시사>와 접촉한 국방부 직원들의 말이다. 파쇄된 문건들은 12·3 내란 사태와 관련된 자료라고 한다. 지시자는 오영대 전 국방부 인사기획관이다. 검찰 수사에 협조했던 인물로 알려져 있으나 실상은 다르다는 게 군 내부자들의 주장이다. 뭘 숨기나 안규백 국방부 장관이 지난달 말 취임하면서 시작한 첫 번째 군 개혁은 인사다. 신임 인사기획관에 일반 공무원 출신인 이인구 군사시설기획관을 임용한 건 안 장관이 강조해 왔던 ‘군 문민통제’와도 맞닿아 있다. 인사기획관은 본래 예비역 장성이 맡아왔다. 이 신임 기획관의 전임자였던 오 전 기획관도 예비역 준장 출신이다. 군 내부에서는 국방부에 여전히 12·3 내란 사태에 협조한 군인들이 남아 있다고 지적한다. 핵심으로 인사기획관실의 총괄과이자 인사기획관의 일정, 예산 등을 모두 관리하는 인사기획관리과가 언급된다. 다수의 국방부 관계자들은 “오 전 기획관은 물러났지만 책임져야 할 다수의 인물이 아직 자리를 보전하고 있다”고 전했다. 이 부서의 간부들은 전부 육군사관학교 출신이다. 과장 김모 대령은 오 전 기획관이 대령이었을 때 소령으로 근무했고, 총괄 이모 중령은 오 전 기획관이 특전사 여단장을 역임했던 1공수여단서 중대장과 707중대장을 거쳤다. 장군인사팀장 김모 대령은 김용현 전 국방부 장관이 수도방위사령관으로 근무했던 시절 비서실장을 역임하기도 했다. 김 전 장관과 가깝거나 육사 출신인 이들이 국방부 인사의 핵심부서인 인사기획관리과에 포진하면서 계엄 실행을 위한 보직 이동이 이뤄진 셈이다. 김 전 장관은 실제 대통령경호처장일 때부터 노상원 전 국군정보사령관과 군 인사에 대해 논의했다. 직무에서 배제되지 않은 인사기획관리과 간부들은 ‘장관이 모든 책임을 오 전 기획관에게 묻는 형식으로 퇴직을 시켰으니 우리는 지시를 받아 어쩔 수 없이 한 것처럼 조용히 지내면서 정부초기 개혁의 소나기만 피하면 진급 가능’이라며 서로서로 쉬쉬하고 있다고 한다. <일요시사> 취재를 종합하면 인사기획관리과 간부들은 내란 이후인 지난해 12월 중순 오 전 기획관의 지시에 따라 문건 파쇄를 계획했다. 김 전 장관이 물러난 이후 인사기획관리과장 김 대령 및 총괄인 이 중령 외에는 계획되지 않은 대면보고는 금지했고 내부 보안에 심혈을 기울였다. 인사과 간부들 계엄 실패 후 12월 계획···1월 파쇄 “지시자는 검찰 수사 응했던 오영대 전 인사기획관” 한 달여 뒤 이 중령은 모든 과에 ‘신년맞이 대청소’를 하라고 전파했다. TF 자리 배치와 오래된 문건을 정리한다며 유독 인사기획관리과만 복도로 책상을 빼고, 대량 세절이 가능한 세절실을 예약해 엄청난 양의 문서들을 파쇄했다. 여기엔 내란 핵심 파일도 포함된 것으로 파악됐다. 안 장관은 이와 관련해 국회에서 오 전 기획관에게 여러 차례 질문한 바 있다. 당시 오 전 기획관이 당황해하며 우물쭈물하는 모습이 담긴 동영상이 퍼지기도 했다. 이 중령은 동영상을 보며 웃는 직원들의 명단과 안 장관에게 제보한 인물을 색출하기 위해 탐문 활동을 벌여 오 전 기획관에게 추정해 보고했다. 이들은 모두 오 전 기획관으로부터 승진추천, 성과상여금, 각종 포상 등 인사상 불이익을 본 것으로 전해진다. 이들이 문건을 파쇄한 이유는 내란에 적극적으로 가담했기 때문으로 보인다. 내란 당일 오후 10시가 넘은 시각임에도 퇴근하지 않고 사무실에 있던 오 전 기획관의 지시를 받은 이 중령은 각 과의 총괄 담당자들을 소집해 ‘계엄 선포가 됐는데 선제적으로 인사 관련 조치를 왜 안 하냐’ ‘합참에는 계엄사령부가, 지작사령부에는 지역계엄사령부가 곧 창설될 텐데 각 군 본부 및 지작사와 인사 지침을 협의해 계엄령 취지에 맞게 배포하라’고 강조했다. 특히 오 전 기획관은 계엄 해제 결의안이 국회 본회의 테이블을 통과했음에도 합동참모본부 전투통제실에서 이 중령에게 “(계엄이) 해제되긴 했는데 다시 시행될 수도 있으니 빨리 계엄사 창설 지원을 위한 인사 조치를 완성하고 지작사 병력에 대한 휴가 지침 및 통제 등 건의 사항을 받아보라”고 지시한 것으로 알려졌다. 오 전 기획관은 내란 직전까지 김 전 장관의 의중에 따라 군 인사를 반영했다. 최근 내란 특검팀이 군 장성급 인사 자료 확보에 나선 것도 이에 관해 들여다보기 위한 것으로 확인됐다. 특검팀은 최근 국방부 장군인사팀과 육군본부 장군인사실 등을 압수수색해 해당 부서 내 인사 관련 파일 등을 확보했다. 정치권에선 지난 2023년 11월과 지난해 4월 이례적인 인사가 이뤄졌다는 지적이 제기됐다. 진급에 절박한 군 인사들을 계엄 실행 세력으로 활용했단 의혹이다. 더불어민주당 추미애 의원은 “윤석열정부 장군 인사는 특이하고, 이례적인 경우가 유독 많았다”며 “인사를 통해 군을 장악하고, 내란을 준비했다는 의혹 관련 특검의 철저한 수사가 필요하다”고 말했다. “2·3차 계엄 대비 문건 없애” 증거 인멸 국회서 해제 불구 지작사와 인사 논의? 내란중요임무종사 혐의로 재판에 넘겨진 여인형 전 방첩사령관, 이진우 전 수도방위사령관, 곽종근 전 특수전사령관은 지난 2023년 11월 인사에서 소장에서 중장으로 진급했다. 박안수 전 계엄사령관은 ‘75주년 국군의 날 행사기획단장 겸 제병지휘관’ 등 한직에서 2023년 10월 육군참모총장에 발탁됐다. 지난해 4월엔 지휘부에 이어 작전본부 인사가 이어졌다. 원천희 당시 육군 소장이 4차 진급으로 합참 정보본부장으로 승진했고, 이승오 소장은 군단장을 거치지 않고 합참 작전본부장으로 진급했다. 안찬명 당시 육군22사단장은 임명 5개월 만에 합참 작전부장으로 보직을 옮겼다. 통상 사단장은 1년 반~2년가량 보직을 맡는다. 군 안팎에서 이례적이란 평가가 나왔던 이유다. 경질 위기이던 문상호 전 정보사령관은 유임됐다. 그는 지난해 6월 정보사 군무원의 블랙요원 명단 국외 유출 사건 및 박민우 전 정보사 100여단장과의 갈등 등으로 논란의 중심에 섰다. 당시 국방부 장관이던 신원식 전 안보실장은 지난해 8월 국회에서 “후속 조치를 강하게 할 생각”이라고 언급했지만, 다음 달 본인이 장관직에서 물러났다. 검찰 비상계엄 특별수사본부는 군 관계자에게서 “노 전 사령관과 김 전 장관이 장군들 인사에 대해 논의했고 오 전 기획관에게 전달됐다”는 진술을 확보한 바 있다. 위기감을 느낀 오 전 기획관은 특수본 수사에 적극적으로 협조하기 시작했다. <일요시사>가 입수한 오 전 기획관의 특수본 진술조서를 보면 그는 “신원식 (전 국방부) 장관이 저와 원천희 국방부 정보본부장에게 문 전 사령관에 대한 보직해임·정보사령관 교체 검토를 지시했으나 지난해 9월6일, 김 전 장관이 취임하면서 문 전 사령관에 대한 ‘현 보직 유지’를 지시했다”며 “납득하기 어려운, 이해하기 어려운 인사였다”고 했다. 앞뒤 달랐다 오 전 기획관은 “(문 전 사령관이 박 준장으로부터 고소당한 혐의가) 어느 정도 사실로 확인됐지만 문 전 사령관에 대한 인사 조치는 없었다”며 “공론화된 문제고 어느 정도 사실로 확인됐는데도 이렇게 유야무야 넘어가는 일은 거의 없다고 생각한다”고 말했다. <hounder@ilyosisa.co.kr> <kcj5121@ilyosisa.co.kr>
기사 더보기 :