귀에 빡 박히는 이슈 맛집 '귀에 빡!종원'. SBS 최고의 스토리텔러 김종원 기자가 전해드립니다.
이번 개인 정보 유출은 금감원의 조사에서 밝혀진 건데, 넘어간 정보의 양이 너무 어마어마하다 보니 금감원 발표를 보면서도 실감이 나지 않는 정도이다. 심지어 해킹을 당한 것도 아니고 카카오페이 측이 직접 알리페이에 정보를 넘겼다고 하니 궁금증이 들 정도이다. '국민 메신저라는 카카오가 왜 이런 짓을 했지?', '어떻게 이런 일을 벌일 수가 있지?'
그래서인지 카카오 측도 금감원의 발표에 이례적으로 정면 반박하고 나섰다. 개인정보가 넘어간 건 사실이지만, 정당한 정보였고 국가 정보 보안 측면에 아무 문제가 없다는 것이다. 하지만 카카오의 이런 주장에도 불구하고 소비자는 불안할 수밖에 없다. 특히나 이 정보가 넘어간 알리페이의 모기업이 중국 기업이다 보니 불안감은 더 커질 수밖에 없다. 정말 카카오의 잘못은 없는지, 소비자들은 안심하고 간편 결제를 계속 써도 되는지 알아봤다.
간편 결제의 시대
간편 결제, 이른바 '페이'는 신용카드와 같은 기존 결제 체계를 간소화하고자 만들어졌다. 소비자가 굳이 지갑을 들고 다니지 않아도, 굳이 삼성페이 결제를 위해 휴대폰을 카드 단말기에 가져다 대지 않아도, 바코드 하나 띡 찍는 것만으로 간단하게 결제가 되도록 만들어졌다. 사업자 입장에서도 기존 신용카드 등과는 다르게 결제 과정을 단순화하고 수수료 비용도 낮추는 데 유효하다.
우리나라의 대표적인 페이 시스템은 이른바 네·카·토라 불리는 네이버페이, 카카오페이, 토스페이가 있다. 이들은 소비자 입장에서도, 사업자 입장에서도 기존 결제 서비스의 번거로운 점을 대폭 수정하며 빠르게 시장 점유율을 확대하고 있다.
하지만 이들은 국내 서비스에 한해서다. 천하의 네이버와 카카오, 토스페이도 국내를 벗어나 해외로 나가면 무명이나 다름없다. 쓰고 싶어도 받아주는 곳이 없는 것이다. 그래서 결국은 이미 세계 시장에서 간편 페이 사업을 활발하게 벌이고 있는, 글로벌 간편 결제 기업과 손을 잡아야 하는데, 그게 바로 중국 알리바바가 모기업인 '알리페이'이다.
생각해 보면 간단하다. 과거 현금을 사용할 때 해외 어디서도 원화를 바로 받아주는 곳은 없다. 기축통화인 달러를 거쳐야만 한다. 신용카드로 넘어와서도 마찬가지이다. 우리가 현대카드, 삼성카드, BC카드와 같은 국내 카드를 사용하지만, 이들이 해외에서도 결제가 되는 이유는 국제적 카드 회사인 비자·마스터에 수수료를 내며 이들의 망을 이용하기 때문이다. 즉, 외국에서 현대카드, 삼성카드를 받아주는 게 아니라 비자나 마스터카드를 받아주는 것이다. 간편 결제의 시대로 넘어와서도 이런 방식은 그대로 이어진다. 최근 일본 여행객들은 편의점 등에서 물건을 구매할 때 현금이나 신용카드 대신 각종 간편 페이를 이용하는 경우가 부쩍 늘었다. 신용카드와 마찬가지로, 일본 편의점이 네이버나 카카오, 토스페이를 받아주는 게 아니라, 이들이 올라타 있는 알리페이를 받아주는 것이다.
우리 페이 시스템이 중국 알리페이 망에 올라타 있다보니 결제를 할 때 개인 정보가 넘어가는 건 너무나 당연하다. 그런데 이번에 금감원이 당연하다고 생각했던 그 부분을 지적했다. 금감원이 문제삼은 부분을 살펴보면 크게 두 가지로 나눌 수 있다.
첫째, 국내 카카오페이 가입자 4,045만 명의 개인정보를 '동의 없이' 넘겼다는 것, 둘째, 해외에서 카카오페이를 사용한 이용자의 정보를 '과다하게' 넘겼다는 것이다.
관건 1. 카카오페이와 알리페이의 관계는 무엇인가?
한국의 앱스토어 사용자는 이 결제 수단으로 카카오페이를 등록할 수 있게 돼 있다. 카카오페이 입장에서는 애플의 앱스토어에 하나의 결제 수단으로 입점하게 되면 그만큼 시장을 넓히는 일이 된다. 한국 소비자 입장에서는 간편하게 결제할 수 있는 페이 시스템으로 앱스토어 물건을 구매할 수 있다 보니 편리하다. 문제는 애플의 정책이었다. 예를 들어 우리가 앱스토어에서 아이폰을 구매했다고 하자. 결제가 이뤄지는 순간 애플을 물건 배송을 시작한다. 만약 게임 아이템을 구매했다고 하더라도, 버튼을 누르는 순간 아이템은 내 게임으로 들어온다. 실제 애플이 판매 대금을 받는 건 그 이후에 벌어진다. 이러다 보니 애플은 소비자를 믿고 물건이나 아이템을 넘길 수 있는지 신용도를 확보해야 한다.
이때 애플이 요구하는 신용도를 NSF스코어(Non Sufficient Fund)라고 한다. 그런데 카카오페이는 사실 자신들만의 시스템으로 애플에 입점을 한 게 아니다. 애플에게 카카오페이는 들어본 적 없는, 아직 신뢰가 쌓이지 않은 결제 수단일 뿐이다. 따라서 애플은 카카오페이에게 자사의 결제 수단으로 입점하기 위한 조건을 내걸었다. 바로 알리페이와 손잡고 들어오라는 것이었다. 알리페이는 전 세계 8,100만 개의 가맹점을 가진 세계 최대 간편결제 시스템이다보니 애플의 주요 결제 시스템 중 하나로 자리 잡은 지 오래이다. 카카오페이의 시스템을 믿을 수 없으니, 카카오페이 이용자의 'NSF 스코어' 신용정보도 알리페이에게 산출할 것을 요구했다.
이런 애플의 요구로 카카오페이는 이용자의 신용정보를 산출하기 위한 자료를 알리페이에 넘기게 된 것이다. 그러면 애플페이를 쓰는 고객 정보만 넘기면 되지, 왜 갤럭시를 쓰는 사람들의 정보까지 다 넘겼을까? 역시 애플페이가 요구했기 때문이다. 업체 입장에서 고객의 신용정보라는 것은 미리 산출을 하고 계속 업데이트를 하고 있어야 한다. 그래야 언제 물건을 구매해도 곧바로 보내줄 수 있기 때문이다. 그런데 카카오페이가 새로운 결제 수단으로 들어온다면 지금은 당장 갤럭시를 쓰고 있는 카카오페이 이용자라도 언제 애플 앱스토어에서 물건을 사게 될지 모르니 일단 모든 카카오페이 사용자의 신용도 정보를 요구한 것이다. 이게 4,045만 명의 정보가 통째로 알리페이에 넘어간 배경이다.
설명을 길게 했지만, 정작 금감원이 문제 삼은 건 4,045만 명의 정보를 넘겼다는 그 자체는 아니었다. 이들의 정보를 '동의 없이' 넘긴 것을 문제 삼고 있다. 이에 대해 카카오페이는 '동의 없이' 넘긴 점은 인정하나 법적으로 전혀 문제 될 게 없는 정당한 과정이었다고 반박하고 있다. 이 둘의 의견이 이렇게 엇갈리는 건 카카오페이와 알리페이의 관계를 어떻게 보느냐에 따라 법 적용이 달라지기 때문이다.
먼저 카카오페이는 자신들과 알리페이의 관계를 위탁·수탁 관계라고 주장한다. 자신들이 고객의 신용 점수를 산출하는 일을 알리페이에 위탁한 것이고, 알리페이는 해당 업무를 수탁해 처리하고 있었다는 것이다. 우리나라 법에서 위수탁 관계에 있는 업체 사이에는 고객 정보를 넘길 때 당사자의 동의를 받는 행위를 면제해 주고 있다.
생각해 보자. A 온라인 샵에서 물건을 구매해 새벽 배송을 받았다. 소비자 입장에서는 간단한 일이지만, 이 사이에는 수많은 업체가 껴있다. 먼저 A 온라인 샵이 있고, 이 온라인 샵에 입점한 셀러가 있다. 그리고 소비자가 주문한 물건을 배송해 주는 배송 업체가 있고, 추후 문제가 생길 경우 소비자 불만을 접수하는 콜센터가 있다. 또한 홈페이지를 관리하는 업체도 따로 있을 것이다. 즉, A 온라인 샵은 셀러, 배송업체, 콜센터 업체, 홈페이지 관리 업체 등에 자신의 배송 업무를 위탁하고 있는 것이다. 그리고 이 과정에서 고객의 개인정보는 이들 업체 모두에 전달된다. 하지만 그렇다고 소비자가 이들 업체 하나하나에 개인정보 제공 동의를 하지는 않는다. 만약 그렇게 됐다간 물건 하나 배송받기 위해 하루 종일 '동의' 버튼만 누르고 있는 상황이 발생할 수 있기 때문이다. 이러한 현실적인 이유로 대부분 나라는 '위·수탁' 관계에 있는 업체끼리는 고객 개인정보 제공 동의서를 받는 걸 면제해 주고 있다.
카카오페이는 애플 앱스토어 입점 조건이 알리페이를 끼고 들어가는 것이었고, 신용정보 산출을 알리페이에 위탁한 만큼 둘 사이 관계를 위수탁 관계라고 주장한다. 따라서 4,045만 명 카카오페이 이용자의 정보를 넘기는 과정에서 고객의 '동의'를 받지 않아도 된다는 입장이다.
반면 금융감독원은 카카오페이와 알리페이는 제3자 관계라고 주장하고 있다. 다시 A 온라인 쇼핑몰의 사례로 돌아가 보자. 우리가 처음 이러한 플랫폼에 가입할 때 개인정보 동의 체크를 하는 칸들이 있는데 그중 (선택)이라 돼 있는 항목들이 있다. 주로 '마케팅 정보 제공 동의서' 같은 것들인데, 여기에 체크를 하게 되면 내 정보가 물건을 배송받는 일과 직접적인 관계가 없는 제3의 업체에 넘어가게 된다. 대표적인 것이 보험사이다. 내가 당장 A 쇼핑몰에서 물건을 배송받는 데 보험사는 아무런 관련이 없지만, 내가 내 정보를 넘기는 데 동의하면 A 쇼핑몰은 내 개인정보를 대가를 받고 보험사에 넘길 수 있게 된다. 금감원은 카카오페이와 알리페이가 바로 이 제3자 관계라는 것이다.
그 첫 번째 이유는, 알리페이가 카카오페이의 대금을 지불하는 업무를 맡아주는 PG사로서만 계약이 돼 있지, 신용정보 산출까지 해 주기로 한 계약서가 없다는 것이다. 두 번째 이유가 중요한데, 고객의 동의를 받지 않고도 개인정보를 넘겨 줄 수 있는 위·수탁 관계라면, 위탁 업체가 수탁업체의 고객 정보 관리 상황을 관리·감독할 수 있어야 한다. 필요한 정보만 사용하고 있는지, 해당 임무를 완수한 후에 파기를 하는지 등 말이다. 하지만 카카오페이가 싱가포르에 본사를 두고 있는 알리페이를 관리·감독한다는 건 불가능에 가깝다. 알리페이가 응하지 않을 것이기 때문이다. 알리페이가 우리나라 고객의 정보를 어떻게 처리하는지 관리·감독할 수 없다면, 위·수탁 관계로서의 중요한 전제가 깨졌다고 본 것이다. 카카오페이와 알리페이의 관계를 어떻게 볼 것이냐에 대한 결론은 법정에서나 가려질 것으로 보인다.
관건 2 : '꼭 그만큼의 정보를 다 넘겨야 했나?'
이 부분에 있어서 카카오페이 측은 해당 정보를 넘길 때 모두 암호화했기 때문에 보안 사고가 일어날 일은 없다고 강조한다. 전문가들은 알리페이가 깔아놓은 도로를 카카오페이가 이용하는 건데, 그 과정에서 고객 정보가 넘어가는 건 어쩔 수 없는 일이라고 설명한다. 마치 대한항공에서 비행기표를 끊으며 입력한 내 고객 정보가 중간에 환승을 할 경우 환승 항공사로 그대로 넘어가는 것과 같은 이치라는 것이다.
하지만 금감원은 카카오페이가 주장하는 '암호화'에 문제를 삼고 있다. 암호화 처리 방식이 취약하다는 것이다. 카카오페이가 사용한 암호화 방식이 2018년도에 나온 방식으로 6년이나 지난 지금까지 업데이트가 되지 않았다는 것이다. 물론 카카오페이가 사용한 암호화 시스템이 뚫렸다는 사례는 아직까지 보고된 바 없다. 다만, 개인정보는 국민들이 민감하게 받아들이는 지점이니만큼 암호화 방식에 더 신경을 썼으면 어떨까 하는 아쉬움은 남는다.
같은 방식의 비자·마스터는 왜 문제 삼지 않았나?
(남은 이야기는 스프에서)
동영상 기사
동영상 기사
동영상 기사
동영상 기사
동영상 기사