[비즈한국] 개인정보 관련 법·제도가 강화되는 가운데 고객 개인정보 관리에 허점을 드러낸 기업에 대한 정부 제재도 매서워지고 있다. 올해 5월 개인정보보호법 위반 혐의로 국내 기업 중 역대 최대 규모의 과징금이 부과된 카카오는 또 다시 논란의 중심에 섰다. 카카오페이가 중국 알리페이에 고객 신용 정보를 무단으로 제공했다고 판단한 금융감독원이 제재 절차에 돌입하면서다. 위반행위에 내려지는 ‘솜방망이’ 처벌은 개선되는 추세지만, 정작 고객 정보가 사업의 원천인 기업들조차 제도 변화에 안일하게 대응하고 있다는 지적이 나온다.
#“정상적인 위탁 업무” vs “별도 동의 누락한 제3자 제공”
카카오페이가 애플 앱스토어 결제 서비스를 위해 알리페이에 고객 동의 없이 개인 신용정보를 제공한 사실을 두고 금융감독원과 카카오페이의 입장이 첨예하게 갈린다. 금융감독원은 이를 ‘제3자 제공’으로 본 반면 카카오페이는 애초에 고객 동의가 불필요한 업무상 정보 이전이라고 항변한다.
금감원은 올 5월~7월 진행한 현장검사에서, 카카오페이가 2018년 4월부터 6년여간 누적 4045만 명의 카카오계정 ID와 전화번호, 이메일, 가입내역과 카카오페이 거래내역(충전·출금·결제·송금·잔고) 등 542억 건의 개인신용정보를 알리페이에 제공한 사실을 파악했다.
카카오페이가 설명자료를 통해 ‘위·수탁사 간 정보 이전’임을 주장하자 금감원은 보도참고자료를 내고 적극 재반박에 나섰다. 양 사의 계약 관계와 당초 정보 제공 목적이 불법성 여부를 가르는 핵심 쟁점인 까닭에 치열한 논리 싸움이 일어난 모습이다. 관련 법상 위수탁일 경우 고객 동의가 필요하지 않아 고지로 갈음할 수 있는 반면, 제3자 제공 시 별도의 고객 동의 절차가 의무다. 위수탁 관계에서는 이전된 정보가 단순히 위탁자(카카오페이)의 업무를 수탁자(알리페이)가 대신 맡아 처리하기 위한 목적으로 사용되지만, 고객 정보가 제공받은 사업자(알리페이)의 목적을 위해 사용된다면 처음 수집된 목적과 무관하기 때문에 별도 동의를 받아야 한다.
#금감원은 ‘신용점수 위탁 계약’ 물증 없다는데…
이번 사안에서 업무 위탁과 제3자 제공을 구분하는 절차는 비교적 명확하게 진행될 수 있다는 시각이 나온다. 최경진 가천대학교 법학과 교수는 “위·수탁 계약서는 정형화된 툴이 있다. 카카오페이-알리페이 간 계약을 카카오페이가 다른 국내 기업과 맺은 위·수탁 계약과 비교했을 때 유사하다면 위·수탁일 가능성이 있고, 반대로 계약 내용에 차이가 있다면 카카오페이의 주장과는 괴리가 있는 것”이라고 설명했다.
금융당국은 양 사의 계약서 상 카카오페이의 고객 신용정보 무단 제공이 명백하다고 판단하고 있다. 금감원은 “카카오페이가 알리페이와 체결한 일체의 계약서(9건)를 확인한 결과, 카카오페이가 알리페이에게 ‘NSF스코어(신용점수) 산출·제공업무’를 위탁하는 내용은 전혀 존재하지 않는다”고 밝혔다. 애플스토어 입점이 양 사 모두에게 이익이 되는 업무이고 개인정보 이전은 카카오페이뿐만 아니라 알리페이의 이익을 위한 일이라는 점, 카카오페이가 위탁자로서 알리페이를 관리·감독한 적이 없는 점 역시 금감원이 카카오페이의 신용정보 처리를 위법으로 보는 근거다.
위수탁 관계에서는 위탁자가 수탁자에 대한 관리·감독 의무가 있지만, 제3자 제공의 경우 합법적인 절차를 거쳐 정보를 주는 것에 대해서만 책임이 있고 관리·감독 의무는 제공받는 자가 진다. 이 밖에도 위·수탁 계약이 있더라도 알리페이가 자신의 이익을 위해 정보를 처리한 부분이 입증되면 사안은 더욱 복잡해질 수 있다.
알리페이에 제공한 정보 범위의 적정성 문제 역시 주요 사안이다. 카카오페이는 설명자료에서 “알리페이에 정보를 제공할 때 무작위 코드로 변경하는 암호화 방식을 적용해 비식별 조치하고 있어 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다”고 선을 그었다. 카카오페이는 현재 조사가 진행 중인 사안인 만큼 설명 자료를 내놓은 후로는 추가 대응을 자제하고 당국에 소명하는 데에 집중하고 있다.
#개인정보 제재 강화돼도 기업은 제자리걸음
카카오페이가 알리페이에 이전한 정보는 내용을 식별할 수 없도록 ‘가명 처리’된 가명정보다. 가명정보는 복잡한 암호화를 적용할 경우 식별성이 낮은데, 여러 정보를 조합해 원본 데이터를 알 수 있는 수준이라면 안전성 문제가 있다. 2016년 비식별 처리를 하면 목적 외 제공을 할 수 있도록 한 ‘개인정보 비식별화 가이드라인’이 시민사회 반발 끝에 사문화되고, 이후 가명 처리된 정보도 개인정보로 보는 데이터3법이 시행되는 등 개념 확립까지 여러 시행착오를 겪었다. 2020년 8월 데이터 산업 육성을 위해 도입된 가명정보 제도는 가명정보를 개인정보보호법 적용을 받는 개인정보로 규정하고, 위탁이냐 제3자 제공이냐에 따라 관리와 이용 등을 달리 규정하고 있다.
최근 민간 기업을 대상으로 한 개인정보 관련 제재 수위가 올라가는 추세를 고려하면 카카오페이가 무거운 과징금 처분을 받을 가능성이 점쳐진다. 금융당국은 카카오페이가 개인정보보호법과 신용정보법 두 가지를 모두 위반한 것으로 본다. 종전 신용정보법에서는 법 위반 시 사안이 발생한 해의 ‘관련 매출의 3%’ 이하로 과징금을 부과했지만, 지난해 9월 개정법이 시행되면서 당해 ‘전체 매출의 3%’ 이하로 과징금 규모가 대폭 확대됐다. 앞서 지난 5월 카카오는 오픈채팅방 참여자 정보에 대한 안전조치의무 위반으로 151억 4196만 원의 과징금 철퇴를 맞은 바 있다. 개정 전 법이 적용됐지만 역대 사례 중 최대 규모에 해당한다. 양측 주장이 첨예하게 엇갈리면서 제재 수위 확정이 된 이후에도 법정 싸움으로 이어질 수 있다. 최종 결론까지는 수년이 소요될 것이라는 전망이 나온다.
업계 안팎에서는 제도 변화를 따라가지 못하는 기업의 더딘 대응을 지적하는 목소리가 나온다. 한 전문가는 “알리페이에 제3자 제공 시 ‘국외 이전’이 적용돼 별도의 동의를 추가로 받아야 한다. 정보 주체들의 일반적인 정서 상 국내 기업의 처리보다 해외, 특히 중국에 있는 업체에 정보가 이전되는 것에 반감이 있다. 이 같은 부담감이 작용했을 수 있다”면서도 “다만 형사처벌까지도 가능한 행위인 만큼 고의 누락 가능성은 적다고 본다. 개인정보 보호 및 처리에 대한 낮은 의식 수준을 보여주는 사례”라고 짚었다.
시민사회에서는 제도적 한계를 지적하는 목소리도 제기된다. 소비자주권시민회의는 “카카오페이의 개인신용정보 유출을 카카오페이만의 문제로 보기 어렵다”며 “최근 다양한 분야에서 개인정보 유출사고가 끊임없이 일어나는데도 확실한 재발 방지 대책이나 엄중한 경고성 제재는 보이지 않는다”고 강조했다. 개인정보 관리 소홀 등에 대한 제재는 강화되고 있으나 개인정보 관련 정부의 정책 방향성은 여전히 모호하다는 시각도 있다. 오병일 진보네트워크센터 대표는 “기업은 개인정보 범위와 의무를 축소하려 하고, 정부도 산업적 측면을 고려해 완화된 해석을 하려는 경향이 있다”고 지적했다.
강은경
기자
gong@bizhankook.com
[핫클릭]
·
'우수한 기술력 갖고도 고배' 대기업에 유리한 평가기준에 우는 중소 방산기업
·
[단독] '땅콩회항' 조현아 전 대한항공 부사장, 국세 또 체납해 자택 압류
·
[K팝: 이상한 나라의 아이돌] 아이돌 산업 현황을 한눈에 '인터랙티브 페이지' 공개
·
[현장] 한화·KAI·LIG넥스원 빠진 DX코리아 2024, 볼거리 뭐가 있나
·
'이병철 손자' 조동혁 한솔케미칼 회장 개인회사 돌연 청산, 왜?
<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>