[디지털데일리 김보민기자] 개인정보 국외 이전 규정을 위반한 카카오페이와 애플이 총합 83억원대 과징금을 부과 받았다. 카카오페이가 고객 동의 없이 개인정보를 알리페이에 넘겼다는 내용으로 문제가 제기된 가운데, 알리페이와 위수탁 관계인 애플에게도 위반 사항이 확인된 것이다.

개인정보보호위원회(이하 개인정보위)는 제2회 전체회의를 열고 개인정보보호법상 국외이전 규정을 위반한 카카오페이에 과징금 59억6800만원, 애플에 과징금 24억500만원과 과태료 220만원을 각각 부과했다고 23일 밝혔다. 과징금 기준으로 총합 83억7300만원에 해당하는 수준이다.

개인정보위는 카카오페이가 전체 이용자 약 4000만명의 개인정보를 이용자 본인 동의 없이, 애플의 서비스 이용자 평가 목적으로 알리페이에 제공했다는 점을 확인했다. 이 경우, 이용자는 본인의 어떤 개인정보가 왜 국외로 이전되고 있는지 알 수 없다. 개인정보위는 애플이 제3국 수탁자인 알리페이를 통해 개인정보를 국외로 이전해 처리하는 사실을 이용자에게 알리지 않았다.

전승재 개인정보위 조사3팀장은 이날 브리핑을 통해 "애플은 휴대폰 및 간편 결제와 같은 결제 수단을 일일이 시스템에 연동하는 부담을 덜기 위해, 해당 업무를 권역별 수탁사에게 위탁받는 구조를 운영하고 있다"며 "알리페이는 한국 권역의 애플 수탁자 중 하나였다"고 경위를 설명했다. 이어 "카카오페이는 2019년 7월부터 애플 플랫폼 내 결제 수단으로 연동돼 있었는데, 애플에 제공하는 이용자 결제 데이터를 모두 알리페이를 경유해 전송하고 있었다"고 부연했다.

개인정보위에 따르면 애플은 이용자 소액결제 신청을 단건으로 즉시 청구할지, 또는 여러 건을 묶어 일괄 청구할지 판단하는 모형을 운영하고 있었다. 이 모델에 입력되는 데이터 중 하나로서 이용자 계정 내 자금 부족 가능성을 예측하는 NSF(Non Sufficient Funds Score) 점수를 필요로 했는데, 카카오페이는 점수 산출에 필요한 이용자별 데이터를 알리페이에 전송했다. 알리페이는 이를 기반으로 NSF 점수를 산출한 뒤 애플에 제공했다.

전 팀장은 "자금 부족 가능성과 상관관계가 있는 24개 항목의 정보가 전송이 됐다"고 강조했다. 해당 정보에는 카카오페이 가입일, 계정 유지기간, 신분증 확인 계정 여부, 충전 잔고, 최근 7일간 충전 건수, 결제 건수, 송금 건수 등이 포함된 것으로 파악됐다.

알리페이는 해당 개인정보를 받아 0~100점 사이 점수를 매기는 작업을 진행했다. 전 팀장은 "자금 부족 가능성이 높다고 예측되면 50~100점을 산출해 두고 애플이 결제 이용자 점수를 조회하면 즉시 회신하는 구조였다"고 말했다.

개인정보위는 2019년 6월27일부터 지난해 5월21일까지 매일 알리페이가 이용자별 NSF 점수를 산출할 수 있도록 카카오페이 전체 이용자 약 4000만명의 개인정보를 동의 없이 알리페이에 전송했다고 판단했다. 해당 기간 누적 전송 건수는 약 542억건으로, 중복 사항을 제거하면 약 4000만명에 해당하는 규모였다.

전 팀장은 "카카오페이 이용자 중 애플에서 결제를 하는 이용자는 약 20% 미만임에도 불구하고, 카카오페이는 애플과 무관한 80% 이상 이용자들의 정보까지 전송하며 정보 주체 예측 가능성에서 벗어났다"고 밝혔다. 이어 "애플 또는 알리페이가 카카오페이에게 전체 이용자 정보를 반드시 달라고 요구한 것은 아니다"라며 "이용자 동의를 받거나 적법 근거를 갖춰 달라고 요청을 했는데, 그럼에도 불구하고 카카오페이가 충분한 검토 없이 전체 이용자 정보를 전송하기로 속단한 것으로 보인다"고 설명했다. 애플과 연동된 다른 국내 결제 수단들은 NSF 관련 정보를 공유하고 있지 않은 것으로 확인됐다.

애플의 경우 카카오페이와 연동 개발 등 시스템 통합 업무, 부수 NSF 점수 산출 업무를 알리페이에 위탁하면서도 개인정보처리방침 등을 통해 처리 위탁 및 국외 이전에 관한 사실을 고지하지 않았다. 전 팀장은 "애플은 개인정보처리방침에 국외 수탁자로 시스템통합과 결제 정보 등 중계 역할을 하는 NHN KCP만 공개하고 알리페이는 공개하지 않았다"고 지적했다.

개인정보위는 카카오페이, 애플에 과징금과 더불어 시정 및 공표 명령을 내렸다. 카카오페이에는 과징금과 더불어, 국외 이전 적법 요건을 갖추도록 시정명령했다. 또한 홈페이지에 관련 사실을 공표하도록 명했다. 애플에게는 과징금과 더불어, 위탁 사실을 밝히지 않은 행위에 대해 과태료를 부과했다. 아울러 알리페이에 대한 국외이전 사실을 개인정보처리방침에 공개하도록 했고, 카카오페이와 동일하게 홈페이지에 관련 사실을 공표하도록 했다.

알리페이에 대해서도 시정명령 조치를 내렸다. 개인정보위는 알리페이가 구축한 카카오페이 이용자 NSF 점수 산출 모델이 위법하게 제공되고 있고, 국외 이전된 개인정보를 활용해 구축됐다고 판단했다. 이에 NSF 점수 산출 모델을 파기하도록 시정명령했다.

전 팀장은 "글로벌 플랫폼 서비스가 확대되면서 개인정보 국외 이전이 증가하고 있는 상황"이라며 "국외 이전 범위를 명확하게 하고, 사업자가 적법 요건을 반드시 준수해야 한다는 점을 재확인한 만큼 이번 사건에 의의가 있다"고 말했다.