금융감독원이 “불법으로 알리페이에 정보를 제공한 적 없다”는 카카오페이의 주장에 또다시 반박을 내놨다. 사용자 동의가 필요 없는 신용정보 처리 위탁이라는 주장에 대해선 대법원 판례까지 인용해 반박했다. 암호화를 통해 원본 데이터를 유추할 수 없었다는 데 대해선 “일반인도 복호화(암호 복원)가 가능하다”고 밝혔다.

카카오페이→알리페이 개인정보 유출 논란 그래픽 이미지. [자료제공=금융감독원]

14일 금감원은 보도설명 자료를 배포해 카카오페이의 알리페이로의 고객정보 542억건 유출에 대한 추가 입장을 공개했다. 검사 결과를 상세히 발표한 데 이어 기업 입장에 추가적인 반박을 내놓는 건 이례적인 일이다. 카카오페이가 앞서 내놓은 해명은 크게 두 가지다. ‘①신용정보가 알리페이로 넘어간 건 애플이 앱스토어 입점을 위해 NSF스코어(애플에서 일괄결제시스템 운영 시 필요한 고객별 신용점수)를 요구해 정보 가공을 위한 고객 정보 제공으로 업무 위수탁’, ‘②철저한 암호화를 통해 전달돼 원본 데이터 유추 불가능’으로 정리된다.

업무 위수탁이라는 주장에 대해 금감원은 “카카오페이와 알리페이가 체결한 일체 계약서를 확인한 결과 카카오페이가 알리페이에 NSF스코어 산출·제공 업무를 위탁하는 내용은 전혀 존재하지 않는다”며 “카카오페이 회원가입 약관이나 해외결제 동의서에도 NSF스코어 관련 고객정보 제공을 유추할 수 있는 내용이 없고, 홈페이지에 공시한 내용에도 NSF스코어 산출·제공 업무는 포함되어 있지 않다”고 했다.

금감원은 업무 위수탁 관련 대법원 판례도 제시했다. 판례에 따르면 알리페이가 카카오페이의 관리·감독하에서 업무를 처리해야만 하는 만큼 이에 해당하지 않는다는 게 금감원 판단이다. 정보 처리를 위한 업무 위수탁은 금감원에 사전 보고를 해야 하지만 이 같은 절차도 지켜지지 않았다.

또 카카오페이가 알리페이에 고객 정보를 제공하면서 암호화가 제대로 이뤄지지 않았다고도 했다. 금감원은 “카카오페이는 공개된 암호화 프로그램 중 가장 일반적인 프로그램(SHA256)을 사용했고, 암호화 함수에 랜덤 값을 추가하지 않고 설정해 일반인도 복호화(암호 복원)가 가능했다”며 “암호화 함수를 지금까지 한 번도 변경하지 않았다”고 밝혔다. 또 애초 알리페이가 NSF스코어 산출을 위해 애플 ID와의 매칭을 목적으로 한 만큼 개인신용정보를 식별하지 않았다는 주장이 모순에 해당한다고 지적했다.