[서울=뉴시스] 최홍 기자 = 알리페이와 위수탁 관계로 고객 동의없이 신용정보를 제공할 수 있다는 카카오페이 주장에 대해 금융감독원은 "위탁계약은 전혀 존재하지 않는다"고 반박했다.

금감원은 14일 보도참고 자료를 통해 "카카오페이가 알리페이와 체결한 일체의 계약서를 확인한 결과, 카카오페이가 알리페이에 NSF스코어 산출·제공업무를 위탁하는 내용은 전혀 존재하지 않는다"고 밝혔다.

NSF 스코어란 애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수를 말한다.

금감원은 카카오페이가 NSF 스코어 산출을 명목으로 해외결제를 이용하지 않은 고객의 신용정보까지 본인 동의없이 알리페이에 전달한 점을 문제로 삼고 있다.

반면, 카카오페이는 '알리페이와의 업무 위수탁 관계'에 따른 것인 만큼 고객 동의가 필요없는 적법한 행위라고 주장하고 있다.

이에 금감원은 'NSF스코어 관련해 고객 정보를 제공할 수 있다'는 내용이 고객 회원가입 약관과 해외결제 동의서 등 어디에도 기재돼 있지 않다고 지적했다.

금감원은 "카카오페이가 회원가입시 징구하는 약관과 해외결제시 징구하는 동의서를 확인한 결과, NSF스코어와 관련한 고객정보 제공을 유추할 수 있는 내용이 전혀 존재하지 않는다"며 "카카오페이 홈페이지에 공시한 개인신용정보 처리업무 위탁 사항에도 NSF스코어 산출·제공업무는 포함되지 않았다"고 말했다.

이어 "대법원 판례에 따르면 '신용정보의 처리 위탁'이 되기 위해서는 위탁자 본인의 업무처리와 이익을 위한 것으로써 수탁자는 위탁사무처리 대가 외에는 독자적인 이익을 가지지 않아야 하고, 위탁자 관리·감독 아래에서 처리한 경우여야 한다"며 "그러나 카카오페이의 신용정보 제공은 이에 모두 해당되지 않는다"고 부연했다.

그러면서 "금융사의 정보처리 업무 위탁에 관한 규정 제7조에 따르면 금융사는 정보처리 업무 위수탁시 금감원에 사전 보고해야 한다"며 "그런데도 카카오페이는 감독당국에 보고한 바 없다"고 지적했다.

금감원은 '신용정보가 암호화로 전달돼 원본 데이터를 유추할 수 없다'는 카카오페이의 주장에 대해서도 적극 반박했다.

금감원은 "카카오페이는 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 암호화 프로그램(SHA256)을 사용했고, 해시처리(암호화) 함수에 랜덤값을 추가하지 않고 전화번호, 이메일 등 위주로만 단순하게 설정했다"며 "해시처리 함수를 지금까지 한번도 변경한 사례가 없어, 일반인도 복호화가 가능한 수준으로 원본 데이터 유추가 가능하다"고 말했다.

또 "알리페이가 애초 카카오페이에 개인신용정보(휴대폰, 이메일 등)를 요청한 이유는 해당 정보를 애플ID에 매칭하기 위한 것이었고, 애플ID에 매칭하기 위해서는 카카오페이가 제공한 개인식별정보를 복호화해야 가능하다"며 "알리페이가 애플에 '특정 카카오페이 고객의 NSF스코어를 제공'하면서, 개인신용정보를 식별하지 않는다는 주장은 모순"이라고 비판했다.

금감원은 신용정보 부당제공에 대한 처벌을 강화할 방침이다.

금감원은 "그간 감독당국은 개인신용정보 등이 동의 없이 제3자에게 제공되는 경우 엄정하게 처리해왔다"며 "앞으로도 유사사례 재발방지를 위해 노력하겠다"고 강조했다.