카카오페이 내부 모습. [카카오페이 제공]

[헤럴드경제=고재우 기자] 개인정보보호위원회(개인정보위)는 개인정보보호법 상 국외 이전 규정을 위반한 카카오페이에 과징금 59억6800만원, 애플에 과징금 24억500만원과 과태료 220만원을 각각 부과했다고 23일 밝혔다.

또 이들 사업자에 대해서는 적법한 국외 이전 요건을 갖추도록 시정명령을 내린 한편, 애플과 위수탁 관계인 알리페이에는 카카오페이 이용자의 NSF 점수 산출 모델을 파기토록 했다. NSF 점수는 애플 서비스 내 여러 건의 소액결제를 한 건으로 묶어 일괄청구 하는 경우 자금 부족 가능성 등을 판단하기 위한 고객별 점수를 뜻한다.

개인정보위는 카카오페이가 고객 동의 없이 개인정보를 알리페이에 넘겼다는 지적에 따라 조사에 착수했다.

조사 결과, 카카오페이는 애플 수탁사인 알리페이가 NSF 점수 산출 모델을 구출할 수 있도록 이용자 전체의 개인정보를 지난 2018년 4~7월 사이 세 차례 알리페이에 전송했다. 이 과정에서 이용자 본인들의 동의는 없었다.

해당 개인정보에는 이용자별 고유번호, 휴대전화 번호, 이메일 주소 및 자금 부족 가능성과 상관관계 있는 정보 등 총 24개 항목이 포함됐다.

또 2019년 6월 27일부터 지난해 5월 21일까지 매일 알리페이가 이용자별 NSF 점수를 산출할 수 있도록 약 4000만명(중복 제거) 개인정보를 동의 없이 보냈다.

특히 카카오페이는 애플에 카카오페이를 결제 수단으로 등록한 이용자뿐만 아니라 안드로이드 등 애플 미이용자까지 포함된 정보를 알리페이에 제공했다. 애플과 연동된 국내 결제 수단 중 알리페이에서 NSF 점수를 산출하는 곳은 카카오페이가 유일하다.

마찬가지로 애플은 결제 수단 연동을 위한 통신 API 개발 등 시스템 통합 업무(NSF 점수 산출 업무 포함)를 알리페이에 위탁했다. 카카오페이 이용자 결제 정보 전송 및 NSF 점수 산출을 위한 개인정보를 처리토록 하면서 이용자에게 알리지 않은 것이다.

아울러 개인정보위는 알리페이가 구축한 카카오페이 이용자 NSF 점수 산출 모델이 위법하게 구축됐다고 판단하고, 해당 모델을 파기토록 시정명령을 했다.

개인정보위는 “최근 글로벌 플랫폼 서비스의 확대로 개인정보 국외 이전이 증가하고 있다”며 “개인정보 국외 이전의 범위를 명확히 하고, 사업자가 국외 이전의 적법 요건을 반드시 준수해야 함을 재확인한 점에서 이번 조사는 의의가 있다”고 평가했다.

이어 “사업자는 개인정보 국외 이전이 수반되는 서비스 제공 시 이용자의 별도 동의를 받거나 국외 수탁자에게 개인정보 처리를 위탁하는 경우, 개인정보 처리 방침 등을 통해 개인정보가 국경을 넘어 이전되는 사실을 반드시 알려야 한다”고 덧붙였다.