4천만명·542억건 의혹이 던진 질문, 간편결제는 어디까지 데이터를 주고받나

안녕하세요. 디지털에이전시 이앤아이입니다.

최근 카카오페이가 고객 동의 없이 개인정보를 중국 간편결제 서비스 알리페이에 전송했다는 의혹으로 경찰 수사가 진행 중이라는 소식이 전해졌습니다. 금융감독원이 수사를 의뢰했고, 경찰은 신용정보법 위반 혐의로 자료를 분석하며 방향을 잡는 단계라고 합니다. 이번 이슈는 단순히 “유출이냐 아니냐”를 넘어, 결제 생태계에서 데이터가 어떤 경로로 이동하고 누구에게 어떤 목적으로 쓰이는지까지 다시 묻게 만듭니다.

사안의 핵심은 전송 규모와 기간입니다. 금감원 등에 따르면 카카오페이는 2018년부터 2024년 5월까지 약 4천만 명의 개인정보 542억 건을 알리페이 측에 전송한 혐의를 받고 있습니다. 문제가 된 흐름은 아이폰 사용자가 카카오페이를 결제수단으로 등록하는 과정에서 발생한 것으로 조사됐는데요. 당시 카카오페이가 알리페이 중계를 통해 애플에 결제 정보를 전달하는 구조였고, 그 과정에서 암호화된 휴대전화 번호, 이메일 주소, 충전 잔고 등 정보가 고객 동의 없이 알리페이로 넘어갔다는 게 쟁점입니다.

아이폰 결제수단 등록 과정에서 암호화된 정보와 잔고 등이 국외로 넘어갔다는 점이 쟁점입니다.
간편결제 서비스는 ‘편리함’만큼 ‘동의·고지·통제’ 설계를 더 촘촘히 해야 한다는 경고가 커지고 있습니다.' >

여기서 많은 분들이 헷갈려 하는 지점이 있습니다. “암호화된 정보면 괜찮은 것 아닌가?”라는 질문인데요. 암호화는 보안을 강화하는 중요한 수단이지만, 법과 신뢰의 관점에서는 ‘동의와 고지’ 문제를 대체하지 못합니다. 특히 국외 이전이 걸려 있다면, 어떤 정보가 어떤 사업자에게 어떤 목적으로 제공되는지 이용자가 이해할 수 있게 설명하고 선택할 수 있도록 하는 절차가 더 엄격해집니다. 알리페이가 전달받은 정보를 ‘NSF 점수’ 산출 모델 구축 등에 활용한 것으로 알려진 만큼, 단순 전달을 넘어 활용 목적까지 투명했는지도 함께 따져볼 대목입니다.

이번 사안은 이미 여러 차례 제재로 이어졌습니다. 개인정보보호위원회는 지난해 1월 카카오페이에 과징금 59억 6,800만 원을 부과하며 이 문제를 처음 알렸고, 이후 금감원도 별도 조사 끝에 올해 2월 기관경고와 함께 과징금 129억 7,600만 원, 과태료 480만 원을 부과했습니다. 이제 경찰 수사로 넘어오면서, 사실관계와 책임 범위가 더 구체적으로 정리될 가능성이 큽니다.

기업 입장에서는 “결제 연동을 위해 필요한 기술적 경로였다”는 설명이 나올 수 있지만, 이용자 관점에서는 “내 정보가 어디로 갔는지 몰랐다”는 불안이 먼저입니다. 그래서 이번 사건이 주는 실무적 메시지는 분명합니다. 첫째, 개인정보 처리방침은 길게 써두는 문서가 아니라 실제 데이터 흐름과 1:1로 맞아야 합니다. 둘째, 제3자 제공과 국외 이전, 위탁 관계가 섞여 있는 구조라면 화면 고지와 동의 UX를 더 직관적으로 설계해야 합니다. 셋째, ‘필요 최소’ 원칙에 맞게 전송 항목을 줄이고, 목적이 끝난 데이터는 보관·파기 정책까지 함께 관리해야 합니다.

간편결제는 이제 생활 인프라가 됐습니다. 편리함이 커질수록, 데이터가 이동하는 길도 복잡해집니다. 이번 논란이 업계 전반에 “연동 구조를 다시 점검하자”는 계기가 되길 바랍니다. 이앤아이와 함께 더 나은 웹 환경을 만들어 나가요!