[뉴스토마토 배희 기자] 카카오페이가 개인정보보호위원회를 상대로 한 시정명령 취소 소송 4차 변론기일이 9일 열렸습니다. 카카오페이가 알리페이를 거쳐 애플로 전송된 정보가 '제3자 제공'인지 '업무 위탁 처리'인지를 쟁점으로 보고 있습니다. 최근 카카오 본사에서도 개보위를 상대로 낸 개인정보 유출 처분 불복 소송에서 패소하면서 개인정보 유출에 대한 엄격한 잣대가 카카오페이 사건에도 적용될지 이목이 집중됩니다.
9일 금융권과 법조계에 따르면 이날 서울행정법원에서 카카오페이가 제기한 개보위 시정명령 취소 소송 4차 변론기일이 열렸습니다. 카카오페이는 앞서 이용자 약 4000만명의 개인정보를 고객 동의 없이 알리페이에 넘겼다는 이유로 개보위로부터 59억6800만원의 과징금을 부과받았습니다. 카카오페이는 2019년부터 알리페이를 통해 애플 앱스토어에서 애플이 고객의 자금 부족 가능성을 판단하기 위해 사용하는 NSF 점수를 산출해 왔습니다. 이용자의 휴대폰 번호, 이메일 주소, 금융 관련 정보 등을 알리페이에 전송하면 알리페이가 점수를 산출해 애플에 제공하는 방식입니다.
개보위는 이러한 내용을 고객에게 동의 없이 전달해 개인정보를 유출했다고 봤습니다. 이날 변론기일에서 피고인 개보위 측은 "이용자 약 4000만건에 대한 유출이라는 점에서 위법성이 크다"고 지적했습니다. 카카오페이는 해당 정보가 철저히 암호화돼 식별이 불가능한 정보라며, 애플의 부정 결제 방지 시스템 운영을 위한 필수적 업무 위탁이라고 맞섰습니다.
'제3자 제공' 대 '업무 처리 위탁'
4차 변론기일에서는 카카오페이와 개보위의 기존 입장을 재정리하는 선에서 마무리됐습니다. 지난 변론에서 쟁점은 카카오페이가 알리페이를 통해 제공한 NSF 점수의 애플의 통제권과 이득 여부였습니다. 개인정보보호법상 '업무 위탁'은 위탁자의 업무 편의를 위한 것이므로 이용자의 별도 동의가 없어도 되지만, 정보를 받는 측이 독자적인 이익을 취하는 '제3자 제공'의 경우 반드시 사전 동의를 거쳐야 합니다.
만약 애플이 이를 활용할 수 있는 통제권이 있었거나 이득을 봤다면 단순 업무 위수탁이 아닌 제3자에게 제공한 것으로 보고 사전동의를 받았어야 한다는 점을 개보위는 짚었습니다. 개보위는 개인정보를 활용해 산출한 NSF 점수가 최종적으로 애플에 제공됐고, 애플이 이 정보를 이용할 수 있다고 판단했습니다. 이를 통해 애플이 운영상의 이득을 본다면 이는 단순 위탁을 넘어선 제3자 제공이며, 따라서 고객들의 동의가 선행돼야 한다는 주장입니다.
개보위 관계자는 "알리페이에 넘어간 정보와 이를 바탕으로 가공돼 산출된 NSF 점수 모두 개인정보"라며 "애플이 이 NSF 점수를 활용해 혜택을 얻었다면 제3자 제공에 해당한다"고 말했습니다. 이어 "만약 이를 업무 위탁으로 보려면 사업에 따른 혜택 자체를 카카오만 가져가야 한다"며 "카카오페이뿐만 아니라 애플도 동시에 활용할 수 있다고 판단했고, 정보 처리에 대한 주체가 온전히 카카오페이에만 있지 않다고 본다"고 지적했습니다.
반면 카카오페이 측에서는 알리페이를 통해 산출한 NSF 점수는 암호화된 정보를 바탕으로 한 가공된 점수라고 주장했습니다. 두 정보가 다르다는 입장입니다. 또한 NSF 점수를 산출하는 기술을 알리페이가 가지고 있어 업무를 위탁한 것이라고 주장했습니다. 카카오페이 관계자는 "애플에서의 부정 결제 방지 시스템을 위해 알리페이에 위탁한 것"이라며 "당사가 정보에 대한 통제권을 가지고 있었기 때문에 업무 위탁"이라고 설명했습니다.
(그래픽=뉴스토마토)
'개인정보 유출' 카카오 본사도 패소
카카오는 최근 본사의 개인정보 유출 사건으로도 한바탕 홍역을 치렀습니다. 카카오는 개인정보 유출로 개보위로부터 과징금 151억4196만원을 부과받고 제기한 과징금 부과 처분 및 시정명령 취소 등 소송에서 지난 1월 1심 패소했습니다. 이 사건은 2023년 당시 카카오톡의 보안 취약점을 이용한 해커들이 카카오톡 오픈채팅방 이용자의 임시 아이디를 추출한 뒤 이를 자체 보유한 데이터베이스의 휴대폰 번호와 대조·결합해 이름과 전화번호 등 개인정보를 특정하고 불법 거래한다는 의혹이 제기되며 개보위가 조사에 착수했습니다.
카카오는 회사 내부 데이터베이스 유출로 정보가 새어나가지 않았기 때문에 억울하다고 제소했습니다. 회사 내부의 데이터베이스가 직접 해킹당해 유출된 것이 아니라 누구나 볼 수 있는 정보를 외부에서 조합해낸 것이기 때문입니다. 하지만 재판부는 최종 패소 판결을 내렸습니다. 데이터 결합을 통한 개인정보 유출을 폭넓게 인정한 셈인데요. 직접적으로 개인정보가 유출되지 않았더라도 다른 정보와 결합해 특정 개인을 식별할 수 있다면 이를 개인정보로 보아야 한다는 해석이 나왔습니다.
특히 재판부는 카카오가 이러한 데이터를 결합한 개인정보 유출의 위험성을 인지하고 있을 것임에도 조치를 취하지 않았다는 점을 지적했습니다. 카카오톡 사용자들의 프로필명, 오픈채팅방 등의 정보가 결합된 데이터베이스가 공개된 것은 개인정보 유출로 볼 수 있고, 이러한 유출 사실을 알고도 이용자들에게 명시적으로 알리거나 개선 조치를 시행하지 않았다는 점에서 과징금 부과가 정당하다는 시각입니다.
이렇듯 폭넓게 개인정보 유출을 인정한 사례가 이번에도 적용될지 이목이 집중됩니다. 카카오페이가 제기한 본 시정명령 취소 소송은 오는 6월11일 1심 판결이 예정돼 있습니다. 개보위 관계자는 "알리페이에서 산출한 NSF 점수로 애플이 이익을 조금이라도 봤는지, 통제권이 있었는지 여부가 중요하다"고 말했습니다.
카카오페이 간판. (사진=연합뉴스)
배희 기자 SheisHe@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김의중 금융부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지