'고객정보 유출 논란' 카카오페이, 이사회 시선은 달랐다
개인정보 침해현황 3년간 '0건' 보고…금감원 적발에도 '사실과 다르다' 반박
편집자주
기업 이사회는 회사의 업무집행에 관한 사항을 결정하는 기구로서 이사 선임, 인수합병, 대규모 투자 등 주요 의사결정이 이뤄지는 곳이다. 경영권 분쟁, 합병·분할, 자금난 등 세간의 화두가 된 기업의 상황도 결국 이사회 결정에서 비롯된다. 그 결정에는 당연히 이사회 구성원들의 책임이 있다. 기업 이사회 구조와 변화, 의결 과정을 되짚어보며 이 같은 결정을 내리게 된 요인과 핵심 인물을 찾아보려 한다.
금융감독원과 카카오페이가 중국 알리페이에 제공한 신용정보를 놓고 첨예하게 의견이 엇갈리고 있다. 실제 카카오페이는 최근 3년간 개인정보 취급 관련 불만과 침해현황이 전무하다고 보고 있다. 이는 ESG보고서에 실린 내용으로 ESG위원회에도 보고됐다.
카카오페이는 지난해 ESG 이슈 중 '개인정보 보호'를 최우선 순위로 뒀다. 또 카카오페이는 매년 초 이사회 구성원 모두가 참여하는 정기 이사회에서 개인신용정보 활용, 관리실태에 대한 정기점검 결과를 공유한다. 금감원은 현재 542억건이 넘는 신용정보가 공유됐다고 보는만큼 금융당국과 카카오페이 이사회의 시선은 크게 달랐다는 것을 알 수 있다.
◇ 금감원, 카카오페이 현장검사 실시…결제 사업에 영향 미치나
지난 13일 금융감독원은 올해 5~7월 카카오페이의 해외결제부문에 대한 현장검사를 실시했고 이 과정에서 카카오페이가 그간 고객 동의없이 고객신용정보를 제 3자에 제공한 사실을 확인했다고 밝혔다. 다만 ESG보고서에 따르면 카카오페이는 개인정보 취급 관련 불만 및 침해현황이 3년 연속(2021~2023년) 0건이었다고 기재하고 있다.
금감원 측은 카카오페이가 해외결제를 이용하지 않은 고객까지 포함, 고객 동의 없이 카카오계정 ID, 핸드폰번호, 이메일 및 카카오페이 가입내역, 거래내역 등을 제공했다고 봤다. 알리페이가 NSF 스코어(애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수) 산출을 명목으로 전체 고객의 신용정보를 요청했고 카카오페이가 이를 제공했다는 것이다. 2018년 4월부터 현재까지 매일 1회, 총 542억건이다. 누적 기준으로 4045만명이다.
또한 금감원 측은 해외결제 이용고객의 신용정보도 불필요하게 알리페이에 제공됐다고 봤다. 2019년부터 현재까지 총 5억5000여건의 정보가 넘어갔다.
카카오페이 측은 "사용자의 동의가 필요없는 업무 위수탁 관계에 따른 신용정보의 처리위탁에 해당하고 철저한 암호화를 통해 전달되어 원본 데이터를 유추해 낼 수 없다"며 "알리페이에 고객 동의 없이 불법으로 정보를 제공한 사실이 없다"는 입장이다.
금감원은 "카카오페이와 알리페이와 체결한 일체의 계약서를 확인한 결과 'NSF스코어 산출·제공업무'를 위탁하는 내용이 전혀 존재하지 않다"고 밝혔다. 또한 "암호화 역시 공개된 프로그램 중 가장 일반적으로 통용된 암호화 프로그램을 사용했고 일반인도 복호화가 가능한 수준으로 원본 데이터 유추가 가능하다"고 설명했다.
카카오페이는 결제와 금융사업을 중점으로 두고 있는만큼 이번 금감원의 조사는 타격이 있을 수 밖에 없다. 결제에서 발생하는 매출 비중은 70%가 넘는다. 특히 국내 최초로 간편결제 서비스를 론칭했고 2023년말 기준 간편 결제서비스 시장 점유율 20.5%였다. 거래금액은 2021년 21조원에서 2023년 32조원까지 증가했다.
◇ ESG보고서 상 개인정보 유출 0건 기재
이사회를 통해 살펴본 카카오페이의 개인정보 관리는 양호한 편이었다. 카카오페이는 2023년도 중대성 평가에서 최우선 순위에 개인정보 보호를 뒀다. 2022년도만 해도 5순위였던 개인정보 보호의 중요성이 수직상승한 것이다. 개인정보처리방침 모니터링 미흡 등으로 인해 사용자 권리 침해가 일어날 수 있고 사용자 만족도가 저하되면 사용자가 이탈하고 매출이 감소할 수 있다고 봤다.
ESG보고서를 보면 카카오페이는 개인정보 유출과 관련된 침해 현황이 전혀 없다고 보고 있었다. 관련해서 외부로부터 접수된 불만 건수, 규제기관으로부터 접수된 불만 건수, 개인정보 침해 건수, 개인식별정보 관련 침해 비율, 2차 목적으로 정보가 사용된 사용자 모두 없었다. 개인정보보호 관련 법적 절차로 인한 금전손실액도 없었다.
ESG보고서는 발간되기 전에 ESG위원회에 보고되는 안건이다. 올해 5월 23일에 관련 건이 보고됐다. ESG위원회는 2023년 3월 신설됐고 지난해 세 번의 정기회의, 올해 상반기 네 번의 정기회의가 이뤄졌다. 위원장은 신원근 대표이며 강율리 사외이사(법무법인 지평 파트너변호사)와 배영 사외이사(포항공과대학교 교수)가 위원으로 있다.
또한 카카오페이는 매해 첫 번째 정기 이사회에서 '개인신용정보 활용, 관리 실태에 대한 정기점검 결과 보고의 건'을 안건으로 올려왔다. 사업보고서 등을 보면 2023년 2월 6일과 2024년 2월 6일에 해당 보고사항이 올라왔다. 올해 첫 이사회에는 신원근 대표와 최용석 전 기타비상무이사, 강율리·권태우·김재환·배영 사외이사가 참석했다.
이사회 관련 활동을 통해 봤을 때 개인정보 유출에 대한 금융당국과 카카오페이의 시각은 현저한 차이가 있었다는 점을 알 수 있다.
카카오페이는 지난해 ESG 이슈 중 '개인정보 보호'를 최우선 순위로 뒀다. 또 카카오페이는 매년 초 이사회 구성원 모두가 참여하는 정기 이사회에서 개인신용정보 활용, 관리실태에 대한 정기점검 결과를 공유한다. 금감원은 현재 542억건이 넘는 신용정보가 공유됐다고 보는만큼 금융당국과 카카오페이 이사회의 시선은 크게 달랐다는 것을 알 수 있다.
◇ 금감원, 카카오페이 현장검사 실시…결제 사업에 영향 미치나
지난 13일 금융감독원은 올해 5~7월 카카오페이의 해외결제부문에 대한 현장검사를 실시했고 이 과정에서 카카오페이가 그간 고객 동의없이 고객신용정보를 제 3자에 제공한 사실을 확인했다고 밝혔다. 다만 ESG보고서에 따르면 카카오페이는 개인정보 취급 관련 불만 및 침해현황이 3년 연속(2021~2023년) 0건이었다고 기재하고 있다.
금감원 측은 카카오페이가 해외결제를 이용하지 않은 고객까지 포함, 고객 동의 없이 카카오계정 ID, 핸드폰번호, 이메일 및 카카오페이 가입내역, 거래내역 등을 제공했다고 봤다. 알리페이가 NSF 스코어(애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수) 산출을 명목으로 전체 고객의 신용정보를 요청했고 카카오페이가 이를 제공했다는 것이다. 2018년 4월부터 현재까지 매일 1회, 총 542억건이다. 누적 기준으로 4045만명이다.
또한 금감원 측은 해외결제 이용고객의 신용정보도 불필요하게 알리페이에 제공됐다고 봤다. 2019년부터 현재까지 총 5억5000여건의 정보가 넘어갔다.
카카오페이 측은 "사용자의 동의가 필요없는 업무 위수탁 관계에 따른 신용정보의 처리위탁에 해당하고 철저한 암호화를 통해 전달되어 원본 데이터를 유추해 낼 수 없다"며 "알리페이에 고객 동의 없이 불법으로 정보를 제공한 사실이 없다"는 입장이다.
금감원은 "카카오페이와 알리페이와 체결한 일체의 계약서를 확인한 결과 'NSF스코어 산출·제공업무'를 위탁하는 내용이 전혀 존재하지 않다"고 밝혔다. 또한 "암호화 역시 공개된 프로그램 중 가장 일반적으로 통용된 암호화 프로그램을 사용했고 일반인도 복호화가 가능한 수준으로 원본 데이터 유추가 가능하다"고 설명했다.
카카오페이는 결제와 금융사업을 중점으로 두고 있는만큼 이번 금감원의 조사는 타격이 있을 수 밖에 없다. 결제에서 발생하는 매출 비중은 70%가 넘는다. 특히 국내 최초로 간편결제 서비스를 론칭했고 2023년말 기준 간편 결제서비스 시장 점유율 20.5%였다. 거래금액은 2021년 21조원에서 2023년 32조원까지 증가했다.
◇ ESG보고서 상 개인정보 유출 0건 기재
이사회를 통해 살펴본 카카오페이의 개인정보 관리는 양호한 편이었다. 카카오페이는 2023년도 중대성 평가에서 최우선 순위에 개인정보 보호를 뒀다. 2022년도만 해도 5순위였던 개인정보 보호의 중요성이 수직상승한 것이다. 개인정보처리방침 모니터링 미흡 등으로 인해 사용자 권리 침해가 일어날 수 있고 사용자 만족도가 저하되면 사용자가 이탈하고 매출이 감소할 수 있다고 봤다.
ESG보고서를 보면 카카오페이는 개인정보 유출과 관련된 침해 현황이 전혀 없다고 보고 있었다. 관련해서 외부로부터 접수된 불만 건수, 규제기관으로부터 접수된 불만 건수, 개인정보 침해 건수, 개인식별정보 관련 침해 비율, 2차 목적으로 정보가 사용된 사용자 모두 없었다. 개인정보보호 관련 법적 절차로 인한 금전손실액도 없었다.
ESG보고서는 발간되기 전에 ESG위원회에 보고되는 안건이다. 올해 5월 23일에 관련 건이 보고됐다. ESG위원회는 2023년 3월 신설됐고 지난해 세 번의 정기회의, 올해 상반기 네 번의 정기회의가 이뤄졌다. 위원장은 신원근 대표이며 강율리 사외이사(법무법인 지평 파트너변호사)와 배영 사외이사(포항공과대학교 교수)가 위원으로 있다.
또한 카카오페이는 매해 첫 번째 정기 이사회에서 '개인신용정보 활용, 관리 실태에 대한 정기점검 결과 보고의 건'을 안건으로 올려왔다. 사업보고서 등을 보면 2023년 2월 6일과 2024년 2월 6일에 해당 보고사항이 올라왔다. 올해 첫 이사회에는 신원근 대표와 최용석 전 기타비상무이사, 강율리·권태우·김재환·배영 사외이사가 참석했다.
이사회 관련 활동을 통해 봤을 때 개인정보 유출에 대한 금융당국과 카카오페이의 시각은 현저한 차이가 있었다는 점을 알 수 있다.
< 저작권자 ⓒ 자본시장 미디어 'thebell', 무단 전재, 재배포 및 AI학습 이용 금지 >