금감원이 6년 동안 고객에게 동의 한 번 구하지 않은 채 4000만 넘는 이용자의 신용정보를 제3자에게 넘겨온 카카오페이에 과징금 129억 원을 부과했다. 

국민 메신저 카카오톡을 기반으로 성장하며 '국민 지갑'을 자처했던 카카오페이가 무려 6년이라는 긴 시간 동안 고객의 동의 한 번 구하지 않고 4000만 명이 넘는 이용자의 신용정보를 제3자에게 넘겨온 사실이 금융당국에 적발됐다.

무려 542억 건이나 됐다. 여기에 해외 가맹점 관리는 허술했고 외환 전산망 보고는 수억 달러의 오차가 발생하는 등 총체적인 내부 통제 부실이 드러났다. 

금융감독원은 1월 28일 카카오페이에 대해 기관경고와 함께 129억7600만 원의 과징금 및 과태료 4800만 원 부과, 임직원 제재 등을 하며 책임을 물었다.

고객 몰래 넘어간 542억 건의 금융 데이터

사건의 발단은 2018년 4월로 거슬러 올라간다. 핀테크 혁신의 상징으로 여겨지던 시기, 카카오페이 내부에서는 은밀한 데이터 전송이 시작됐다.

「신용정보의 이용 및 보호에 관한 법률」과 「전자금융거래법」에 따르면, 금융회사가 고객의 개인신용정보를 타인에게 제공할 때는 반드시 당사자의 개별 동의를 받아야 한다. 이는 금융 소비자를 보호하기 위한 가장 기본적인 원칙이다.

카카오페이는 이 원칙을 무시했다. 2018년 4월 27일부터 2024년 5월 21일까지 카카오페이는 알리페이에 고객들 정보를 넘겼다. 여기에는 고객이 전자적으로 충전해 사용하는 페이머니의 결제 내역 등 민감한 전자금융거래 실적 정보가 고스란히 포함돼 있었다.

유출된 규모는 상상을 초월한다. 누적 4045만 명이나 되는 고객의 정보가 542억 건이나 전송됐다. 초기에는 3회 정도 전송됐으나 2019년 6월부터는 아예 매일 1회씩 정기적으로 데이터가 넘어갔다. 

고객들이 자신의 결제 정보가 매일 어딘가로 흘러가고 있다는 사실을 까맣게 모르고 있는 사이 카카오페이의 데이터 파이프라인은 쉼 없이 가동되고 있었던 것이다.

감시자는 눈 감았고 시스템은 뚫렸다

더욱 충격적인 것은 이러한 불법 행위를 막아야 할 내부 통제 시스템이 완전히 마비되어 있었다는 점이다. 신용정보법에 따라 금융회사에는 신용정보관리·보호인이 지정돼야 하며 이들은 시스템에 대한 관리적 보안 대책을 수립하고 임직원들이 법규를 잘 지키는지 점검할 의무가 있다.

그러나 카카오페이의 감시망은 작동하지 않았다. 신용정보관리·보호인이 지정된 2020년 10월 8일 이후에도 데이터 유출은 멈추지 않았다. 

이 기간에만 약 409억 건의 정보가 고객 동의 없이 제3자에게 제공됐다. '스코어 산출' 명목으로 포장된 이 데이터 전송 행위에 대해 내부 감시자는 단 한 번도 제동을 걸지 않았고 임직원의 법규 준수 여부에 대한 점검조차 실시하지 않았다. 

고객의 신뢰를 지켜야 할 최후의 보루가 무너진 셈이다. 금융당국은 이에 대한 책임을 물어 관련 임원에게 주의적 경고를, 직원들에게는 감봉과 견책 등의 징계 조치를 내렸다.

해외 가맹점은 '프리패스'? 구멍 뚫린 외환 업무

카카오페이의 문제는 정보 유출에 그치지 않았다. 해외 결제 사업을 확장하는 과정에서 외국환 업무의 기본 절차조차 지키지 않은 사실도 드러났다. 

외국환거래법상 금융사는 고객과의 대외 거래가 법적으로 허가받은 것인지 꼼꼼히 확인해야 한다. 특히 해외 가맹점이 실제 존재하는지, 취급하는 품목이 무엇인지 확인하는 것은 자금 세탁이나 불법 거래를 막기 위한 필수 절차다.

카카오페이의 검증 시스템은 허술하기 짝이 없었다. 온라인 해외 가맹점의 경우 등록 시점에만 잠깐 확인할 뿐, 이후에는 관리하지 않았다. 

심지어 오프라인 해외 가맹점에 대해서는 등록 절차조차 제대로 마련하지 않아 해당 가맹점이 실재하는지 아니면 유령 업체인지조차 파악하기 어려운 상태였다. 

정산 대금을 해외로 송금할 때도 구체적인 거래 품목을 따져보지 않고, 단순히 결제 건수와 총액만 확인하고 돈을 보냈다. 이는 이상 거래가 발생해도 이를 걸러낼 수 없는 치명적인 약점이었다.

내부 부서 간의 소통 부재도 심각했다. 가맹점 관리 팀에서 의심스러운 '특이 거래' 가맹점을 발견해도 정작 돈을 보내는 정산·송금 담당자에게는 이 정보가 공유되지 않았다. 한쪽에서는 경고등이 켜졌는데 다른 쪽에서는 아무것도 모른 채 돈을 보내는 황당한 상황이 발생할 수 있는 구조였다.

8억2000만 달러 중복 보고…엉망진창 보고 체계

금융당국에 보고하는 숫자조차 엉망이었다. 외국환거래법에 따라 외환 거래 내역은 국세청이나 금융감독원 등 관계 당국에 정확하게 보고되어야 한다. 

하지만 카카오페이는 타발송금(해외에서 들어오는 송금) 내역을 보고하면서 약 8억2000만 달러(한화 약 1조 원 상당)를 중복으로 보고하는 실수를 저질렀다. 동일한 거래를 해외 PG사로부터 받을 때 한 번, 국내 가맹점에 정산해 줄 때 또 한 번 보고한 것이다. 

당발송금(해외로 보내는 송금)에서도 약 1만 달러의 오차가 발견됐다. 보고 전후에 오류를 검증하는 절차가 얼마나 부실했는지를 여실히 보여주는 대목이다.

금융감독원은 이번 제재를 통해 카카오페이에 '기관경고'라는 중징계를 내렸다. 이는 향후 1년간 금융 당국의 인허가가 필요한 신사업 진출에 제동이 걸리는 무거운 조치다.