경찰이 카카오페이의 대규모 개인정보 국외 이전 의혹에 대해 본격적인 강제수사 절차에 착수하면서 국내 핀테크 산업 전반에 긴장감이 커지고 있다. 금융당국의 제재를 넘어 형사 수사 단계로까지 사안이 확대되면서 단순 행정 위반이 아닌 ‘불법 정보 유출’ 여부가 핵심 쟁점으로 떠올랐다.
15일 경찰에 따르면 경기남부경찰청 반부패경제범죄수사대는 금융감독원의 수사 의뢰를 토대로 카카오페이에 대한 신용정보법 위반 혐의를 수사 중이다. 수사 내용은 2018년부터 2024년 5월까지 약 4000만명의 고객 정보와 총 542억건에 달하는 데이터가 중국 간편결제 업체 알리페이 측으로 넘어간 과정이다.
경찰은 고객 동의 절차와 데이터 제공 범위, 내부 의사결정 구조 등을 집중적으로 들여다보고 있는 것으로 전해졌다. 이번 사건이 단순한 행정 제재 수준을 넘어 형사 수사로 확대된 배경에는 정보 이전 규모와 기간이 결정적 영향을 미쳤다는 분석이다.
개인정보보호위원회와 금융감독원은 이미 카카오페이에 거액의 과징금과 기관경고를 부과했지만, 감독당국은 정보 제공이 고객의 명시적 동의 없이 장기간 이뤄졌다고 판단했다. 특히, 해외 사업자에게 대규모 금융·결제 관련 정보가 이전됐다는 점에서 사안의 중대성이 크다고 본 것이다. 문제가 된 과정은 애플 아이폰 사용자가 카카오페이를 결제 수단으로 등록할 때 발생했다.
카카오페이는 애플 결제 인증 과정에서 알리페이의 중계 시스템을 활용했는데 이 과정에서 암호화된 휴대전화 번호와 이메일 주소, 충전 잔고 등의 정보가 알리페이 측에 전달된 것으로 조사됐다. 이용자 상당수는 이러한 정보 이전 사실을 명확히 인지하지 못한 것으로 보인다.
금융당국은 알리페이가 전달받은 데이터를 단순 중계 목적이 아니라 자체 신용평가 성격의 ‘NSF 점수’ 모델 구축에 활용했다는 점을 심각하게 보고 있다. NSF 점수는 이용자의 자금 부족 가능성을 예측하기 위한 내부 평가 지표로 알려져 있다.
만약 수사 과정에서 해당 데이터가 제3의 목적으로 활용된 정황이 추가 확인될 경우, 카카오페이의 법적 책임은 더욱 무거워질 가능성이 있다.
경찰 수사의 핵심은 크게 세 가지다.
첫째, 이용자 동의 절차가 신용정보법상 적법했는지 여부다.
둘째는 알리페이가 단순 업무 위탁 업체인지, 사실상 독립적인 제3자인지에 대한 판단이다.
셋째는 카카오페이 경영진이 정보 제공의 범위와 위험성을 어느 수준까지 인지했는지다.
수사 결과에 따라 단순 법인 처벌을 넘어 관련 임직원 개인에게도 형사 책임이 적용될 가능성이 제기된다.
이번 사건은 국내 플랫폼·핀테크 업계 전반에도 적지 않은 파장을 미칠 전망이다.
최근 금융 서비스 기업들은 글로벌 사업자와의 협업 과정에서 클라우드·결제·인증 시스템을 해외 기업과 연계하는 사례가 늘고 있다.
그러나 이번 사건을 계기로 국외 데이터 이전과 위탁 구조에 대한 규제가 한층 강화될 가능성이 커졌다.
업계에서는 “편의성과 글로벌 연동에 치우친 나머지 개인정보 보호 원칙이 상대적으로 소홀해졌다는 비판을 피하기 어렵다”는 반응도 나온다.
정치권과 시민단체 역시 강경 대응을 요구하고 있다. 소비자 단체들은 “금융 정보는 일반 개인정보보다 훨씬 민감한 영역”이라며 집단소송과 손해배상 청구 가능성까지 검토하고 있다. 개인정보의 국외 이전 문제가 미·중 기술 갈등과 맞물려 국가 안보 및 데이터 주권 이슈로 확대될 수 있다는 시각도 존재한다.
카카오페이는 현재까지 “애플 결제 서비스 운영 과정에서 필요한 절차였다”는 취지의 입장을 유지하고 있다. 또한, 고객 정보를 직접 식별할 수 없도록 암호화 처리가 돼 있었으며 서비스 제공 목적 범위 내에서 데이터가 활용됐다는 점을 강조하고 있다.
다만, 감독당국과 수사기관의 판단은 보다 엄격한 방향으로 흐르고 있어 방어 논리가 얼마나 받아들여질지는 미지수다. 향후 카카오페이는 내부 통제 체계 강화와 개인정보 처리 구조 전면 개편에 나설 가능성이 높다.
실제로 금융권에서는 최근 개인정보 국외 이전 심사 절차를 강화하고 외부 위탁업체 관리 체계를 재정비하는 움직임이 나타나고 있다.
카카오페이 역시 추가적인 법률 검토와 함께 대외 신뢰 회복을 위한 보안 투자 확대, 고객 공지 체계 개선, 내부 준법감시 조직 강화 등의 대응책을 마련할 것으로 예상된다. 이번 수사는 단순히 한 핀테크 기업의 위법 여부를 가리는 데 그치지 않을 가능성이 크다.
디지털 금융 시대에 플랫폼 기업이 이용자 데이터를 어디까지 활용할 수 있는지, 그리고 글로벌 서비스 연동 과정에서 개인정보 보호 원칙을 어떻게 지켜야 하는지를 가늠하는 중요한 기준점이 될 수 있기 때문이다. 업계 안팎에서는 “이번 사건이 향후 국내 데이터 규제 체계와 플랫폼 책임 기준을 재정립하는 계기가 될 걸”이라 보고 있다.