간편결제 플랫폼의 급성장은 수천만 명의 금융·개인정보가 하나의 사업자 인프라에 집중되는 구조적 특성을 동반합니다. 이 같은 환경에서 개인정보의 제3자 제공과 처리위탁 간 법리적 경계가 모호해질수록, 컴플라이언스 체계의 설계 결함은 조직 전체를 규제 리스크와 신뢰 훼손에 노출시킵니다.
2024년 8월 금융감독원 검사를 통해 최초 발각된 카카오페이의 알리페이 개인정보 무단 이전 사고는, 국내 핀테크 역사상 전례 없는 규모의 다중 규제 기관 제재와 행정소송으로 이어지며 업계 전반의 정보 거버넌스 관행에 근본적 재검토를 요구하고 있습니다.
본 포스팅은 해당 사고의 기술적 구조와 법적 함의를 심층 분석하고, 유사 사고 예방을 위한 아키텍처 수준의 대책을 제시합니다.
1. Incident Summary (사고 개요 및 규제 현황)
사고경위
| 구분 | 내용 |
|---|---|
| 최초 발각 | 2024년 8월 13일, 금융감독원 정기 검사 중 적발 |
| 침해 기간 | 2018년 4월 27일 ~ 2024년 5월 21일 (약 6년 1개월) |
| 관련 사업자 | 카카오페이 → 알리페이(싱가포르 법인, 앤트그룹 계열) → 애플 |
| 정보 이전 목적 | NSF(Non-Sufficient Funds) 점수 산출 모델 구축 |
| 정보 이전 횟수 | 2018년 4~7월 총 3회(모델 구축 초기), 이후 상시 전송 |
| 총 전송 건수 | 누적 약 542억 건 |
침해 유형 및 자산
전달된 정보는 해시(Hash) 처리한 내부고객번호, 휴대전화번호, 이메일주소, 가입일시, 연결된 계좌 여부, 충전횟수 등 총 24개 항목이며, 이용자의 자금부족 가능성과 관련된 충전 잔고 등 금융 행태 정보를 포함합니다. 단순 식별자가 아닌 금융 행태 데이터가 포함된 복합 프로파일로, 개인신용정보로서의 법적 성격을 내포합니다.
피해 Scale
중복 데이터를 제거하면 실제 피해 정보주체 수는 약 4,045만 명으로 추산되며, 카카오페이 전체 이용자 중 애플 결제수단을 등록한 비율은 20% 미만임에도 불구하고 전체 이용자 정보가 알리페이에 전송되었습니다. 이는 서비스 이용 범위와 무관하게 정보주체의 데이터가 외부에 제공된 구조적 과잉 이전(Over-Sharing)에 해당합니다.
법적 행정처분
| 규제 기관 | 처분 내용 | 처분 시기 |
|---|---|---|
| 개인정보보호위원회 | 과징금 59억 6,800만원 + 시정명령 + 공표명령 | 2025년 1월 |
| 애플(Apple) | 과징금 24억 500만원 + 과태료 220만원 + 데이터 파기 명령 | 2025년 1월 |
| 금융감독원 → 금융위원회 | 과징금 129억 7,600만원 + 과태료 4,800만원 + 기관경고 + 임원 2명 경고·주의적 경고, 직원 3명 감봉·견책 | 2026년 2월 |
| 경기남부경찰청 | 신용정보법 위반 혐의 수사 착수(법인 입건) | 2026년 5월 |
| 서울행정법원 | 카카오페이의 처분 취소 청구 원고 패소 확정 | 2026년 6월 11일 |
카카오페이는 2026년 3월 금융위원회를 상대로도 과징금 부과 처분 취소를 청구하는 별도 행정소송을 제기한 상태로, 규제 기관과의 법적 공방은 현재 진행 중입니다.
2. Root Cause Analysis (공격 벡터 및 기술적 결함 분석)
본 사고는 외부 해커의 침입이 아닌, 사업자의 구조적 데이터 거버넌스 결함에 기인한 내부 유발형(Inside-Out) 개인정보 침해입니다. 공격 벡터 분석보다 데이터 흐름 아키텍처의 설계 결함과 컴플라이언스 통제 공백의 관점에서 분석합니다.
TTPs: 데이터 이전 메커니즘 및 관계 구조
NSF 점수는 애플 서비스에서 여러 건 소액결제를 한 건으로 묶어 일괄 청구하는 경우 자금 부족 가능성 등을 판단하기 위해 고객별로 매기는 점수입니다. 데이터 흐름 구조는 다음과 같이 재구성됩니다.
[카카오페이] --(24개 항목, 542억건, 무동의)--> [알리페이(싱가포르)]
|
[NSF 점수 산출 모델 구축]
|
[애플(Apple)]
(서비스 이용자 신용 평가)이 구조에서 카카오페이는 자신과 애플 간의 관계를 "제3자 제공"이 아닌 "처리위탁"으로 해석하여 이용자 동의 없이 정보를 이전했습니다. 그러나 재판부는 NSF 점수 산출 이후 해당 정보가 카카오페이와 알리페이에 독자적 가치를 지닌다고 보기 어렵다며, 정보 이전의 실질적 수혜자가 애플임을 인정하고 제3자 제공 규정을 적용했습니다.
Technical Vulnerabilities: 기술·관리적 통제 결함
① 데이터 최소화(Data Minimization) 원칙 위반: 개인정보위 조사 결과에 따르면, 카카오페이는 애플 서비스에서 카카오페이 이외 결제수단을 택한 사용자나 안드로이드폰을 가진 사용자까지 합쳐 약 4,000만 명의 개인정보를 알리페이에 제공했습니다. 목적에 필요한 최소한의 정보주체 범위를 설정하는 처리 목적 기반 데이터 분류 체계(Data Classification)가 부재했음을 시사합니다.
② 국외이전 적합성 심사 프로세스 부재: 2018년 초기 모델 구축 시 수행되었어야 할 정보 이전 법적 근거 검토(Legal Basis Review), 수탁사 적정성 평가(DTA: Data Transfer Assessment), 개인정보 영향평가(PIA) 등이 사전에 수행되지 않은 것으로 판단됩니다.
③ 위·수탁 계약의 법적 구성 오류: 카카오페이 측은 알리페이와 업무위수탁 계약 관계에서 제공된 처리위탁 정보라며 신용정보법 제17조 제1항에 따른 동의 불요를 주장했으나, 금감원은 업무위수탁 범위를 넘어선 것으로 판단했습니다. 위·수탁 계약 범위와 수탁자의 정보 활용 목적이 계약서에 명확히 특정·제한되지 않았던 구조적 결함입니다.
④ 지속적 모니터링 통제 부재: 2018년 최초 이전 이후 2024년까지 약 6년간 약 542억 건의 정보가 지속 전송되었음에도 내부 감사 또는 개인정보 처리 현황 정기 점검을 통해 이를 발견하지 못한 것은, 제3자 제공·위탁 현황 관리 대장의 실효성 부재를 방증합니다.
3. Compliance Gap Analysis (법적·인증 기준 매칭)
규제 법령 위반
| 위반 법령 | 구체적 조항 | 위반 행위 |
|---|---|---|
| 개인정보 보호법 | 제17조(개인정보의 제공) 제1항 | 정보주체의 동의 없는 제3자 제공 |
| 개인정보 보호법 | 제28조의8(개인정보의 국외 이전) | 적법한 동의·계약 이행 근거 없는 국외 이전 |
| 신용정보법 | 제17조(개인신용정보의 제공·활용에 대한 동의), 제32조 | 개인신용정보 제3자 제공 동의 미취득 |
| 신용정보법 | 전산시스템 보안대책 관련 조항 | 신용정보 전산시스템 보안대책 위반 |
| 전자금융거래법 | 정보보호 관련 조항 | 전자금융 관련 정보보호 위반 |
특히 재판부는 "카카오페이는 이 사건 정보를 알리페이에 제공하는 데 간편결제 이용자에게 동의를 얻은 바 없으며, 정보의 주체는 NSF 정보 산출에서 개인정보의 자기통제권이 무력화됐다"고 판시하였으며, 애플 서비스를 이용하지 않은 카카오페이 고객들의 개인정보까지 알리페이에 이전된 점도 처분의 적법성을 뒷받침하는 사정으로 판단했습니다.
ISMS-P 인증 통제 항목 Gap (심사원 관점 결함 사항)
| ISMS-P 통제항목 | 요구사항 | 결함 사항 |
|---|---|---|
| 2.3.3 외부자 보안 이행 관리 |
외부자에게 개인정보 처리 위탁 시 위탁 업무 범위·목적·처리 항목의 명확한 계약 명시 및 이행 점검 | 알리페이와의 위·수탁 계약에 정보 처리 목적 및 활용 제한이 명확히 특정되지 않았으며, 6년간 이행 점검이 미수행됨 |
| 2.9.4 개인정보 제3자 제공 |
개인정보를 제3자에게 제공하는 경우 정보주체의 동의를 받거나 법령에 근거해야 하며, 제공 목적 달성 후 지체 없이 파기 | 적법한 동의 없이 전체 이용자 4,045만 명 정보를 6년 이상 반복 제공 |
| 2.9.6 개인정보 국외이전 |
국외이전 시 법적 근거(동의, 계약 이행 등)를 확보하고 보호 수준 동등성 평가 수행 | 싱가포르 알리페이 법인으로의 이전에 대한 적합성 평가 및 법적 근거 미확보 |
| 2.9.1 개인정보 수집 제한 |
수집 목적에 필요한 최소한의 개인정보만 처리(데이터 최소화) | 애플 서비스 비이용자·안드로이드 사용자까지 포함, 목적 범위를 초과한 과잉 이전 |
| 2.4.7 업무 환경 보안 | 개인정보 처리 현황 정기 점검 및 내부 감사 수행 | 542억 건에 달하는 국외 이전 현황이 6년간 내부 감사에서 탐지되지 않음 |
4. Mitigation Strategies (실무자를 위한 아키텍처 보완 대책)
[1] 데이터 흐름 가시화 및 제3자 제공·위탁 현황 레지스트리 구축
ROPA(Records of Processing Activities) 개념을 기반으로, 조직 내 모든 개인정보 처리 흐름을 시각화하는 데이터 흐름도(Data Flow Diagram)를 시스템 단위로 작성해야 합니다. 특히 외부 API 연동 구간에서 전송되는 데이터 항목, 수신 법인명(국가 포함), 처리 목적, 법적 근거를 매핑한 전사 레지스트리를 구축하고, 연 1회 이상 정합성 검증을 수행해야 합니다. 해당 레지스트리는 ISMS-P 심사 시 2.9.4·2.9.6 통제항목의 핵심 증적 자료로 활용됩니다.
[2] 처리위탁 vs. 제3자 제공 법적 성격 사전 판별 프로세스 내재화
본 사고의 핵심 쟁점인 위탁·제공 구분 오류를 방지하기 위해, 신규 외부 데이터 이전 발생 시 법무·개인정보보호 담당자가 공동 참여하는 법적 성격 판별 체크리스트를 의무화해야 합니다. 판별 기준은 ① 정보 처리 목적의 귀속 주체(누구의 이익을 위한 처리인가), ② 데이터의 독립적 통제·활용 가능성, ③ 수탁자의 독자적 목적 처리 여부 등을 포함해야 합니다. 제3자 제공으로 판별될 경우 이용약관·동의서 개정 절차를 선행해야 합니다.
[3] 목적 기반 데이터 분류(Purpose-Based Data Classification) 및 API 게이트웨이 통제
외부 API를 통해 전송되는 데이터 범위를 서비스 이용 대상(Eligible Population) 기준으로 기술적으로 필터링하는 로직을 API 게이트웨이 레벨에서 구현해야 합니다. 본 사고처럼 "애플 서비스 미이용자"의 정보가 전송되는 과잉 이전을 방지하기 위해, 데이터 요청 쿼리에 처리 목적 범위 내 정보주체만 포함되도록 화이트리스트 기반 데이터 필터 Policy를 적용해야 합니다. WAF 또는 API Management 솔루션에서 전송 페이로드의 PII 탐지 룰(정규식 기반 마스킹 정책)을 병행 적용하는 것이 효과적입니다.
[4] 국외 이전 적합성 평가(Transfer Impact Assessment) 절차 수립
개인정보보호법 제28조의8 및 국외이전 관련 고시에 따라, 국외 이전 전 수신 국가의 개인정보 보호 수준 동등성 평가, 표준 계약 조항(SCC: Standard Contractual Clauses) 체결, 이전 국가·수신자·목적·항목의 이용자 고지 절차를 의무적으로 수행해야 합니다. 특히 싱가포르·중국 등 별도 현지 규제가 적용되는 국가 대상 이전의 경우, 법무법인 협력을 통한 현지 법령 컴플라이언스 검토를 병행해야 합니다.
[5] 위·수탁 계약 표준 양식 강화 및 재검토
모든 개인정보 처리 위탁 계약에 ① 위탁 업무 범위 및 처리 목적의 exhaustive 열거, ② 수탁자의 재위탁 금지 또는 사전 승인 조건, ③ 수탁자의 목적 외 처리 금지 확약, ④ 계약 종료 후 정보 반환·파기 및 확인서 제출 의무, ⑤ 처리 현황 감사권 보유 조항을 표준으로 포함해야 합니다. 기존 계약에 대해서도 반기별 재검토를 통해 계약 범위 내 이행 여부를 확인해야 합니다.
[6] 개인정보 처리 현황 상시 모니터링 체계 구축
SIEM 또는 DLP(Data Loss Prevention) 솔루션과 연동하여, 외부 전송 API의 ① 일일 전송 건수 임계치 초과 알림, ② 신규 수신 도메인 탐지, ③ 비업무시간 대량 전송 이벤트 탐지 룰을 운영해야 합니다. 본 사고와 같이 6년간 탐지되지 않는 잠행형(Persistent) 데이터 유출을 방지하려면, SOC 탐지 룰에 '장기 저빈도 반복 외부 전송 패턴'을 포함하는 것이 효과적입니다.
[7] 개인정보 보호책임자(CPO) 중심의 정기 컴플라이언스 심의 프로세스
신규 외부 서비스 연동, 외부 사업자 API 통합, 플랫폼 파트너십 계약 체결 시 CPO와 개인정보보호팀이 의무적으로 개인정보 영향평가(PIA) 또는 경량 심의를 수행하도록 기업 내 내부 통제 규정에 반영해야 합니다. 이를 통해 개발·사업부서의 독자적 외부 데이터 이전 결정을 방지하는 게이트키퍼(Gatekeeper) 체계를 내재화할 수 있습니다.
5. Conclusion & Takeaway
카카오페이 알리페이 개인정보 이전 사고는 몇 가지 중요한 정보보호 거버넌스적 시사점을 남깁니다.
첫째, 위탁과 제공의 법적 경계 오판이 초래하는 다중 규제 리스크입니다. 개보위·금융위·경찰청 등 복수 규제 기관이 동시에 제재를 부과한 이 사례는, 단일 데이터 이전 행위가 개인정보보호법·신용정보법·전자금융거래법의 위반을 동시 구성할 수 있음을 실증합니다. 법리적 해석 오류 하나가 총 190억 원에 달하는 과징금과 기관경고, 형사 수사로 이어질 수 있다는 점에서 조직의 법무·개인정보보호 기능의 긴밀한 협업 체계 구축이 필수적입니다.
둘째, 데이터 처리 목적의 귀속 주체와 수혜자를 정확히 식별하는 것이 법적 성격 판단의 출발점입니다. 법원은 "정보를 지배·관리하고 이익을 본 주체가 누구인가"를 기준으로 제3자 제공 여부를 판단했습니다. 이는 복잡한 플랫폼 생태계에서 데이터가 흐르는 방향뿐 아니라, 그 데이터로부터 파생되는 가치와 통제권이 누구에게 귀속되는지를 설계 단계에서 분석해야 함을 의미합니다.
셋째, 6년간 탐지되지 않은 잠행형 데이터 유출은 탐지 역량의 근본적 부재를 드러냅니다. 보안 인시던트는 '발생 여부'가 아닌 '탐지 가능성'으로 평가받는 시대입니다. 데이터 이전 경로에 대한 상시 가시성(Visibility)이 없다면, 수년간의 규정 위반 행위가 외부 기관의 조사가 시작되기 전까지 내부에서 전혀 인지되지 않을 수 있습니다.
조직의 개인정보 보호 수준은 규정 문서의 완비도가 아니라, 실제 데이터 흐름과 처리 현황이 정책에 부합하는지를 상시로 감시·검증하는 운영 체계의 성숙도에 의해 결정됩니다. 본 사례를 계기로 자사의 외부 API 데이터 이전 현황, 위·수탁 계약의 목적 범위 적정성, 국외이전 법적 근거의 유효성을 전면 재점검하시기 바랍니다.
자료 출처
- 개인정보보호위원회 - 카카오페이·애플 과징금 83억 부과 보도자료 (2025. 01)
- 보안뉴스 - 카카오페이, 中 알리페이에 4,045만명 신용정보 제공, 금감원 제재 착수 (2024. 08)
- 머니투데이 - 간편결제의 복잡한 삼각관계…카카오페이·개인정보위 법정공방 (2025. 07)
- 데일리브리프 - 카카오페이 고객 정보 3자 제공 적발…과징금 129억 (2026. 02)
- 뉴시스 - 법원 "알리페이에 개인정보 유출한 카카오페이에 60억 과징금 정당" (2026. 06)
- 파이낸셜뉴스 - 법원 "알리페이 정보 이전, 이용자 동의 없어"…카카오페이 과징금 유지 (2026. 06)
- 서울경제 - 알리페이에 고객정보 넘긴 카카오페이…법원 "과징금 60억원 정당" (2026. 06)
- 이투데이 - 알리페이에 4000만 고객정보 넘긴 카카오페이…법원 "과징금 60억 적법" (2026. 06)
- 파이낸셜포스트 - 카카오페이, 알리페이 고객 정보 제공 혐의로 경찰 수사 (2026. 05)
'보안 이야기 > 사고사례' 카테고리의 다른 글
| [Threat Analysis] 데이원컴퍼니(패스트캠퍼스) 개인정보 유출 사고 분석과 실무적 시사점 (1) | 2026.06.12 |
|---|---|
| [Threat Analysis] 티빙(TVING) 개인정보 유출 사고 분석과 실무적 시사점 (1) | 2026.06.10 |
| [Threat Analysis] BGF네트웍스(CU편의점 택배) 개인정보 유출 사고 분석과 실무적 시사점 (0) | 2026.06.10 |
| [Threat Analysis] 국가유산청 개인정보 유출 사고 분석과 실무적 시사점 (1) | 2026.06.09 |
| 7월 3일 뉴스 (3) | 2025.07.04 |