[그게 뭔가요] 카카오페이의 개인정보 중국 유출 사건

사건의 개요

카카오페이가 지난 2018년부터 이용자의 개인신용정보를 중국 알리페이에 제공한 사실이 드러나 논란이 일고 있다. 금융감독원에 따르면, 카카오페이 해외결제부문 현장검사를 진행해보니 카카오페이가 고객 동의 없이 개인신용정보를 알리페이에게 제공한 사실이 확인됐다.

결과적으로, 카카오페이 이용자 4045만명의 개인신용정보 데이터가 알리페이에 전달됐다. 모든 카카오페이 회원일 것으로 추정된다.

알리페이에 전달된 데이터는 ▲고객식별정보(계정 일련번호, 핸드폰 번호, 이메일) ▲가입고객정보(가입일, 휴면계정 여부 등) ▲페이머니 거래내역(잔고, 충전·출금 횟수, 결제 여부 등) ▲카드등록 여부 등이다.

왜 줬나?

카카오 측은 애플의 요청에 따른 것이라고 해명했다. 카카오페이가 애플 앱스토어 인앱결제 시스템의 결제수단으로 등록되는 과정에서 이와 같은 요청이 있었다는 것이다.

카카오페이에 따르면, 애플은 결제자의 신용을 확인하기 위해 고객별 신용점수(NSF)를 요구하는데, NSF 제공 시스템을 이미 갖추고 있는 알리페이를 통해 전달할 것을 요구받았다. 카카오는 이에 따라 알리페이가 NSF를 산출할 수 있도록 데이터를 전달했다고 밝혔다.

알리페이와 카카오페이의 관계

알리페이는 카카오페이의 대주주다. 현재 알리페이싱가포르가 카카오페이 지분 32.01%를 보유하고 있다.

알리페이싱가포르는 중국 앤트파이낸셜(Ant Financial)이 해외투자를 위해 운영하는 계열사다. 앤트파이낸셜은 2017년 2월 카카오페이에 2억달러(당시 약 2300억원)를 투자한 바 있다.

현재 상황

현재는 금감원과 카카오페이가 갑론을박 하고 있는 상태다. 금감원은 카카오페이의 행위가 법 위반이라는 입장이고, 카카오페이는 절차대로 진행했고 합법적이라고 주장하고 있다. 이에 따라 향후 법정 다툼이 있을 것으로 예상된다.

쟁점 1. 이용자 동의는 필요없었나

금감원이 가장 크게 문제 삼는 것은 이용자 동의 없이 개인신용정보를 유출했다는 점이다. 개인정보보호법에 따르면, 개인정보를 국외에 이전할 때는 이용자의 동의를 받아야 한다. 신용정보법에도 개인신용정보를 타인에 제공하려면 정보주체의 동의를 받아야 한다고 돼 있다.

이에 대해 카카오페이 측은 이번 정보 제공에 대해 “알리페이에 신용정보처리를 위탁한 것이기 때문에 이용자의 동의가 필요 없는 사안”이라고 맞서고 있다. 신용정보법 17조에 따르면, 위탁 업무에 이용되는 경우 동의 의무를 부여하지 않고 있다.

위탁이란 정보처리 목적이 수탁자가 아닌 위탁자에 있는 것을 말한다. 즉 이 경우 이용자의 이용자 정보를 사용하는 목적이 알리페이가 아닌 카카오페이에 있기 때문에 위탁이라는 것이 카카오페이의 입장이다. 즉 알리페이는 일을 대신 해줬을 뿐, 알리페이가 카카오페이 이용자의 개인신용정보를 따로 활용하는 것이 아니기  때문에 동의가 필요없었다는 것이다.

이에 대해 금감원 측은 카카오페이와 알리페이가 ‘’NSF스코어 산출·제공업무’를 위탁했다는 계약서가 없다고 일갈했다. 또 카카오페이가 홈페이지에 공시한 ‘개인신용정보 처리업무 위탁’ 사항에도 이 내용은 없기 때문에 위탁이라고 볼 수 없다는 게 금감원의 입장이다.

쟁점 2. 암호화는 잘 되어 있나

암호화 기술도 논란이다. 카카오페이는 알리페이에 개인신용정보를 넘겨주면서 이용자 개인을 식별할 수 없도록 암호화했다고 밝혔다. 이 때문에 알리페이가 카카오페이 이용자 정보를 이용할 가능성이 없다고 보고 있다.

이에 대해 금감원은 카카오페이가 적용한 암호화 기술 수준이 낮아서 얼마든지 해독이 가능하다고 주장했다. 금감원은 “카카오페이는 가장 일반적인 암호화 프로그램(SHA256)을 사용해 일반인도 복호화가 가능한 수준으로 원본 데이터 유추가 가능하다”고 밝혔다.

SHA256는 단방향 암호화 기술로 기술적으로 복호화는 불가능하다. 일반인도 복호화가 가능하다는 금감원의 설명은 이론적으로는 성립되기 어렵다.

예를 들어 어떤 온라인 서비스의 패스워드가 기억나지 않을 때 패스워드 찾기 기능을 이용했더니 패스워드를 알려주는 것이 아니라 새 패스워드를 만들도록 하는 경우가 있다. 이는 단방향 암호화 기술을 이용했기 때문에 서비스 회사도 이용자의 원래 패스워드를 알 수 없기 때문이다.

다만 단방향 암호화 기술이라고 100% 안전한 것은 아니다. SHA256을 운영하기 위해서는 레인보우 테이블이라는 데이터베이스가 필요하다. 원래 데이터와 해시 값 데이터를 저장한 DB다. 만약 이 테이블이 공격자의 손에 들어간다면 원래 데이터가 유출될 수도 있다. 그런 점에서 “원본 데이터 유추가 가능하다”는 금감원의 설명이 틀린 것은 아니다.

다만 카카오페이는 SHA256 암호화를 하면서 ‘솔트’ 처리를 했다고 밝혔다. 솔트는 해시값을 가지고 원래 데이터를 알아내지 못하도록 만든 기법이다. 솔트 처리를 한 경우에는 해시 값을 가지고 원래 데이터를 알아내는 것이 매우 어려워진다.

카카오페이가 실제로 SHA256를 적용하면서 솔트 처리를 했는지 여부는 금감원과 주장이 엇갈리기 때문에 추후 사실 관계 확인이 더 필요하다.

쟁점 3. 왜 모든 이용자 정보를 줬나

카카오페이의 주장을 다 받아들인다고 해도 쉽게 납득되지 않는 지점은 ‘왜 모든 카카오페이 이용자의 정보를 넘겼는가’ 하는 점이다.

카카오페이 설명에 따르면, 애플 앱스토어에서 요구하는 NSF 점수 산정을 위해 이용자 정보를 알리페이에 제공했다. 하지만 4045만명의 이용자 중 애플 플랫폼 이용자는 일부에 불과하고, 또 애플 앱스토어 이용자 중에 카카오페이를 결제수단으로 선택하는 이는 더 일부분이다. 그럼에도 카카오페이는 안드로이드 이용자 정보까지 모두 제공했다.

금감원은 이 때문에 “카카오페이가 필요 이상의 데이터를 넘겼다”고 지적하고 있다.

이에 대해 카카오페이 측은 “안드로이드 이용자라고 해도 언제든 아이폰으로 교체할 수 있기 때문”이라고 설명했다. 특히 부정결제는 평소 이용하는 휴대폰이 아니라 다른 휴대폰으로 하는 경우가 많다는 설명이다. 부정결제를 막기 위한 불가피한 조치였다는 것이다.

쟁점 4. 페이코는 왜 이용자 정보를 안 줬나

국내 간편결제 회사 중 애플 앱스토어에 결제수단으로 등록된 서비스는 카카오페이와 페이코 두 개다. 그런데 페이코 측은 “알리페이나 애플 측에 이용자 정보를 제공한 적이 없다”는 입장이다.

페이코는 KCP라는 PG(전자결제대행) 회사를 통해 애플 앱스토어 결제수단으로 등록했다. KCP 역시 이용자 정보를 알리페이나 애플에 제공한 적이 없다는 입장이다.

페이코 측은 “페이코도 KCP도 NFS 스코어 정보를 제공하거나 제공을 요구받은 적이 없다”면서 “모든 결제는 최소한의 정보를 식별 불가능하게 처리하고 있고, 사전 동의를 받는다”고 밝혔다.

이 때문에 왜 카카오페이만 NSF 스코어 산출과 이용자 정보 제공을 요구받았는지는 의문점으로 남아 있다.

글. 바이라인네트워크
<심재석 기자>shimsky@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다