[이코노미스트 윤형준·정두용 기자] 최근 카카오페이가 해외결제 관련 알리페이에 제출한 일부 데이터에 대한 암호화 처리가 미흡하다는 논란으로 곤혹을 치르고 있다. 금융당국은 일반인도 원본 데이터를 유추할 수 있다면서 카카오페이가 고객정보를 충분히 보호하지 않았다고 강도 높게 비판했다. 하지만 전문가들은 카카오페이의 데이터 처리 방식과 그 리스크에 대해 조금 더 구체적인 분석이 필요하다고 지적한다.

24일 금융권에 따르면 금융감독원은 네이버페이와 토스 등 간편결제사들이 해외결제대행업무를 하는 과정에서 고객의 동의 없이 개인신용정보를 과다하게 제3자에게 넘긴 사실이 있는지에 대해 점검에 나섰다. 카카오페이가 중국 앤트그룹 계열사이자 2대 주주인 알리페이에 정보를 전달한 사안과 유사한 사례가 있는지 확인하기 위해서다. 나아가 금감원은 간편결제사들의 개인정보 암호화 실태까지 확인해 각 사의 암호화 수준을 살펴보고 있다.

카카오페이 정보 유출 사태의 핵심 논란 중 하나는 ‘복호화’(디코딩)다. 복호화는 암호화된 내용을 다시 거꾸로 복구해 사람이 읽을 수 있는 형태로 되돌려 놓는 것을 뜻한다. 이와 관련해 카카오페이 측은 알리페이에 대한 정보제공이 사용자의 동의가 필요 없는 업무 위수탁 관계에 따른 신용정보의 처리위탁에 해당한다는 입장이다. 또 철저한 암호화를 통해 전달돼 원본 데이터를 유추해낼 수 없어 고객 동의 없이 불법으로 정보를 제공하지 않았다고 주장하고 있다.

하지만 금감원은 카카오페이의 알리페이에 대한 정보제공이 개인정보의 처리위탁이 아닌 제3자 제공이라고 지적했다. 특히 카카오페이가 ‘일반인도 복호화가 가능한’ 가장 일반적인 암호화 프로그램을 사용해 원본 데이터 유추가 가능하다는 점을 문제로 삼았다. 카카오페이 측 입장을 정면으로 반박한 셈이다.

그러나 보안업계 전문가들은 카카오페이의 데이터 암호화는 일반인이 복호화하기 쉬운 구조는 아니라며, 보다 구체적으로 살펴볼 필요가 있다고 강조한다. 이번 사태에서 논란이 된 고객 정보는 크게 ▲전화번호 ▲이메일 ▲일련번호형 어카운트(Account) ID로 나뉜다.

우선 카카오페이가 제출한 자료에서 가장 민감도가 높은 정보는 전화번호다. 카카오페이는 내부적으로도 전화번호 정보는 암호화된 상태로 관리하고 있는 것으로 알려져 있다. 이를 외부에 전송할 때는 추가적으로 ‘SHA256’ 방식으로 이중 암호화해 전송한다. SHA256은 단방향 알고리즘의 한 종류로, 국내 인터넷뱅킹과 비트코인 작업 증명(PoW) 등에서도 사용되는 방식이다. 전문가들은 이중 암호화된 형태로 제공된 전화번호 정보는 해독이 거의 불가능한 수준으로, 유출 시에도 실질적인 위험은 매우 낮다고 평가한다.

또한 이메일의 경우 카카오페이는 중간에 특정 값을 포함하는 등 강화된 암호화 기법을 적용해 보호하고 있는 것으로 알려져 있다. 이런 암호화 기법은 해독을 어렵게 만들며, 실제로 해커가 유의미한 정보를 얻기는 매우 어려울 것으로 보인다는 게 보안업계의 시각이다.

어카운트 ID 정보 처리는 이번 논란에서 핵심으로 부각됐다. 솔트 처리나 추가적인 보안 절차 없이 단순히 SHA256 방식으로 암호화됐다는 게 금융당국의 지적이다. 그러나 전문가들은 이 정보가 단순 일련번호에 불과해 해독되더라도 실질적인 활용 가치는 거의 없다고 전했다.

이 정보들이 알리페이에 제공된 이유와 그 용도 역시 논란이 되고 있다. 카카오페이는 해당 정보를 정기결제 시 부정결제를 방지하기 위해 알리페이에 제공했으며, 알리페이는 이 외의 다른 목적으로는 이 정보를 활용하지 않았다고 밝혔다. 또한 본 목적이 달성된 후에는 이 정보를 폐기해 왔다는 설명이다. 이는 일반적인 해킹 유출 사건과는 근본적으로 다른 상황이라고 봐야한다는 게 보안 전문가들의 시각이다.

익명을 요구한 한 보안업계 전문가는 “이번 논란은 카카오페이가 일부 데이터 처리에서 미흡함을 보였음을 인정하는 계기가 됐지만, 실질적인 리스크는 제한적”이라며 “데이터의 민감도에 따라 차등적인 암호화가 이루어졌으며, 가장 민감한 전화번호와 이메일은 충분히 보호되고 있다는 점에서 긍정적으로 평가할 수 있다”고 말했다.

다만 그는 “카카오페이는 이번 사건을 계기로 더욱 철저한 데이터 보호 조치를 마련하고, 향후 유사한 문제가 발생하지 않도록 감독기관의 권고를 적극 수용할 필요가 있다”며 “데이터 보호는 이용자의 신뢰를 지키기 위한 필수적인 요소이며, 금융 서비스의 핵심적인 부분이므로 카카오페이는 이번 경험을 토대로 한층 강화된 보안 시스템을 구축해야 할 것”이라고 강조했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지