투데이코리아 - ▲ 금융감독원 전경. 사진=금융감독원
투데이코리아=이기봉 기자 | 금융감독원이 카카오페이의 고객 정보 유출 관련 해명에 강력하게 반박했다.
15일 업계에 따르면, 금융감독원은 카카오페이가 알리페이에 넘긴 고객 정보에 대해 암호화가 되어 있어 사용자 식별이 불가능하다는 주장에 대해 정면으로 반박하며 나섰다.
앞서 카카오페이는 유출 개인 정보에 대해 “사용자를 특정할 수 없어 원문 데이터를 유추해낼 수 없다”며 “절대로 복호화할 수 없는 한 방향 암호화 방식이 적용되어 있어 부정결제 탐지 이외 목적의 활용이 불가능하다”고 해명한 바 있다.
이에 대해 금감원은 “카카오페이는 고객 정보를 무작위 코드 없이 단순하게 암호화했다”며 “암호화에 필요한 함수 구조를 지금까지 전혀 변경하지 않았다. 구글에서 일반인이 손쉽게 구할 수 있는 프로그램으로도 풀 수 있는 수준”이라고 반박했다.
금감원 측이 밝힌 카카오페이가 사용한 암호화 프로그램은 SHA256으로, 해시처리(암호화) 함수에 랜덤값을 추가하지 않고 전화번호, 이메일 등 위주로 단순하게 설정했으며 함수를 지금까지 한 번도 변경하지 않은 것으로 알려졌다.
업계에서는 이번 카카오페이의 신용정보보호법 위반 여부에 대해 암호화를 제대로 했는지가 주요 쟁점으로 여겨질 것이란 관측이 나온다.
현행 신호정보보호법상 암호화 정도에 따라 특정 인물의 정보를 유추할 수 없는 경우는 ‘익명정보’로 분류하고 있으며 타 정보와의 결합을 통해 유추가 가능하면 ‘가명정보’로 규정한다.
특히 익명정보는 고객의 동의 없이 제3자에 넘기더라도 위법이 아니지만 가명정보의 경우, 제3자에게 제공하기 위해서는 반드시 당사자의 동의가 필요하다.
금감원 측은 “알리페이가 애초 카카오페이에 개인신용정보(핸드폰, 이메일 등)를 요청한 이유는 동 정보를 애플ID에 매칭하기 위한 것이었다”며 “이를 위해서는 카카오페이가 제공한 개인식별정보를 복호화해야 가능하기에, ‘알리페이가 애플에 특정 카카오페이 고객의 NSF스코어를 제공하며 개인신용정보를 식별하지 않는다’는 주장은 모순”이라고 지적했다.
또한 일각에서는 이처럼 암호화가 허술하게 되었을 경우 알리페이 측의 고객정보 2차 유용 가능성에 대해서도 가능하다는 견해가 존재한다.
다만, 금융당국이나 사법당국이 해외에 있는 알리페이에 대한 조사 권한이 없어 관련 사항에 대해서 확인할 방법이 없는 것으로 알려졌다.
카카오페이 측은 이 같은 의혹에 대해 “알리페이와 애플은 카카오페이에서 제공하는 정보를 받아 마케팅 등 다른 어떤 목적으로도 활용하지 못하게 돼있다”며 “카카오페이는 최근 이에 대한 별도의 공식 확인 절차를 진행했다”고 해명했다.
한편 금감원은 카카오페이가 알리페이에 업무 위수탁 관계에서 고객 정보를 넘겨 동의 절차가 필요하지 않았다는 주장에 대해서도 반박했다.
금감원은 “카카오페이가 알리페이와 체결한 일체의 계약서를 확인한 결과, 카카오페이가 알리페이에게 ‘NSF스코어 산출·제공업무’를 위탁하는 내용은 전혀 존재하지 않았다”며 “카카오페이가 동사 홈페이지에 공시한 ‘개인신용정보 처리업무 위탁’ 사항에도 포함되어 있지 않았다”고 조사 결과를 전했다.
그러면서 “카카오페이가 회원가입시 징구하는 약관 및 해외결제 시 징구하는 동의서에도 ‘NSF스코어와 관련한 고객정보 제공’을 유추할 수 있는 내용이 전혀 없었다”며 “‘금융회사의 정보처리 업무 위탁에 관한 규정’ 제7조에 의거, 정보처리 업무 위수탁시 금감원에 사전 보고해야 함에도 본 건은 감독당국에 보고한 바 없다”고 강조했다.
