긴급 속보
최대 60% 할인 0
사이버 먼데이 세일: 최대 60% 할인 InvestingPro
지금 구독하기

[현장] 카카오페이, 4000만 이용자 정보 유출 파문...개인정보 관리 심각성 드러나

입력: 2024년 08월 20일 16:59
저장됨. 저장된 항목 보기.
이 기사는 저장된 항목에 벌써 저장되었습니다.
 
© Reuters. [현장] 카카오페이, 4000만 이용자 정보 유출 파문...개인정보 관리 심각성 드러나

[알파경제=차혜영 기자] 최근 카카오페이가 중국 알리페이에 6년 이상 4000만명이 넘는 이용자의 개인신용정보 542억 건을 제공하면서 적절한 암호화 처리를 하지 않았다는 사실이 밝혀졌다.

◇ 국내 핀테크 기업의 개인정보 관리 실태

보안업계 전문가들은 대규모 개인신용정보를 다루면서도 기본적인 가명 처리 절차를 준수하지 않았다는 점에서 심각성을 지적했다.

한 보안전문기업 대표는 "가명 처리 시 반드시 솔트값이나 키값을 삽입하여 역방향 암호화 해독이 불가능하도록 해야 한다"며 "카카오페이가 이 과정을 거치지 않아 알리페이 측에서 원본 데이터를 유추할 가능성이 있다"고 설명했다.

금융감독원은 카카오페이가 공개된 암호화 프로그램 중 가장 일반적인 것을 사용했으나 암호화 함수에 랜덤값을 추가하지 않고 전화번호와 이메일 등의 정보만으로 단순하게 설정했다고 밝혔다.

또한 카카오페이는 개인신용정보 암호화에 사용되는 암호화 함수를 한 번도 변경하지 않은 것으로 드러났다.

지난 2022년 금융위원회와 금감원이 발간한 '금융분야 가명·익명 처리 안내서'에 따르면 신용정보회사 등은 외부 공격에 대비해 개인신용정보 가명 처리 시 랜덤값을 추가해 암호화 함수를 복잡하게 구성해야 한다.

이런 가이드라인에 비추어 볼 때 카카오페이는 기본적인 가명 처리 지침조차 준수하지 않은 것으로 보인다.

◇ 카카오페이의 반발과 금감원의 제재절차 계획

카카오페이는 카카오페이가 알리페이나 애플에 고객 동의 없이 불법으로 정보를 제공했다는 것은 사실이 아니라는 입장이다.

카카오페이는 “알리페이와 애플은 카카오페이가 제공하는 정보를 받아 마케팅 등 어떤 목적으로도 활용하지 못하도록 돼 있다"라며 "제공되는 정보는 무작위로 변경하는 암호화 방식을 적용해 식별할 수 없는 조치가 이뤄졌다"고 반박했다.

또 정보 제공은 고객의 동의가 필요하지 않은 수준에서 이뤄졌다는 게 카카오페이의 설명이다.

카카오페이 관계자는 "사용자의 동의가 필요 없는 업무 위수탁 방식으로 이뤄졌다"라며 "개인신용정보의 처리 위탁으로 데이터가 이전되는 경우 정보주체의 동의가 요구되지 않는 것으로 규정된다"고 말했다.

그러나 금감원은 계약서를 검토한 후 이러한 정보 제공이 잘못된 것이라고 다시 반박했다.

금감원은 곧 카카오페이에 대한 제재 절차를 시작할 계획이다. 애플 (NASDAQ:AAPL) 앱스토어에서 결제 기능을 추가하기 위해 필요한 정보를 알리페이를 통해 애플에 전달하는 과정에서 문제가 발생했다는 것이다.

금감원은 2018년부터 매일 수백억 건의 데이터를 전송했다고 설명하며 필요 이상의 데이터를 넘겨줬다는 점을 지적했다.

이에 대해 카카오페이는 철저하게 암호화된 데이터였으며 고객 동의가 필요 없는 수준이었다고 주장하고 있다.

카카오페이는 알파경제에 “현재 검사 진행 중이며 적법한 절차에 따라 성실히 소명할 것”이라며 "현재 조사가 진행 중인 관계로 구체적인 사항에 대해서는 밝힐 수 없음을 양해 부탁드린다"고 덧붙였다.

◇ 다양한 개인정보 유출사례와 수억원의 과징금

개인정보 유출사례는 다양한 형태로 발생하고 최근 여러사건이 보고되고 있다. 지난 2023년 초 LG U+는 고객 29만건의 개인정보가 해킹으로 유출됐다.

유출된 정보에는 성명, 생년월일, 전화번호 등이 포함되었으며 이 중 일부는 해지 고객의 데이터였다.

이에 LG U+는 정보보호 조직과 투자를 확대하는 등 사이버 보안에 힘쓰겠다고 밝힌바있다.

2023년 7월에는 한국고용정보원이 운영하는 구인구직 사이트의 해킹으로 '워크넷'에서 23만 6천여 명의 개인정보가 유출된 사례도있다.

해커들은 다른 사이트에서 수집한 사용자의 정보를 무작위로 대입해 계정 정보를 탈취하는 '크리덴셜 스터핑' 기법을 사용해 계정 정보를 탈취했다.

개인정보보호위원회는 이들 기관에 각 과태료 840만 원을 부과하고 보안 대책을 정비하도록 권고했다.

또한 올해 1월에는대성학원과 시대인재의 온라인 강의 사이트에서 수험생 11만 명의 개인정보가 유출된적도 있다. 해커들은 '크리덴셜 스터핑' 및 '크로스사이트 스크립팅' 공격을 통해 정보를 탈취했다.

유출 사실을 알고도 72시간이 지나서야 유출 사실을 모두에게 알리는등 사고 발생 후 대응도 미흡했다.

이에 개인정보위원회는 디지털대성과 시대인재의 온라인 교육강좌를 운영하는 하이컨시에게 총 8억9300만원의 과징금과 1350만원의 과태료를 부과한바있다.

전문가들은 기업들이 가명정보를 개인정보가 아니라고 간주하여 가명 처리를 소홀히 하는 경향이 있다고 지적한다.

또 다른 전문가는"가명정보는 외부 정보와 결합하면 재식별이 가능한 개인정보라는 점을 인식하고 안전하게 활용해야 한다는 윤리의식이 필요하다"고 강조했다.

데이터 기반 산업이 확대되는 상황에서 기업의 책임을 강화하는 방안이 필요하다는 의견이 제기된다.

[현장] 카카오페이, 4000만 이용자 정보 유출 파문...개인정보 관리 심각성 드러나
 

관련 기사

의견 등록하기

의견 지침

의견을 통해 다른 사용자들과 교류하고, 관점을 공유하고, 저자와 서로 간에 의문점을 제시하시기를 바랍니다. 하지만, 저희 모두가 기대하고 소중히 여기는 높은 수준의 담화를 유지하기 위해, 다음과 같은 기준을 기억하시기 바랍니다:

  • 풍성한 대화 나누기.
  • 주제에 집중하기. 토론 주제와 관련된 것만 게시합니다
  • 존중하기. 부정적인의견도 긍정적이고 세련되게 표현할 수 있습니다.
  • 표준어 사용: 문법에 맞춰 글을 작성합니다.
  • 주의사항: 의견에 포함된 스팸이나 홍보용 메시지 및 링크는 제거될 것입니다.
  • 저자나 다른 사용자에 대한 욕설, 비방, 또는 인신공격은 삼가하시기 바랍니다.
  • 대화를 독점하지 마십시오열정과 소신에 감사드립니다. 다만 다른 분들에게도 자신의 생각을 표현할 기회를 드리고자 합니다. 의견은 간결하고 사려 깊게 제시하시고 다른 사람이 불편해 할 수 있음으로 같은 의견을 되풀이하지 마시기 바랍니다. 이야기나 포럼을 독차지하는 사람에 대한 불만이 접수될 경우, 해당 사이트에서 그 사람을 금지할 수 있습니다.
  • 의견은 한글로 작성해주세요.

 

스팸 또는 비방글은 사이트에서 삭제될 것이며 Investing.com의 결정에 따라 추후 댓글 등록이 금지될 것입니다.

 

여기에 귀하의 의견을 입력하세요
 
이 차트를 삭제하시겠습니까?
 
등록
공유:
 
첨부된 차트를 새 차트로 교체할까요?
1000
유저님의 부정적인 댓글 내용으로 인해, 유저님은 더이상 댓글을 작성하실 수 없게 되었습니다. 유저님의 계정 상태는 관리자가 검토할 예정입니다.
잠시만 기다리신 후에 다시 의견을 작성해 주십시오.
귀하의 의견에 감사드립니다. 모든 의견은 중재자가 승인할 때까지 보류되는 점에 유의하시기 바랍니다. 그러므로 웹사이트에 표시되기까지 약간의 시간이 걸릴 수 있습니다.
 
이 차트를 삭제하시겠습니까?
 
등록
 
첨부된 차트를 새 차트로 교체할까요?
1000
유저님의 부정적인 댓글 내용으로 인해, 유저님은 더이상 댓글을 작성하실 수 없게 되었습니다. 유저님의 계정 상태는 관리자가 검토할 예정입니다.
잠시만 기다리신 후에 다시 의견을 작성해 주십시오.
의견에 차트 첨부하기
차단 확인

%USER_NAME%(을)를 정말로 차단하시겠습니까?

그렇게 하면, 귀하와 %USER_NAME%(은)는 서로의 Investing.com 게시물을 볼 수 없습니다.

%USER_NAME%(은)는 차단 명단에 추가되었습니다.

방금 이 사람을 차단해제하였으므로 48시간 이후에 차단을 재개할 수 있습니다.

이 의견 보고하기

나는 이 의견이 다음과 같다고 생각합니다:

의견에 깃발 표시됨

감사합니다!

귀하의 보고는 검토를 위해 조정자에게 보내졌습니다.
애플로 로그인
구글 계정으로 로그인
혹은
이메일로 회원가입