(사진= 연합뉴스)

 

최근 카카오페이가 중국 알리페이에 6년 이상 4000만명이 넘는 이용자의 개인신용정보 542억 건을 제공하면서 적절한 암호화 처리를 하지 않았다는 사실이 밝혀졌다. 

 

◇ 국내 핀테크 기업의 개인정보 관리 실태

보안업계 전문가들은 대규모 개인신용정보를 다루면서도 기본적인 가명 처리 절차를 준수하지 않았다는 점에서 심각성을 지적했다.

한 보안전문기업 대표는 "가명 처리 시 반드시 솔트값이나 키값을 삽입하여 역방향 암호화 해독이 불가능하도록 해야 한다"며 "카카오페이가 이 과정을 거치지 않아 알리페이 측에서 원본 데이터를 유추할 가능성이 있다"고 설명했다.

금융감독원은 카카오페이가 공개된 암호화 프로그램 중 가장 일반적인 것을 사용했으나 암호화 함수에 랜덤값을 추가하지 않고 전화번호와 이메일 등의 정보만으로 단순하게 설정했다고 밝혔다. 

 

또한 카카오페이는 개인신용정보 암호화에 사용되는 암호화 함수를 한 번도 변경하지 않은 것으로 드러났다.

지난 2022년 금융위원회와 금감원이 발간한 '금융분야 가명·익명 처리 안내서'에 따르면 신용정보회사 등은 외부 공격에 대비해 개인신용정보 가명 처리 시 랜덤값을 추가해 암호화 함수를 복잡하게 구성해야 한다. 

 

이런 가이드라인에 비추어 볼 때 카카오페이는 기본적인 가명 처리 지침조차 준수하지 않은 것으로 보인다.

 

(사진= 연합뉴스)

 


◇ 카카오페이의 반발과 금감원의 제재절차 계획

카카오페이는 카카오페이가 알리페이나 애플에 고객 동의 없이 불법으로 정보를 제공했다는 것은 사실이 아니라는 입장이다.

카카오페이는 “알리페이와 애플은 카카오페이가 제공하는 정보를 받아 마케팅 등 어떤 목적으로도 활용하지 못하도록 돼 있다"라며 "제공되는 정보는 무작위로 변경하는 암호화 방식을 적용해 식별할 수 없는 조치가 이뤄졌다"고 반박했다.

또 정보 제공은 고객의 동의가 필요하지 않은 수준에서 이뤄졌다는 게 카카오페이의 설명이다.

 

카카오페이 관계자는 "사용자의 동의가 필요 없는 업무 위수탁 방식으로 이뤄졌다"라며 "개인신용정보의 처리 위탁으로 데이터가 이전되는 경우 정보주체의 동의가 요구되지 않는 것으로 규정된다"고 말했다.

그러나 금감원은 계약서를 검토한 후 이러한 정보 제공이 잘못된 것이라고 다시 반박했다. 

 

금감원은 곧 카카오페이에 대한 제재 절차를 시작할 계획이다. 애플 앱스토어에서 결제 기능을 추가하기 위해 필요한 정보를 알리페이를 통해 애플에 전달하는 과정에서 문제가 발생했다는 것이다.

금감원은 2018년부터 매일 수백억 건의 데이터를 전송했다고 설명하며 필요 이상의 데이터를 넘겨줬다는 점을 지적했다. 

 

이에 대해 카카오페이는 철저하게 암호화된 데이터였으며 고객 동의가 필요 없는 수준이었다고 주장하고 있다.

카카오페이는 알파경제에 “현재 검사 진행 중이며 적법한 절차에 따라 성실히 소명할 것”이라며 "현재 조사가 진행 중인 관계로 구체적인 사항에 대해서는 밝힐 수 없음을 양해 부탁드린다"고 덧붙였다.

 

(사진= 연합뉴스)

 

◇ 다양한 개인정보 유출사례와 수억원의 과징금

개인정보 유출사례는 다양한 형태로 발생하고 최근 여러사건이 보고되고 있다. 지난 2023년 초 LG U+는 고객 29만건의 개인정보가 해킹으로 유출됐다. 

 

유출된 정보에는 성명, 생년월일, 전화번호 등이 포함되었으며 이 중 일부는 해지 고객의 데이터였다. 

 

이에 LG U+는 정보보호 조직과 투자를 확대하는 등 사이버 보안에 힘쓰겠다고 밝힌바있다.

2023년 7월에는 한국고용정보원이 운영하는 구인구직 사이트의 해킹으로 '워크넷'에서 23만 6천여 명의 개인정보가 유출된 사례도있다. 

 

해커들은 다른 사이트에서 수집한 사용자의 정보를 무작위로 대입해 계정 정보를 탈취하는 '크리덴셜 스터핑' 기법을 사용해 계정 정보를 탈취했다.

개인정보보호위원회는 이들 기관에 각 과태료 840만 원을 부과하고 보안 대책을 정비하도록 권고했다.

또한 올해 1월에는대성학원과 시대인재의 온라인 강의 사이트에서 수험생 11만 명의 개인정보가 유출된적도 있다. 해커들은 '크리덴셜 스터핑' 및 '크로스사이트 스크립팅' 공격을 통해 정보를 탈취했다. 

 

유출 사실을 알고도 72시간이 지나서야 유출 사실을 모두에게 알리는등 사고 발생 후 대응도 미흡했다.

이에 개인정보위원회는 디지털대성과 시대인재의 온라인 교육강좌를 운영하는 하이컨시에게 총 8억9300만원의 과징금과 1350만원의 과태료를 부과한바있다.

전문가들은 기업들이 가명정보를 개인정보가 아니라고 간주하여 가명 처리를 소홀히 하는 경향이 있다고 지적한다. 

 

또 다른 전문가는"가명정보는 외부 정보와 결합하면 재식별이 가능한 개인정보라는 점을 인식하고 안전하게 활용해야 한다는 윤리의식이 필요하다"고 강조했다.

데이터 기반 산업이 확대되는 상황에서 기업의 책임을 강화하는 방안이 필요하다는 의견이 제기된다.