“문을 아무리 두껍고 튼튼하게 만들어도 도둑한테 열쇠를 주면 무슨 소용이 있겠습니까”

카카오페이의 고객 민감정보 해외 위탁 논란 이슈를 취재하던 중 한 취재원이 한탄을 하며 이런 말을 했다.

카카오페이의 4000만 회원 민감정보 해외 이전이 논란이다. 카카오페이는 금융감독원 조사 과정임을 감안해 5월 22일부터 협력사 양해를 거친 후 해당 정보 제공을 잠정 중단했다는 입장이다.

이들은 “알리페이와의 업무 위수탁 관계에 따라 개인을 특정할 수 없도록 비식별화된 정보를 제공하고 애플에서 해당 데이터를 활용해 부정결제 여부 등을 판단할 수 있도록 한다”고 강조했다.

금감원은 카카오페이가 ‘NSF 스코어’ 산출을 명목으로 해외결제를 이용하지 않은 고객의 신용정보까지 본인 동의없이 알리페이에 전달한 점을 문제로 삼고 있다. 여기서 NSF 스코어란 애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수를 말한다.

현재까지 주요 쟁점은 카카오페이가 법을 준수했는지 안했는지 여부에 초점이 맞춰졌다. 정보처리 업무 위탁에 관한 규정 제7조에 따르면 금융사는 정보처리 업무 위수탁시 금감원에 사전 보고해야 하는데 현황을 종합했을 때 카카오페이는 이를 지키지 않은 것으로 보인다.

또한 양측은 수 많은 고객의 민감정보를 가명처리 했느냐, 익명처리 했느냐를 두고도 공방을 이어간다. 카카오페이는 민감정보인 사용자 정보를 알리페이에 제공함에 있어서 무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치했다는 입장이다.

금감원은 “카카오페이가 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 암호화 프로그램(SHA256)을 사용했고, 암호화(해시처리) 함수에 랜덤값을 추가하지 않고 전화번호, 이메일 등 위주로만 단순하게 설정했다”며 “암호화 과정에서 필요한 함수구조를 지금까지 전혀 변경하지 않아 일반인도 공개된 암호화 프로그램으로 복호화가 가능하다”고 말한다.

물론 카카오페이의 법 준수 여부나 암호화 수준도 중요한 부분이다. 그러나 관련 내용을 취재하면서 여러 데이터 실무자 의견을 종합한 결과, 이번 사건의 핵심은 카카오페이가 해외 협력업체인 알리페이에 데이터를 위탁하는 과정에서 디코더, 즉 암호를 해독할 수 있는 키값을 제공했는지 여부로 보인다.

평소 데이터가 해시처리(비가역 코드로 정보를 변환하는 암호 보안)된 상태이지만, 업무상 편의에 따라 해독기를 USB에 담아 컴퓨터에 꽂으면 해외에서도 실명정보를 볼 수 있고, 다시 이를 컴퓨터에서 빼면 해시처리된 정보로 바뀐다는 것이다. 

한 데이터 처리 전문가는 “인코더가 있으면 디코더도 있는 법”이라며 “형식적으론 해시처리를 한 파일을 하나 만들고, 자신들의 업무 편의를 위한 해독기를 USB에 담아 해외를 오고 가며 운영해왔을 가능성도 배제하기 어렵다”고 설명한다.

만약 카카오페이가 이런 식으로 업무를 처리했을 경우 내국인의 실명 개인신용정보를 해외 회사가 다룬 것에 해당함으로 법을 어긴 것으로 보여진다. 

알리페이가 한국인의 실명 데이터를 확보했느냐, 혹은 가명, 익명 데이터를 확보했느냐에 따라 발생 가능한 시나리오는 확연히 차이가 있다.

먼저 알리페이가 카카오페이를 통해 가명처리 된 한국인의 민감정보를 대량으로 확보한 경우, 비슷한 소비 패턴이나 금융이력을 가진 이들끼리 묶어 해당 집단군을 대상으로 마케팅 등을 진행할 수 있다.

하지만 금감원의 주장처럼 카카오페이가 암호화를 허술하게 만들었다거나, 일각의 주장처럼 디코더를 인계하는 등의 방식으로 알리페이가 한국인의 실명정보를 확보할 경우, 부정적인 시나리오가 대두된다.

우선 알리페이가 보유한 대량의 금융정보가 유출되거나 해킹 당할 경우, 심각한 보안 위협이 발생할 수 있다. 보이스피싱을 비롯한 신용 사기 및 계좌 도용 등의 범죄로 개인의 재산 피해를 초래할 수 있으며, 이는 결국 국내 전체 금융시스템에 대한 신뢰도 저하까지 발생할 수 있다.

알리페이가 내국인의 실명 민감정보를 중국 정부에 넘겼다면, 한국의 경제안보에 치명적인 영향이 발생할 수도 있다. 

뿐만 아니라, 훗날 금융규제 완화로 해외 핀테크사가 국내시장에서 선구매 후결제(BNPL) 처럼 (사실상) 여신업을 영위할 경우, 알리페이가 대량으로 확보한 대규모 금융정보를 바탕으로 시장을 파괴시킬 정도의 강력한 프로모션을 단행할 가능성도 있다. 이 경우, 각종 규제를 받아가며 힘겹게 명맥을 유지한 국내 여신사들이 무너질 것은 당연한 수순이다.

이번 사건을 두고 카카오페는 “불법이 아니다”는 주장을 굽히지 않고 있다. 

하지만 사건의 진위여부를 떠나, 다수의 일반인 고객 입장에선 해당 이슈 자체가 혼란스러울 뿐이다. 어쩌면 이번 사태로 카카오가 정말 크게 잃은 것은 4000만 사용자의 신뢰가 아닐까. 금융업에서 '신뢰'라는 무형자산의 가치는 측정이 불가능하다.

[스트레이트뉴스 조성진 기자]