금감원 “카카오페이 암호화 일반인도 풀 수 있어”…2차 유출 쟁점될 듯

김남준 2024. 8. 13. 18:56
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

“알리페이에 고객 정보를 불법으로 넘기지 않았다”는 카카오페이 주장을 금융감독원이 정면 반박하며 진실 공방이 펼쳐지고 있다. 특히 금감원이 카카오페이가 암호화했다는 고객정보에 대해 “쉽게 풀 수 있다”고 지적하면서, 해당 정보가 다른 곳에 유용됐는지가 향후 논란이 될 전망이다.


금감원 “카카오페이 암호화 쉽게 풀 수 있어”


13일 카카오페이가 밝힌 해명의 핵심은 우선 알리페이에 넘긴 고객 정보가 암호화돼 있어 사용자가 누군지 식별하기 불가능하다는 것이다.

사진 카카오페이 홈페이지 캡처

사진 카카오페이 홈페이지 캡처
카카오페이는 “무작위 코드로 변경하는 암호화 방식을 적용해 철저히 비식별 조치하고 있다”면서 “사용자를 특정할 수 없으며, 원문 데이터를 유추해낼 수 없고, 절대로 복호화할 수 없는 한 방향 암호화 방식이 적용되어 있어 부정 결제 탐지 이외의 목적으로는 활용이 불가능하다”고 설명했다.

하지만 금감원은 “카카오페이는 고객 정보를 무작위 코드 없이 단순하게 암호화했고, 암호화에 필요한 함수 구조를 지금까지 전혀 변경하지 않았다”면서 “구글에서 일반인이 손쉽게 구할 수 있는 프로그램으로도 암호를 풀 수 있는 수준”이라고 반박했다.


암호화 제대로 했는지, 법위반 여부 갈라


암호화를 제대로 했는지는 신용정보보호법 위반 여부를 결정짓는 중요한 쟁점 중 하나다. 신용정보보호법상 암호화 정도가 강해서 누구의 정보인지 알 수 없는 경우는 ‘익명정보’, 누구인지 가려져 있지만 다른 정보와 결합해 알 수 있으면 ‘가명정보’로 분류한다. ‘익명정보’는 고객 동의 없이 제3자에게 넘겨도 법 위반이 아니다. 하지만 ‘가명정보’는 통계작성이나 연구 같은 학술적 목적이 아니고서는 반드시 당사자 동의를 받아야 제3자에게 제공이 가능하다.

금융감독원. 연합뉴스

금융감독원. 연합뉴스
금감원은 암호화를 제대로 했더라도 결국엔 알리페이 측에 넘긴 정보가 ‘가명정보’에 해당한다고 지적했다. 전문가들도 카카오페이가 원래 설명한 고객 정보 제공 목적을 비춰볼 때 이것을 익명정보로 보기 어려운 측면이 있다고 지적한다. 익명을 요구한 법조계 관계자는 “카카오페이는 애플이 요구할 때마다 특정 고객의 개인신용정보를 점수화해서 제공하기 위해 알리페이에게 고객 정보 재가공을 맡겼다고 했다”면서 “이 말이 누군지 알아볼 수 없게 완전히 암호화했다는 말은 앞뒤가 맞지 않는 것”이라고 말했다.

2차 유용 가능성 있으면 “법원 배상액 커져”


금감원 주장처럼 허술하게 암호화를 했다면 알리페이 측의 고객 정보 2차 유용 가능성도 배제할 수 없다. 김보라미 법률사무소 디케 변호사는 “일단 고객 동의 없이 제3자에게 국외로 정보를 줬다는 사실만으로도 민사 소송이 가능하다”면서 “여기에 카카오페이가 말한 목적 외에 다른 곳에 고객 정보를 썼을 가능성이 인정되면 배상 금액이 커질 수 있다”고 짚었다.

다만 알리페이에서 해당 정보를 다른 곳에 썼는지는 현재 상황에서는 확인할 방법은 사실상 없다. 금융당국이나 사법당국은 해외에 있는 알리페이를 조사할 권한이 없어서다.

이에 대해 카카오페이는 “알리페이와 애플은 카카오페이에서 제공하는 정보를 받아 마케팅 등 다른 어떤 목적으로도 활용하지 못하게 되어 있으며, 카카오페이는 최근 이에 대한 별도의 공식 확인 절차를 진행했다”고 강조했다.


“업무위수탁 계약서 없어” vs “추가 조사서 소명할 것”


알리페이와 업무위수탁 관계에서 고객 정보를 넘겼기 때문에 동의 절차가 필요하지 않았다는 카카오페이 주장은 진실게임 양상으로 번지고 있다. 금감원이 "검사 결과 업무위수탁 계약서 자체가 없다"고 지적했기 때문이다. 금감원 관계자는 “업무위수탁 계약서가 없다는 것은 카카오페이도 인정한 사항”이라며 "또 설사 업무위수탁 계약서가 있더라도 이번 카카오페이 사례는 허용 범위를 넘어선다"고 말했다.

이러한 금감원 주장에 대해 카카오페이는 별도 추가 해명을 내놓지 않았다. 다만 카카오페이는 “금감원이 발표한 내용에 대해서는 향후 조사과정에서 충분히 소명할 것”이라고 했다.

금감원은 다른 페이사도 추가 검사 하겠다고 예고한 상태다. 그러나 업계에서는 다른 결제업체로는 카카오페이와 비슷한 문제가 번지지 않을 것으로 보고 있다. 익명을 요구한 또 다른 페이사 관계자는 “우리도 애플에 입점했지만, 그런 식의 고객정보 제공을 요구받지 않았다”면서 “이번 카카오페이 사례는 좀 이례적인 것 같다”고 말했다.

김남준 기자 kim.namjun@joongang.co.kr

Copyright © 중앙일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
중앙일보에서 직접 확인하세요. 해당 언론사로 이동합니다.