‘개인정보 유출 논란’ 카카오페이, 가명 정보처리도 안 했다니

박지영 기자 2024. 8. 18. 19:40
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

카카오페이 사태로 본 정보보호
카카오페이 누리집 갈무리

카카오페이가 최근 중국 앤트그룹 계열사인 알리페이에 지난 6년여 동안 4천만명이 넘는 이용자의 개인신용정보 542억건을 제공하며 암호화 처리를 제대로 하지 않았다는 사실이 밝혀지면서, 국내 핀테크 기업의 부실한 개인정보 관리가 도마 위에 올랐다. 정부가 2020년 이른바 ‘데이터3법’을 마련해 기업이 개인정보를 폭넓게 이용할 수 있는 길을 터주고, 생성형 인공지능(AI) 등 데이터를 기반으로 한 새로운 산업이 발전하는 등 정보의 상업적 활용도가 커지는 상황에서 좀 더 면밀한 개인정보 보호 대책이 필요하다는 지적이 나온다.

18일 한겨레가 정보통신 보안 전문가들을 취재한 결과, 카카오페이가 알리페이 쪽에 개인신용정보를 제공하며 한 비식별 조처는 가장 낮은 수준에 해당하는 것으로 파악됐다. 특히 4천만명 이상의 대규모 개인신용정보를 취급하며 기본적인 가명 처리 절차를 지키지 않았다는 점에서 보안 업계 전문가들은 “심각한 사안”이라고 지적한다.

이름을 밝히길 꺼린 국내 한 보안전문기업 대표는 한겨레에 “가명 처리할 때는 반드시 솔트값이나 키값(랜덤값)을 넣어 어떤 경우에도 역방향으로 암호화를 풀 수 없게끔 제공해야 한다”며 “카카오페이가 공개된 암호화 프로그램을 사용하면서도 이런 과정을 거치지 않아, 알리페이 쪽에선 마음만 먹으면 원본 데이터 유추가 가능하다”고 말했다. 개인 계정 아이디나 휴대전화 번호, 이메일과 페이 거래내역 등이 가입자 동의 없이 다른 곳에 통째로 넘어갈 수 있는 허점이 있는 것이다.

앞서 금융감독원은 지난 14일 “카카오페이는 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 암호화 프로그램을 사용했고, 암호화(해시 처리) 함수에 랜덤값을 추가하지 않고 전화번호, 이메일 등의 정보 위주로만 단순하게 설정했다”고 밝혔다. 또한 카카오페이는 지금까지 개인신용정보를 암호화하는 데 필요한 암호화 함수를 한번도 변경하지 않은 것으로 드러났다. 또 다른 업계 관계자는 “국내 주요 핀테크 기업이라고 믿기지 않을 정도로 가명 처리에 대한 정확한 개념 없이 안일하게 비식별 조처를 한 것”이라고 했다.

2022년 금융위원회와 금감원이 펴낸 ‘금융분야 가명·익명 처리 안내서’를 보면, 신용정보회사 등은 원본값을 알아내려는 외부 공격에 대비해 개인신용정보 가명 처리 때 랜덤값을 추가해 암호화 함수를 복잡하게 구성해야 한다고 명시한다. 특히 안내서는 “암호 알고리즘은 컴퓨팅 파워 증가, 기술의 발전 등에 따라 안전성에 변화가 발생할 수 있으므로 가명 생성 시점에 안전하다고 평가받는 암호 알고리즘을 확인해 적용해야 한다”고도 밝히고 있다. 금감원 검사 결과에 비춰보면, 카카오페이는 개인신용정보를 알리페이에 제공할 때 기본적인 가명 처리 가이드라인도 지키지 않은 셈이다.

가명정보 제도는 산업계의 지속적인 요구로 2020년 8월 도입됐다. 개인정보를 그대로 활용할 수 없으니, 안전하게 가명 처리를 한 가명정보를 활용해 데이터 산업을 육성한다는 취지였다. 하지만 기업의 부실한 가명 처리로 인한 개인정보 유출은 반복해서 확인되고 있다. 지난 5월 개인정보보호위원회는 카카오의 오픈채팅방 이용자 696명의 정보가 유출된 것을 두고 151억원의 과징금을 부과했다. 카카오가 이용자 개인정보를 매우 취약한 방식으로 가명 처리한 점을 문제 삼았다.

김순석 한라대 인공지능정보보안학과 교수는 “흔히 기업들이 가명정보는 개인정보가 아니라고 여기면서 가명 처리를 소홀히 하는 경우가 많다”며 “가명정보는 외부 정보와 결합하면 재식별이 가능한 개인정보라는 점을 인식하고 반드시 ‘안전하게 활용해야 한다’는 윤리의식을 가질 필요가 있다”고 했다.

생성형 인공지능, 자율주행 등 데이터를 필요로 하는 산업이 확대되면서 기업에 확실한 책임을 부과하는 방안이 필요하다는 지적도 있다. 정보 보호를 위한 안전조처가 수반되지 않으면 서비스에 대한 불신으로 이어져 결국 전체 산업 경쟁력 하락으로 이어질 수 있기 때문이다. 최경진 가천대 법학과 교수(개인정보전문가협회장)는 “정보를 안전하게 보호해야 혁신을 통해 끌어들인 이용자를 유지할 수 있고, 곧 수익을 창출할 수 있다는 것을 정보기술(IT) 기업들이 인식해야 한다”며 “외부 전문가가 참여한 정보보호 준수 체계를 기업들이 제대로 갖춰야 할 필요가 있다”고 했다.

박지영 기자 jyp@hani.co.kr

Copyright © 한겨레신문사 All Rights Reserved. 무단 전재, 재배포, AI 학습 및 활용 금지

이 기사에 대해 어떻게 생각하시나요?