금감원 조사 결과 카카오페이는 고객 동의 없이 중국 최대 온라인 플랫폼 '알리익스프레스'를 소유한 알리바바 그룹의 결제 부문 계열사 '알리페이'에 개인신용정보를 넘긴 것이 드러났다. 카카오페이는 관련 정보제공이 사용자의 동의가 필요 없는 업무 위수탁 관계에 따른 신용정보의 처리위탁에 해당하며, 철저한 암호화를 통해 전달돼 원본 데이터를 유추해 낼 수 없다고 주장했다.
이에 금감원은 5페이지에 달하는 보도 참고 자료를 내고 업무 위수탁 범위에 해당하지 않고, 카카오페이가 일반인도 공개된 암호화 프로그램으로 복호화가 가능한 수준이라 카카오페이의 주장은 사실과 다르다고 조목조목 지적했다.
전문가들은 카카오페이의 데이터 암호화는 일반인이 복구할 수 있는 수준은 아니라고 설명한다. 카카오페이는 'SHA256'이라는 해시함수를 사용해 사용자 정보를 암호화한 것으로 알려졌는데, 이 해시함수는 단방향 알고리즘이라 애초에 복호화가 불가하다는 것이다.
보안 전문가들은 카카오페이가 사용한 'SHA256'이 결코 일반인이 해제할 수 있는 암호화 수준은 아니라고 말한다. SHA 256 자체가 단방향 알고리즘으로, 애초에 복호화가 원칙적으로 불가능하다는 설명이다. 예를 들어, 입력값에 SHA256 해시를 걸어 결괏값을 도출했을 때 결괏값으로 원 입력값은 찾을 수 없는 알고리즘인 것이다. 이 때문에 정보 유출에 대한 실질적인 리스크는 크지 않다는 의견이다.
다만 카카오페이가 관리에 미흡했다는 점은 부인할 수 없다. 또 금감원 조사 결과 카카오페이가 알리페이와 체결한 약정서에서는 해외 결제서비스 제공과 관련한 양사의 역할·책임에 대해 정하고 있으며 'NSF스코어 산출·제공'에 관한 내용은 전혀 기술돼 있지 않아 업무 위수탁에 해당하지 않는다는 점이 드러난 것도 사실이다.
국내 핀테크 산업의 역량은 아직 걸음마 수준이다. 카카오페이의 신뢰도 하락은 업권 전체의 신뢰도 하락으로 이어질 수 있다.
금융에서 가장 중요한 것은 소비자 신뢰다. 소비자들의 개인정보를 제대로 지키지 못하는 회사를 믿고 거래하는 고객이 얼마나 될까. 한 번 무너진 신뢰를 회복하기 위해서는 부단한 노력과 긴 시간이 필요하다. '비 온 뒤 땅이 굳는다'라는 말이 있다. 카카오페이를 둘러싼 논란과 문제를 속히 해결하고, 젖은 땅을 굳힐 수 있기를 바란다.
관련태그
뉴스웨이 김민지 기자
kmj@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글