카카오페이 정보 유출, 허술한 보안에 파장 일파만파 “소비자 불신 증폭 우려”

160X600_GIAI_AIDSNote
카카오페이, 고객 동의 없이 알리페이에 정보 제공
금융감독원 현장검사서 적발, 검사의견서 전달
개인정보 무단 유출 후폭풍, 네이버·토스페이도 불똥
KaKaoPAY_001_FE_20240830

금융감독원이 카카오페이의 고객정보 유출에 대한 본격적인 제재 절차에 돌입한 가운데, 법 위반 여부를 두고 카카오페이 내 준법 감시 시스템이 제대로 작동하지 않았다는 의혹이 제기됐다. 카카오페이 측이 금융당국과 엇갈린 판단을 해왔다는 점에서 사전 파악이 안 된 것 아니냐는 지적이 나오면서다. 티몬·위메프 사태에 이어 카카오페이 논란까지 불거지며 결제 시스템에 대한 불신이 높아지는 가운데, 업계에선 간편결제를 통한 수요 축소를 우려하는 목소리가 커지고 있다.

카카오페이 ‘개인정보유출’, 법 위반 여부 오판에서 비롯

30일 금융권에 따르면 금융감독원은 지난주 카카오페이에 검사의견서를 전달하고 본격적인 제재 절차에 착수했다. 검사의견서는 검사 과정에서 문제가 있었다고 본 것에 대해 공식적인 답변을 요구하는 절차로, 카카오페이가 검사의견서에 따른 답변서를 제출하면 금감원은 이를 바탕으로 제재심의위원회를 열고 제재 여부 및 수위를 확정하게 된다.

앞서 금감원은 지난 5월부터 7월까지 카카오페이에 대한 현장검사를 진행한 결과 동의 없이 고객 신용정보를 알리페이에 제공한 사실을 확인했다. 카카오페이가 NSF(Non-Sufficient-Funds, 애플에서 일괄 결제시스템 운영 시 필요한 고객별 신용점수) 스코어 산출 대상이 아닌 모든 고객의 신용정보를 제공했다는 설명이다. 제공된 신용정보는 2018년 4월부터 8월 중순까지 매일 1회씩, 총 542억 건(누적 4,045만 명)에 이른다.

이에 업계 일각에서는 카카오페이 내부적으로 위반 여부를 제대로 판단하지 못한 것이 사태를 키웠다는 분석이 나온다. 사실상 컴플라이언스(준법 감시 경영) 기능이 제 역할을 하지 못했다는 것이다. 컴플라이언스는 일반적으로 신규 및 추진 서비스에 대한 법률을 검토하고 규제 동향을 파악해 위법을 방지하는 것이 주 역할로 꼽힌다.

현재 카카오페이의 컴플라이언스 부문은 진형구 부사장이 맡고 있다. 진 부사장은 사법연수원을 거친 후 금융위원회에서 근무한 이력을 갖고 있다. 2013년부터 2017년까지 금융위에 있으면서 사무관으로 금융정보분석원, 신용정보팀 등을 거쳤다. 이후 국민은행으로 옮겨 글로벌 자금세탁방지(AML) 관련 팀장을 맡다가 2020년 7월부터 카카오페이에서 컴플라이언스를 총괄하고 있다. 그런데 카카오페이가 발간한 ‘2023년 ESG보고서’를 보면 카카오페이는 정보침해 건수 및 개인식별정보 침해 비율(%)과 정보 침해로 인해 영향을 받은 사용자수를 모두 ‘0’으로 집계했다. 금융위 출신의 컴플라이언스 최고책임자가 금융당국과 엇갈린 해석을 내놓은 것이다.

KaKaoPAY_002_FE_20240830
사진=카카오페이

금감원 “카카오페이 데이터 암호화, 일반인도 풀 수 있는 수준”

금융당국뿐 아니라 개인정보보호위원회와 정치권까지 주목하고 있는 ‘카카오페이 개인정보 유출’ 사건은 카카오페이·알리페이·애플의 ‘3자 계약 형태’가 발단이 됐다. 해외결제처 확대를 위한 파트너로 알리페이를 점찍고 전 세계 결제망을 구축해 가던 카카오페이는 애플의 앱스토어 내에서 결제 기능을 지원하기 위해 이미 애플과 계약을 체결한 알리페이와 또 한 번 손을 잡았다. 당시 애플은 카카오페이가 애플 앱 스토어 내에서 결제 기능을 제공하는 대신 NSF를 산출할 수 있는 정보를 요청했고 카카오페이는 해당 정보를 알리페이를 통해 애플페이에 넘겨주기로 했다.

쟁점은 카카오페이가 알리페이에 ‘어떤’ 데이터를 넘겼느냐다. 이는 고객 동의 여부에 이은 또 다른 쟁점으로, 금감원은 카카오페이가 필요 이상의 데이터를 제공했다고 보고 있다. 애플이 데이터를 요구한 이유가 NSF스코어 산출이었던 만큼, 산출 대상 고객의 신용정보만 제공해야 함에도 전체 고객의 신용정보를 넘겼다는 것이다.

금감원은 또 국내 고객이 해외가맹점에서 카카오페이로 결제했을 시 알리페이에 대금 정산을 위한 데이터를 제공할 때도 주문 및 결제정보만이 아닌, 민감한 개인정보까지 모두 넘겼다고 지적했다. 금감원 관계자에 따르면 카카오페이는 △고객식별정보(계정 ID, 핸드폰 번호, 이메일) △가입고객정보(가입일, 휴면계정 여부 등) △페이머니 거래내역(잔고, 충전·출금 횟수, 결제 여부 등) △카드등록 여부 등을 넘긴 것으로 파악됐다.

더 큰 문제는 애플과 알리페이에 넘어간 모든 데이터가 개개인을 특정할 수 있을 만큼 암호화 작업이 허술했다는 점이다. “철저하게 암호화됐기 때문에 문제가 없다”던 카카오페이 측 설명과 배치되는 부분이다. 금감원에 따르면 카카오페이는 공개된 암호화 프로그램 중 ‘SHA-256’을 사용했는데, 이는 가장 보안성이 낮은 것으로 알려졌다.

물론 해당 알고리즘은 개인정보위와 한국인터넷진흥원이 권고한 프로그램인 만큼 사용 자체는 문제가 되지 않으나, 금감원이 문제 삼은 것은 솔트(랜덤값) 적용 여부다. 솔트란 동일한 입력에 다른 해시 값을 생성하는 랜덤 데이터를 의미하는 말로, 솔트를 사용하면 해시 함수가 같아도 다른 해시 값을 만들어 보안성을 높일 수 있다. 그러나 카카오페이는 SHA-256에 솔트를 적용하지 않고 해당 정보 위주로만 단순하게 설정한 것으로 파악됐다. 이에 대해 금감원 관계자는 “카카오페이가 해시처리 함수를 지금까지 한 번도 변경한 사례가 없어 일반인도 복호화가 가능한 수준으로 원본 데이터 유추가 가능하다”고 꼬집었다.

카카오페이 논란에 ‘네이버페이·토스’도 현장검사

한편 카카오페이의 정보 유출 파장은 다른 핀테크 업체까지 닿는 분위기다. 간편결제 시스템의 허술한 보안에 대한 우려가 커지자 당국이 칼을 빼든 것이다. 현재 금감원은 네이버페이와 토스페이를 대상으로 현장검사를 진행 중이다. 지난 23일까지 서면검사를 진행한 금감원은 서면검사 정보만으로는 한계가 있다고 판단, 보다 정밀한 검사를 위해 26일 현장검사로 전환한 상태로, 필요시 다른 결제 대행 업체로도 점검 범위를 확대한다는 계획이다.

업계에 따르면 네이버페이와 토스페이도 알리페이와 제휴를 맺고 해외결제 서비스를 제공 중으로, 두 회사 역시 해외 결제 편의를 위해 알리페이에 고객 정보를 전달하고 있는 것으로 알려졌다. 다만 카카오페이와 달리 순수하게 결제를 위한 정보만을 넘겨준다는 게 이들 회사의 설명이다. 특히 양사는 카카오페이 사태에서 논란이 된 핸드폰 번호, 계정 ID 등 신용정보는 일체 수집하지 않는다고 강조했다.

또한 카카오페이는 애플 제휴를 위해 해당 정보를 알리페이에 전달했지만, 양사는 앱스토어에 입점하지 않은 상태다. 네이버페이와 토스페이가 알리페이에 제공하는 정보는 모두 ‘국내 결제’ 시 필요한 정보와 비슷한 수준이라는 설명이다. 네이버파이낸셜 관계자는 “네이버페이는 앱스토어 결제수단이 아니므로 애플 측에서 요구했다는 NSF 스코어와 같은 신용정보에 대한 요청도, 수집도 하지 않는다”며 “해외결제라고 해서 더 많은 정보를 요구하는 것이 아니며 제공받은 정보도 마스킹, 암호화를 통해 철저히 보안을 유지하고 있다”고 말했다.

이런 가운데 업계에서는 핀테크 기업의 몸집이 거대해지고 금융 환경이 급변하고 있는 상황에서 플랫폼 산업에 대한 명확한 기준을 제시할 만한 관련 법이 없어 혼란이 가중되고 있다는 분석이 나온다. 내달 시행되는 전자금융거래법 개정안이나 신용정보법 등 혼재된 법들은 핀테크 기업에만 초점이 맞춰진 것이 아닌 만큼 플랫폼 기업의 영업 행태 등을 명확하고 세밀하게 규정할 만한 새로운 법안 마련이 필요하다는 것이다. 금융권 한 관계자는 “은행이나 보험사와 같은 금융회사들은 은행법, 보험법 등의 적용을 받아 산업에 대한 기준이 뚜렷한 반면, 핀테크 기업은 여러 법을 적용받으면서 법을 두고 다양한 해석이 가능하기 때문에 제도적 규제가 미비한 상황”이라고 지적했다.