카카오페이, 일방향 암호화(SHA-256)
금감원 "복호화 가능" 주장에 반론 확산
정보 이전 성격도 법정 공방 예고

[이데일리 김아름 기자] 카카오페이가 알리페이에 이전한 정보의 암호화 수준을 두고 논란이 이어지는 가운데, 해당 암호화 방식이 일반 비밀번호 보호보다 더 안전하다는 전문가 의견이 제기됐다.

15일 업계에 따르면, 논란의 중심은 카카오페이가 사용한 암호화 방식 ‘SHA-256’이다. 이 방식은 미국 국립표준기술연구소(NIST)에서 개발해 국제 표준으로 채택된 암호화 해시 함수로, 현재도 공공기관과 민간 기업에서 널리 사용되고 있다.

김승주 고려대학교 정보보호대학원 교수는 “SHA-256은 일방향 암호화 방식으로, 복호화 자체가 불가능한 구조”라며 “이를 ‘뚫을 수 있다’는 주장은 잘못된 이야기다. 미국 표준으로 지금도 전 세계적으로 쓰이는 안전한 방식”이라고 설명했다. 그는 “우리가 일상적으로 사용하는 비밀번호도 모두 일방향 암호화 방식으로 보호되고 있다”며 “SHA-256은 이러한 비밀번호 보호 방식과 동등하거나 더 높은 수준의 보안성을 갖춘 기술”이라고 강조했다.

이는 금융감독원이 제기한 “일반인도 복호화할 수 있다”는 주장과는 상반된 입장이다. 앞서 금융감독원은 지난해 8월 보도참고자료를 통해 카카오페이가 알리페이에 이전한 정보의 암호화 수준이 일반인도 복호화할 수 있을 만큼 취약하다고 지적한 바 있다. 특히 전화번호, 이메일 등 민감한 정보에 솔트(Salt, 무작위 값)를 적용하지 않았다는 점을 문제 삼았다.

김 교수는 “금감원 논리대로라면, 현재 사용 중인 대부분의 비밀번호 보호 체계 역시 불완전하다는 결론에 도달하게 된다”고 지적했다.

같은 맥락에서 개인정보보호위원회 역시 카카오페이가 제공한 정보가 암호화됐다고 명시하며 별다른 문제를 제기하지 않았다.

아울러 이데일리가 입수한 개인정보보호위원회 전체회의 속기록에서도 금감원 주장에 대한 반박이 제시됐다. 카카오페이는 고객번호, 휴대전화번호, 이메일 주소 등 개인정보를 일방향 해시 방식으로 처리해 복호화가 불가능한 형태로 전송했으며, 식별 가능성이 높은 정보에는 솔트 기법을 추가 적용해 재식별을 원천 차단했다고 밝혔다. 이 때문에 알리페이 측에서도 원본 데이터를 확인할 수 없는 구조라고 했다.

알리페이에 이전된 개인정보의 보안 수준이 상당한 것으로 평가되는 가운데, 이번 사안이 ‘제3자 제공’인지 ‘처리 위탁’인지 여부는 향후 법정에서 판가름날 전망이다. 카카오페이는 개인정보보호위원회를 상대로 행정소송을 제기한 상태다.

개인정보보호위원회는 이를 이용자 동의 없이 제3자에게 정보를 제공한 행위, 즉 개인정보보호법 위반으로 보고 있다. 카카오페이가 애플에 개인정보를 제공하고 애플이 알리페이에 해당 정보를 넘겼다는 점에서 카카오페이에 법적 책임이 있다고 판단한 것이다.

반면 카카오페이는 해당 정보 이전이 처리 위탁에 해당한다는 입장이다. 애플 서비스의 부정 거래를 방지하기 위해 알리페이 시스템을 기술적으로 활용한 것이며, 이는 정보처리 위탁에 해당하는 절차라는 설명이다.

특히 카카오페이는 “만약 제3자 제공이었다면, 정보의 활용 가능성을 떨어뜨리는 일방향 암호화 방식을 적용할 이유가 없었을 것”이라며 암호화 설계 자체가 위탁 목적의 제한된 처리였음을 입증한다고 주장하고 있다.

인터넷 업계는 이번 사건이 암호화된 비식별 정보의 국외 이전마저 제약받는 선례로 이어질까 우려했다. 한 업계 관계자는 “개인이 식별되지 않도록 철저히 암호화한 정보에 과징금이 부과된다면, 향후 기업들이 데이터를 활용하는 데 큰 제약을 느낄 수 있다”고 말했다.

김아름 (autumn@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.