카카오페이의 알리페이 데이터 제공에 대한 금융감독원 지적사항 중 하나인 '개개인 식별 가능 여부'를 두고 말들이 많다.
금감원은 카카오페이가 데이터를 넘기는 과정에서 너무 쉬운 '암호'로 보안절차를 거쳐 누구나 이를 해제할 수 있다고 봤지만 일각에선 이는 지나친 기우라는 지적도 나온다. 최근 데이터 보안 기술이 말처럼 쉽게 해제할 수 없다는 것이다.
알리페이에 넘긴 데이터, 식별가능?금감원은 카카오페이가 알리페이에 제공한 데이터들을 결합하면 개개인을 특정할 수 있다고 지적했다. 카카오페이가 여러가지 데이터를 암호화해 넘겼는데 이를 조합해 해제할 수 있다는 의미다.
구체적으로 금감원은 카카오페이가 가장 일반적인 암호화 프로그램을 사용한 데다가 암호화 과정에서 '랜덤값' 도입을 통해 보안을 강화하지 않는 등 단순하게 데이터를 암호화 했다고 봤다. 금감원이 "일반인도 암호를 해제할 수 있는 수준"이라고 지적했을 정도다.
여기에 더해 추가적으로 넘긴 개인신용정보는 애플이 신용정보데이터를 산출하기 위해 요구한 것인데, 신용정보데이터는 개개인을 식별해야만 의미있는 정보를 획득할 수 있는 만큼 개인의 신용정보를 식별할 수 있다는 얘기다.
금감원의 설명을 이해하려면 최근 금융회사들이 다루는 데이터에 대한 이해가 필요하다. 현재 오고가는 데이터의 범주는 크게 3가지로 분류할 수 있다.
한 눈에 개개인을 특정할 수 있는 '개인정보', 특정한 작업을 거치지 않으면 개개인을 식별할 수 없는 '가명정보', 특정 작업을 거쳐도 개개인을 특정하기 어려운 '익명정보'다. 지난 2020년 데이터 3법 논의 이전에는 개인정보와 익명정보만 활용됐지만, 데이터 산업의 중요성이 커지면서 가명정보라는 영역이 새로 생겼다.
현재 금융회사, 특히 마이데이터 사업자를 중심으로 활용하는 데이터는 가명정보다. 가명정보는 상업적 목적으로 활용할 수 없지만 민간 기업이 연구나 통계 목적에는 활용할 수 있도록 돼 있다. 해당 데이터를 직접 사용해 수익을 내서는 안되지만 이를 바탕으로 통계 근거를 확보하면 신용평가 등 새로운 서비스에는 활용할 수 있다는 얘기다.
다시 말해 금융회사는 가명정보를 활용함에 있어 어떠한 수단을 활용하더라도 개인을 식별할 수 없는 조치를 취해야 하는 것인데, 금감원은 카카오페이가 이를 제대로 지키지 않았다고 본 것이다.
개개인을 식별할 수 있게 된다면 상황이 더욱 심각해진다. 카카오페이가 넘긴 자료에 휴대전화 번호, 이메일, 간편결제 잔고, 등록카드 정보 등이 포함돼 있기 때문에 해킹 등의 범죄로 이어질 경우 대규모 정보 유출에 준하는 사고가 발생할 수 있어서다.
암호화, 쉽게 풀기 어려운데……
카카오페이가 넘겨준 정보를 바탕으로 개개인을 식별할 수 있다는 것은 금감원의 '기우'라는 시각도 있다. 가명정보를 암호화 해서 넘겼다면 쉽게 이를 해독하기는 어렵다는 얘기다.
한 보안회사 개발 담당자는 "사실 암호화 된 가명정보를 받은 쪽이 원한다고 복호화 하는 것이 쉬운 일은 아니다"라며 "가장 일반적인 암호화 프로그램인 SHA-256을 사용해 일반인이 복호화 할 수 있다는 말은 어불성설"이라고 말했다.
만약 복호화에 나서는 곳이 있다고 하더라도 여기에는 천문학적인 비용과 시간이 소요될 것이라는게 이 관계자의 설명이다.
이어 "오히려 가장 일반적으로 사용된다는 것은 그만큼 많이 사용된다는 것이어서 시장에서 안정성 등이 검증됐다는 것"이라며 "그렇다면 데이터를 다루는 모든 기업이 데이터 처리를 위한 암호화 및 복호화 모듈을 새로 구성하라는 것과 다를 바가 없다"고 주장했다.
또 다른 업체 개발 담당자는 "금감원은 카카오페이가 넘긴 데이터가 암호화가 안된 것이 아니라 여러번 거치지 않았다는 점을 문제로 꼽은것으로 보인다"라며 "현재의 암호화 툴은 한 차례의 과정만 거치더라도 복호화가 쉽지 않은 것은 맞기 때문에 지나치게 공포를 조성하려고 하는 측면도 있다"고 말했다.
이어 "데이터를 제공받은 알리에서 데이터의 적합성 검증에 나설 수 있겠지만 이는 데이터의 값이 옳고 그름만 걸러내면 되는 부분이고 그 데이터의 상세한 정보를 아는 것은 사실상 힘들다"라고 말했다.