카카오페이의 허술한 개인정보 보호 조치가 논란이 되고 있다. 앞서 카카오톡 오픈채팅 개인정보 유출 사고를 비롯해 카카오의 개인정보 보호 조치가 느슨한 것 아니냐는 지적도 나온다.
22일 개인정보보호위원회(개인정보위)는 카카오페이의 고객정보 중국 불법 유출 의혹과 관련해 제출된 자료를 면밀히 검토하고 있다. 개인정보위는 자료를 검토한 후 조사 착수 여부를 결정할 계획이다.
금융감독원(금감원)은 지난 13일 카카오페이가 고객 동의 없이 신용정보를 알리페이에 제공한 사실을 확인했다고 발표했다. 해외결제를 이용하지 않은 고객까지 포함한 ‘카카오페이에 가입한 전체 고객의 개인신용정보’를 중국 알리페이에 전달했다는 것이다. 지난 2018년 4월부터 매일 1회씩 카카오계정 ID와 핸드폰번호, 이메일, 카카오페이 거래내역 등이 알리페이에 제공됐다.
개인정보보호법에서는 기업·기관 등이 국내 이용자의 개인정보를 국외로 이전할 경우 의무조치를 다하도록 명시하고 있다. △정보주체의 명확한 동의 △판매자와의 계약 내용 등 안전성 확보 조치 △개인정보 침해에 대한 고충 처리 및 분쟁 해결에 관한 조치 등을 행해야 한다. 이를 지키지 않을 경우 과징금 등의 처벌이 가해진다. 중국 이커머스 플랫폼 알리익스프레스는 지난달 개인정보가 어느 국가로 이전되는지 국내 이용자에게 알리지 않아 19억7800만원의 과징금을 부과받았다.
고객의 동의 없는 정보 제공도 문제지만 허술한 암호화도 도마 위에 올랐다. 카카오페이에 따르면 카카오계정 ID와 핸드폰번호, 이메일 등은 암호화처리 돼 제공됐다. 금감원의 입장은 달랐다. 카카오페이는 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 암호화 프로그램을 사용했다. 또한 암호화 함수에 랜덤값을 추가하지 않고 해당정보(전화번호, 이메일) 위주로만 단순하게 설정했다. 금감원은 “일반인도 암호를 쉽게 풀어낼 수 있는 수준이기에 원본 데이터 유추가 가능하다. 암호화 함수도 여태까지 단 한 번도 변경되지 않았다”고 꼬집었다. 이 경우, 2차 유출의 가능성도 배제하기 어렵다.
업계와 전문가는 “일반인이 쉽게 풀어낼 수 있도록 암호화하지 않는다”고 설명했다. 익명을 요구한 업계 관계자는 “금감원에서 지적한 일반적으로 통용되는 암호화 프로그램을 사용하고 있지 않다”면서 “랜덤값 등의 복잡한 설정을 거쳐 암호화한다”고 이야기했다.
카카오페이 관계자는 “향후 조사 과정에서 성실히 소명할 예정”이라고 답변했다.
개인정보위 조사 결과에 따르면 해커는 오픈채팅방의 취약점을 이용해 이용자 정보를 알아냈다. 이후 카카오톡 친구추가 기능을 이용해 일반채팅 이용자 정보를 확보, 이들 정보를 ‘회원일련번호’ 기준으로 결합해 개인정보 파일을 생성해 판매했다.
개인정보위는 카카오가 안전조치의무 위반해 이같은 유출사고가 발생했다고 봤다. 일반채팅과 오픈채팅을 이용하는 이용자를 동일한 회원일련번호로 식별할 수 있게 했고, 오픈채팅방 참여자의 임시 ID를 암호화하지 않았기 때문이다. 지난 2020년 8월 이후 암호화했으나 오픈채팅 게시판의 취약점을 이용, 암호화된 임시 ID도 쉽게 회원일련번호를 확인할 수 있었다.
카카오는 해커가 이용한 임시 ID와 회원일련번호는 개인식별이 불가능하기에 개인정보가 아니라고 반박했다. 다만 개인정보위는 개인정보보호법에 따라 다른 정보와 결합해 개인정보를 알 수 있다면 해당 정보 또한 개인정보라는 입장이다. 최장혁 개인정보위 부위원장은 자동차 차대번호를 개인정보라고 인정한 판결을 예시로 들며 “차대번호 자체로는 개인식별이 불가능하지만 누구나 볼 수 있는 자동차등록원부와 조합하면 개인식별이 가능하기에 개인정보로 인정됐다”고 설명했다.
해당 사안은 향후 법정에서 다투게 될 것으로 보인다. 카카오 관계자는 “개인정보위에 적극적으로 소명했으나 이같은 결과가 나오게 되어 매우 아쉽다”며 “이번 결정에 대해 행정소송을 포함한 다양한 조치, 대응을 적극적으로 검토할 예정”이라고 이야기했다.
전문가는 카카오가 개인정보를 보다 주의 깊게 살폈어야 한다고 강조했다. 최경진 가천대학교 법학과 교수는 “카카오페이나 카카오 사건 모두 개인정보로 다뤄야 할 사안을 개인정보가 아니라고 판단, 의무를 다하지 않아 발생한 것으로 보인다”며 “카카오페이의 경우, 중국에 보내는 정보를 개인정보라고 판단했다면 동의를 받는 등 제3자 제공에 따른 합법적 근거를 마련했어야 한다. 암호화했더라도 이를 먼저 살폈어야 한다”고 밝혔다.
