"비밀번호보다 안전”… 카카오페이 암호화 논란에 전문가 반박 작성일 04-15 124 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">카카오페이, 일방향 암호화(SHA-256)<br>금감원 "복호화 가능" 주장에 반론 확산<br>정보 이전 성격도 법정 공방 예고</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="FTISsrCnsP"> <p contents-hash="251f12af6318066cbbc1ff929678e27d69e830cd48c5e1a94255913744338e7f" dmcf-pid="3yCvOmhLE6" dmcf-ptype="general"> [이데일리 김아름 기자] 카카오페이가 알리페이에 이전한 정보의 암호화 수준을 두고 논란이 이어지는 가운데, 해당 암호화 방식이 일반 비밀번호 보호보다 더 안전하다는 전문가 의견이 제기됐다.</p> <figure class="figure_frm origin_fig" contents-hash="3ca54f78f2f9f8eb9a104788ae958b2d4b9ad299257fc0c123dfd27e55c975af" dmcf-pid="0WhTIsloE8" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202504/15/Edaily/20250415162843240twsv.jpg" data-org-width="449" dmcf-mid="tIenMQdzmQ" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202504/15/Edaily/20250415162843240twsv.jpg" width="658"></p> </figure> <div contents-hash="99d510055286536cc7ac00bbf70cc2b127064386680d8b75a6ceb2da8c7d20ef" dmcf-pid="pYlyCOSgw4" dmcf-ptype="general"> 15일 업계에 따르면, 논란의 중심은 카카오페이가 사용한 암호화 방식 ‘SHA-256’이다. 이 방식은 미국 국립표준기술연구소(NIST)에서 개발해 국제 표준으로 채택된 암호화 해시 함수로, 현재도 공공기관과 민간 기업에서 널리 사용되고 있다. </div> <p contents-hash="3eadc2c9b739f6aa6f5177a2468c3b57afb727b57d5361170495b6ae8d86147f" dmcf-pid="UGSWhIvaIf" dmcf-ptype="general">김승주 고려대학교 정보보호대학원 교수는 “SHA-256은 일방향 암호화 방식으로, 복호화 자체가 불가능한 구조”라며 “이를 ‘뚫을 수 있다’는 주장은 잘못된 이야기다. 미국 표준으로 지금도 전 세계적으로 쓰이는 안전한 방식”이라고 설명했다. 그는 “우리가 일상적으로 사용하는 비밀번호도 모두 일방향 암호화 방식으로 보호되고 있다”며 “SHA-256은 이러한 비밀번호 보호 방식과 동등하거나 더 높은 수준의 보안성을 갖춘 기술”이라고 강조했다.</p> <p contents-hash="10f8864dbbf899fe330193fbfc10fae5dcb98eeb8d176e59ef3707968529f238" dmcf-pid="u97bU0zTOV" dmcf-ptype="general">이는 금융감독원이 제기한 “일반인도 복호화할 수 있다”는 주장과는 상반된 입장이다. 앞서 금융감독원은 지난해 8월 보도참고자료를 통해 카카오페이가 알리페이에 이전한 정보의 암호화 수준이 일반인도 복호화할 수 있을 만큼 취약하다고 지적한 바 있다. 특히 전화번호, 이메일 등 민감한 정보에 솔트(Salt, 무작위 값)를 적용하지 않았다는 점을 문제 삼았다.</p> <p contents-hash="873bd620e256076b6b618eb68f6d4bee2e1788a239059b995914b8b5666453a9" dmcf-pid="72zKupqys2" dmcf-ptype="general">김 교수는 “금감원 논리대로라면, 현재 사용 중인 대부분의 비밀번호 보호 체계 역시 불완전하다는 결론에 도달하게 된다”고 지적했다. </p> <p contents-hash="326bfe06c19d369b7ef1dae01fb857bb93acf221ddb76ecbeddd04462792d271" dmcf-pid="zVq97UBWm9" dmcf-ptype="general">같은 맥락에서 개인정보보호위원회 역시 카카오페이가 제공한 정보가 암호화됐다고 명시하며 별다른 문제를 제기하지 않았다.</p> <p contents-hash="fa477c041b257dbfefcba845738e45dc9a8eb84dc1bf8a4c27e1412e5738f8dc" dmcf-pid="qfB2zubYwK" dmcf-ptype="general">아울러 이데일리가 입수한 개인정보보호위원회 전체회의 속기록에서도 금감원 주장에 대한 반박이 제시됐다. 카카오페이는 고객번호, 휴대전화번호, 이메일 주소 등 개인정보를 일방향 해시 방식으로 처리해 복호화가 불가능한 형태로 전송했으며, 식별 가능성이 높은 정보에는 솔트 기법을 추가 적용해 재식별을 원천 차단했다고 밝혔다. 이 때문에 알리페이 측에서도 원본 데이터를 확인할 수 없는 구조라고 했다.</p> <p contents-hash="ee2bc836d06f2f70ac7aa7c08d3afba4b7307ca7548fcebe4bf3a565b38d8026" dmcf-pid="B4bVq7KGDb" dmcf-ptype="general">알리페이에 이전된 개인정보의 보안 수준이 상당한 것으로 평가되는 가운데, 이번 사안이 ‘제3자 제공’인지 ‘처리 위탁’인지 여부는 향후 법정에서 판가름날 전망이다. 카카오페이는 개인정보보호위원회를 상대로 행정소송을 제기한 상태다.</p> <p contents-hash="039a4176426ae463661f51101452af248bb76cb4344cc9511079a876ab2907c2" dmcf-pid="b8KfBz9HEB" dmcf-ptype="general">개인정보보호위원회는 이를 이용자 동의 없이 제3자에게 정보를 제공한 행위, 즉 개인정보보호법 위반으로 보고 있다. 카카오페이가 애플에 개인정보를 제공하고 애플이 알리페이에 해당 정보를 넘겼다는 점에서 카카오페이에 법적 책임이 있다고 판단한 것이다.</p> <p contents-hash="94a9503cce1c3085b7e9a73231f194d21cf740647d0d5d54c5162dd4299e2d27" dmcf-pid="K694bq2Xwq" dmcf-ptype="general">반면 카카오페이는 해당 정보 이전이 처리 위탁에 해당한다는 입장이다. 애플 서비스의 부정 거래를 방지하기 위해 알리페이 시스템을 기술적으로 활용한 것이며, 이는 정보처리 위탁에 해당하는 절차라는 설명이다. </p> <p contents-hash="ed125d2cd02d35be023f40cdcc828deda9068c1400b64e7df3c6c584c76071ad" dmcf-pid="9P28KBVZsz" dmcf-ptype="general">특히 카카오페이는 “만약 제3자 제공이었다면, 정보의 활용 가능성을 떨어뜨리는 일방향 암호화 방식을 적용할 이유가 없었을 것”이라며 암호화 설계 자체가 위탁 목적의 제한된 처리였음을 입증한다고 주장하고 있다.</p> <p contents-hash="1ed5f527b9099a1841bfe670a46861dacccfeb90909ad62890bb2136f8d819e0" dmcf-pid="22zKupqyD7" dmcf-ptype="general">인터넷 업계는 이번 사건이 암호화된 비식별 정보의 국외 이전마저 제약받는 선례로 이어질까 우려했다. 한 업계 관계자는 “개인이 식별되지 않도록 철저히 암호화한 정보에 과징금이 부과된다면, 향후 기업들이 데이터를 활용하는 데 큰 제약을 느낄 수 있다”고 말했다.</p> <p contents-hash="eb90a9b9ffad58cccde9a4e4c4c8cf83dabee7795dea4baeb275a9a3fee9573f" dmcf-pid="VVq97UBWEu" dmcf-ptype="general">김아름 (autumn@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 보안 기업 50여곳 "자율 보안 강화"···KISIA 산하 협의체 발족 04-15 다음 발작성 기침이 계속… 韓日 백일해 주의보 04-15 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.