카카오페이 개인정보 유출 관련 논란이 '암호화 수준'에 대한 공방으로 확산하고 있다. 암호화 수준에 대한 상대적 개념이 논쟁거리로 떠오르며 관련 기준과 가이드라인을 마련해야한다는 목소리도 나온다.
20일 업계에 따르면 금융감독원은 카카오페이 개인정보 해외유출 사태에 네이버페이와 토스페이 등 간편결제사들의 개인정보 암호화 실태를 점검 중이다. 간편결제 업계 전반 보안 상황을 점검하고 암호화 수준을 살펴본다는 취지다.
카카오페이 정보 유출 사태 쟁점 중 하나는 '복호화' 즉, 암호화된 내용을 쉽게 복구할 수 있는지다. 금감원은 “카카오페이는 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 암호화 프로그램을 사용했고, 암호화(해시 처리) 함수에 랜덤값을 추가하지 않고 전화번호, 이메일 등의 정보 위주로만 단순하게 설정했다”고 지적했다. 특히 '일반인도 암호 해제가 가능한 수준'이라고 설명하며 논란의 불씨가 커졌다. 카카오페이는 'SHA256'이라는 해시함수를 사용해 사용자 정보를 암호화한 것으로 알려졌다.
보안전문가들은 카카오페이가 사용한 'SHA256'이 결코 일반인이 해제할 수 있는 암호화 수준은 아니라고 말한다. SHA 256 자체가 단방향 알고리즘으로, 애초에 복호화가 원칙적으로 불가능하다는 설명이다. 예를 들어, 입력값에 SHA256 해시를 걸어 결과값을 도출했을 때 결과값으로 원 입력값은 찾을 수 없는 알고리즘인 것이다.
한 보안업계 관계자는 “단방향 알고리즘 특성상 복호화가 불가능한 것이 원칙이라 SHA256을 결코 일반인이 해제할 수 있는 낮은 수준의 암호화 프로세스로 볼 수는 없다”면서 “다만, 컴퓨팅 기술이 빠르게 발달하고 있고, 해당 해시에 랜덤값(솔트)을 추가해 암호화 수준을 보다 강화하는 등 방식이 가능하기 때문에 이를 두고 상대적 수준을 평가할 수도 있다”고 설명했다.
카카오페이뿐 아니라 간편결제사들은 각 사별 암호화 방식을 적용해 개인정보를 관리하고 있다. 네이버페이는 “데이터 마스킹 방식 암호화를 통해 철저하게 원데이터를 암호화하고 있으며 높은 수준의 보안 수준을 갖췄다”고 설명했다. 토스 역시 보안 방식을 구체적으로 밝힐 수는 없으나 원본 데이터 유추가 어려운 복잡한 암호화 방식을 채택하고 있다고 밝혔다. NHN페이코 역시 마스킹 처리를 통해 관련 정보를 암호화해 안전성을 확보했다는 설명이다. 다만 암호화 수준에 대해서는 명확한 기준이 없어 보안성에 대한 평가는 상대적일 수 밖에 없다.
다만 현재 암호화 수준에 대한 명확한 조건이나 규정은 없어 관련 가이드라인이 필요하다는 목소리도 나온다. 업계 관계자는 “현재 관련 법령이나 가이드라인에서 암호화관련 '안전한 처리' 정도로 명시되어 있지 따라야하는 구체적 암호화 조건이나 기준은 없다”라며 “관련된 기준이나 방식을 구체화해 안전성과 보안성 지침을 마련하는 것도 방안”이라고 말했다.
정다은 기자 dandan@etnews.com
