카카오페이가 알리페이에 고객 개인정보를 넘겼다는 사실이 알려지며 파문이 일고 있다.

개인정보 일방향 암호화로 알리페이에서 개인정보 해석이 불가하다는 카카오페이 주장과 달리 금융감독원과 IT업계는 보안 수준이 낮다고 입을 모았다.

16일 금융권에 따르면 카카오페이는 고객 동의 없이 알리페이에 개인정보를 제공한 혐의를 받고 있다.

카카오페이는 2018년 4월부터 매일 1회 고객 카카오계정 아이디, 휴대전화번호, 이메일 주소, 가입 내역, 거래내역 등을 알리페이에 전달한 것으로 알려졌다. 개인정보가 알리페이로 넘어간 누적 고객 수는 4045만 명이다.

카카오페이는 개인정보 전달이 "애플 앱스토어 결제 수단 제공을 위한 정상적 고객 정보 위수탁"이라고 밝혔다.

애플이 카카오페이를 앱스토어 결제 수단으로 채택하며 알리페이 시스템 활용을 권고했고 일방향 암호화를 거쳐 알리 측에서는 카카오페이가 제공하는 정보로 사용자를 특정하거나 원문 데이터를 유추해 낼 수 없다는 설명이다.

하지만 금융감독원 설명은 다르다. 금감원은 지난 14일 보도참고자료를 발표해 "카카오페이는 가장 일반적인 암호화 알고리즘 'SHA-256'을 사용해 일반인도 복호화가 가능한 수준으로 원본 데이터 유추가 가능하다"고 지적했다.

SHA는 안전한 해시 알고리즘(Secure Hash Algorithm)이란 뜻이다. SHA-256은 SHA-2에 해당한다.

개인정보보호위원회와 한국인터넷진흥원이 지난 2020년 12월 발간한 '개인정보의 기술적·관리적 보호조치 기준 해설서'에 따르면 국내에서 권고하는 일방향 암호 알고리즘은 SHA-224·256·384·512 등이다.

SHA-224는 카카오페이가 보안에 사용한 SHA-256의 출력 크기를 줄인 알고리즘으로 SHA-256은 SHA-2 중 가장 보안성이 낮은 알고리즘이다.

해당 알고리즘은 개인정보보호위원회와 한국인터넷진흥원이 권고한 만큼 사용 자체는 문제가 되지 않는다. 금감원과 IT업계가 문제 삼는 것은 솔트(랜덤값) 적용 여부다.

'솔트(Salt)'란 동일한 입력에 다른 해시 값을 생성하는 랜덤 데이터를 의미한다. 즉 솔트를 사용하면 해시 함수가 같아도 다른 해시 값을 만들어 보안성을 높인다.

금감원에 따르면 카카오페이는 SHA-256에 솔트를 적용하지 않았다. 금감원은 카카오페이가 "해시처리 함수를 지금까지 한 번도 변경한 사례가 없어 일반인도 복호화가 가능한 수준으로 원본 데이터 유추가 가능하다"고 강조했다.

개인정보보호위원회와 한국인터넷진흥원도 일방향 암호화 시 솔트 값 적용을 권장하고 있다.

두 기관이 2020년 12월 개발자를 대상으로 발간한 '개인정보 보호조치 적용 안내서'에는 '일방향 암호 알고리즘에 솔트(Salt) 값을 적용하여 암호화 보안 강도를 높일 수 있다'는 내용이 담겨있다.

비밀번호 일방향 암호화 기능 구현 예시에도 SHA-256 이용법, 사용자 정보를 솔트 값으로 적용하는 방법을 함께 실었다.

실제로 IT업계에서도 SHA-256에 솔트 값 미적용 시 전공자 수준에서 해석이 가능하다는 의견이 나온다.

데이터 보안 업계 관계자는 "SHA-512를 써도 복호화가 아예 불가능한 것은 아니다"라면서도 "하지만 들어가는 노력이 다르다"고 짚었다.

이 관계자는 "SHA-256에 솔트 값이 없다면 특별히 성능이 뛰어난 컴퓨터가 필요하지도 않고 전공자 지식 정도로 암호화를 푸는 게 가능할 것"이라고 설명했다.

솔트 값을 적용하지 않은 SHA-1 알고리즘으로 개인정보가 유출돼 데이터 판매 시도까지 이어진 사건도 있다.

지난 2016년 온라인 암시장에는 비즈니스 중심 소셜 플랫폼 '링크드인' 사용자 정보를 판매한다는 글이 올라왔다. 해킹은 2012년에 이뤄졌으며 총 1억6500만 명의 개인정보가 유출됐다.

당시 링크드인은 SHA-1 암호화 알고리즘에 솔트 값을 추가하지 않은 것으로 알려졌으며 해킹 사실이 알려진 이후 비밀번호 암호화, 2단계 추가 인증 등 보안 기능을 추가했다.