8월의 정보보안 시장을 가장 뜨겁게 달궜던 이슈는 뭐니 뭐니 해도 카카오페이 사태라고 할 수 있다.

최대 과징금 규모인 151억원을 뛰어넘는 역대 최대 과징금이 될 가능성까지 언급되며 호기심을 아주 강하게 자극했기 때문이다.

금융감독원이 지난 5월부터 7월까지 카카오페이의 해외결제 부문에 대한 현장검사를 실시, 2018년 4월부터 매일 카카오페이가 고객의 개인신용정보를 고객동의 없이 4045만명의 고객정보를 알리페이에 제공했다고 발표하면서 시작됐다.

알리페이에 넘어간 것은 해외결제를 이용하지 않은 고객 정보까지 포함됐다고 한다.

ID, 휴대전화 번호, 이메일, 카카오페이 거래내역 등 무려 542억건에 달하는 것으로 알려졌다. 발표가 사실이라면 단순히 고객정보를 제공하는 수준이 아니라 고객들의 신용정보를 넘겨준 것으로 상황은 심각하다. 물론 카카오페이 측은 "금감원의 발표가 사실이 아니다"고 부인하고 있다.

단순하게 현재까지 드러난 것만으로 본다면 상황은 카카오페이에 다소 불리하지 않을까 싶다. 금감원이 꼼꼼한 조사와 준비 과정을 거쳐 비로소 문제제기를 한 것으로 보이기 때문이다. 그런데 사태와 전혀 상관없는 완전한 제삼자의 입장에서 이번 사태를 바라보면서 개인적으로 떠오른 몇 가지 의문점이 있다.

암호화해 제공했다는 주장이 설득력이 있는가

카카오페이는 알리페이와 위수탁 관계이며 이에 따라 정보제공이 합법적으로 이루어졌다고 항변하고 있다.

이에 대해 금감원은 합법적 위수탁 관계임을 증명할 수 있는 계약관계가 확인되지 않았다고 발표했다.

위수탁을 증명할 계약서가 존재하지 않는다는 것이다. 더 나아가 카카오페이는 정보를 암호화해 제공했기에 알리페이가 정보를 볼 수도 없고 이용도 못한다고  얘기하고 있다.

여기서 첫 번째 의문점이 발생한다. 통상 위수탁이라 함은 계약을 통해 타사에게 자사의 업무수행 전체 또는 일부를 맡기는 것을 뜻한다.

그런데 정보를 암호화해 제공하면 업무를 위탁받은 수탁사 알리페이는 어떻게 업무를 수행하였다는 것인지 의문이다.

결국 업무 수행을 위해서는 암호를 풀어야만 하기 때문이다. 정말 위수탁 계약이 확실하다면 암호화된 정보를 제공해 알리페이 측이 전혀 이용하지 못했다는 주장은 이상하다.

암호화에 salt 미적용이 사태의 본질인가

salt를 적용한다는 의미는 암호화 대상 원문에 무작위 난수를 더해서 암호화를 수행, 복호화가 더욱 어렵도록 만드는 기술이다. 따라서 해쉬기법에 salt 기술까지 적용하면 당연히 복호화는 어렵게 된다.

금감원은 카카오페이가 암호화에 salt를 적용하지 않고 알리페이 측에 전달해 왔으며, 따라서 보안 수준이 낮아 일반인도 해독이 가능한 수준이라고 발표했다.

하지만 이 내용은 적절해 보이지 않는다. 카카오페이가 암호화에 적용한 해쉬기법(SHA256)의 보안 수준은 적절한 장비와 상당한 준비작업 없이는 보안전문가들도 해독하기 어렵기 때문이다.

왜 굳이 일반인들도 해독할 수 있다는 다소 강하고 자극적인 표현을 사용했는지 의문이다.

하지만 카카오페이 사태의 본질은 과연 정당한 위수탁 계약에 따라서 정보가 제공된 것이 맞는지, 혹시 고객의 동의 없이 불법적으로 정보가 제공된 것은 아닌지를 명확히 규명하는 데 있다. 즉, 정보의 제공 자체가 정당한가 아닌가 가 가장 중요한 핵심이다.

정당한 제공이라면 암호화는 추가적인 안정성 강화의 일환에 불과하다. 정당하지 않은 제공이라면 그 자체로 법위반이므로 salt를 왜 적용하지 않았는지는 우선 고려대상이 아니다.

갑작스럽고 당혹스럽게도 카카오페이 사태와 관련해 salt를 적용하지 않았다는 것이 중요한 핵심인 듯 부각되는 모양새다.

그런데 이러한 추세로 인해 혹시 사태의 본질을 놓치게 되는 것이 아닐까 걱정이다. 합법적으로 제공된 것이라면 salt 적용 여부는 중요하지 않다. 불법으로 제공된 것이라면 salt 적용여부를 떠나 이미 정보가 유출된 것이다.

우선 밝혀져야 할 것, 합법이냐 불법이냐 이것이 핵심이다.