카카오페이 사태 정리

log.yunsik·2024년 8월 25일

사건의 발달

금감원 조사 결과 카카오페이가 알리페이에게 고객정보를 제공하고 있음이 밝혀짐

카카오페이는 알리페이와 제휴를 통해 국내 고객이 알리페이가 계약한 해외가맹점에서 카카오페이로 결제할 수 있는 서비스를 제공하고 있다.

알리페이가 NSF 스코어 산출을 명목으로 카카오페이 전체 고객의 신용정보를 요청했다.

금감원의 입장은 국내 고객이 카카오페이로 해외가맹점 결제시 알리페이에 대금정산을 위해서는 주문, 결제정보만 공유하면 되는데 불필요한 정보까지 넘긴 것으로 판단하였다.

카카오페이와 알리페이 제휴 초기에는 해외결제고객의 신용정보를 알리페이에 제공하지 않았다고 한다.

알리페이는 카카오페이로부터 제공받은 정보를 바탕으로 카카오계정 ID 를 고객 식별키로 활용할 경우 1번 정보와 결합하여 고객정보를 활용 가능하다.

카카오페이의 입장은 위수탁 관계로 정보제공이 가능하고 원문 데이터를 비식별화 처리하여 알리페이와 애플에 제공했으므로 원문 데이터를 알 수 없다는 입장이다.

카카오페이와 알리페이가 체결한 위수탁 약정서에는 NSF 스코어 산출하여 애플에 제공하는 업무에 대해 위수탁 계약을 체결한 바 없다.

카카오페이의 비식별화 데이터는 랜덤값 없이 단순하게 해시처리 하여 복호화가 가능하다.

카카오페이의 비식별화 데이터는 SLAT 값 없이 해시 처리하여 복호화가 가능했던 것으로 보인다.

암호학에서 솔트(salt)는 데이터, 비밀번호, 통과암호를 해시 처리하는 단방향 함수의 추가 입력으로 사용되는 랜덤 데이터이다

위처럼 해시 함수 처리시 랜덤한 SALT 값을 추가하여 해시 처리함으로써 딕셔너리 어택등을 방지할 수 있다.

(딕셔너리 어택은 미리 해시한 값을 가진 테이블로 해시된 값을 비교하여 원문 값을 알아내는 공격법이다.)