金融アプリ「Toss」を運用する韓国企業ビバリパブリカが全国20万カ所を超える事業所に設置した決済端末を巡り、韓国の消費者の個人情報が中国に流出しかねないとする指摘が浮上した。既存の付加価値通信網(VAN)業者とは異なり、同社は中国企業の中国国内の工場で端末を生産しているためだ。端末を生産する際、顧客決済情報に暗号化するためのセキュリティーキーも中国側の手に渡るが、それが個人情報流出に悪用される可能性がある。
朝鮮ビズの取材を総合すると、ビバリパブリカのオフライン決済子会社であるトスプレースは決済端末の生産を中国の商米科技(SUNMI)に委託している。韓国の既存のVAN業者で決済端末の生産を中国メーカーに委託している例は限定的だ。
1980年代末に登場したVAN業界は、海外に顧客情報が流出することを防ぐため、現在でも韓国国内のメーカーに生産を委託するのが通例だという。通常決済端末業者は会社固有の「セキュリティーキー」を委託先の工場に渡す。セキュリティーキーは顧客カード情報を暗号化するために必要な一種のアルゴリズムだ。工場で決済端末に基本ソフトウエア(OS)などのシステムとセキュリティーキーを書き込むことになる。
顧客が商品を購入するために決済端末にカードを差し込むと、カード情報がVAN業者を経てカード会社に送信される。カード会社のシステムで決済承認が出れば、その情報が再び決済端末に送信され、決済が完了する。この際、決済端末、VAN業者、カード会社の間がやりとりする顧客情報がハッキングされないように暗号化するのがセキュリティキーの役割だ。
このセキュリティキーを悪用すれば、暗号を解いて顧客カード情報を入手することが可能になる。18年間、韓国のVAN業者でプログラマーとして働いた関係者は「セキュリティーキーが工場に渡る際にも暗号化されるが、これはVAN業者と工場以外の第三者に保安キーが流出することに備えるためだ」とし、「セキュリティーキーを端末に書き込むためには暗号を解かなければならないため、端末生産過程で工場従業員の誰かはセキュリティーキーの原本を見ることになる」と指摘した。さらに、「セキュリティキーの原本を悪用すれば、顧客の決済情報を別のサーバーに復号状態で送信し、不正に入手することができる」と説明した。
トスプレースがセキュリティーキーを中国企業に提供しているのかどうかを同社に繰り返し問い合わせたが、回答はなかった。また、工場従業員の誰がセキュリティーキーの原本を見ることになるのかという質問にも答えなかった。
工場にセキュリティーキーを提供しなければならないのは他社も同様だ。しかし、トスプレース以外は国内企業で決済端末を生産するため、セキュリティーキーの流出が発生しても捜査機関の介入が容易だ。昨年末に決済端末を発売したネイバーペイは国内業者の中国工場で機器を生産しているが、年内に国内工場に生産を移管する計画とされる。
VAN業者は顧客とカード会社の間の「情報ルート」の役割を果たしているため、以前からハッカーの目標になってきた。2017年には北朝鮮のハッカー組織がコンビニ、銀行などのATMをハッキングし、利用客の個人情報23万件が流出した。
2014年にクレジットカード3社(NH農協、KB国民、ロッテ)で1億件を越える個人情報が流出したが、VAN業者が主な流出経路だった。このケースでは内部関係者がサーバーにあった顧客の個人情報を違法な信用情報販売業者に転売していたことが明らかになった。
一部には「第2のクーパン問題」が起きかねないとする懸念の声もある。クーパン問題は元社員の中国人が外部に持ち出したセキュリティーキーを悪用し、3000万件を超える個人情報を流出させた事件だ。VAN業界関係者は「顧客情報流出が懸念され、トスプレースに問い合わせたところ、『中国に社員が常駐しているので問題ない』という回答だった」と話した。
トスプレース関係者は「中国の業者は顧客データにアクセス権限がない」と話した。中国企業を選んだ理由については「需要に対応するための安定的な生産体制とコスト競争力を確保するため、生産拠点として検証を経た中国の工場を使っている。世界的なメーカーが中国を主な生産ハブとして活用するのは非常に一般的な選択だ」と説明した。
チェ・ジョンソク記者
금융 어플리 「Toss」를 운용하는 한국 기업 비바리파브리카가 전국 20만 개소를 넘는 사업소에 설치한 결제 단말을 둘러싸, 한국의 소비자의 개인정보가 중국에 유출하는 지적이 부상했다.기존의 부가가치 통신망(VAN) 업자란 달라, 동사는 중국 기업의 중국 국내의 공장에서 단말을 생산하고 있기 (위해)때문이다.단말을 생산할 때, 고객 결제정보에 암호화하기 위한 시큐러티 키도 중국측의 손에 건너지만, 그것이 개인정보 유출에 악용 될 가능성이 있다.
조선 비즈의 취재를 종합 하면, 비바리파브리카의 오프 라인 결제 자회사인 토스 플레이스는 결제 단말의 생산을 중국의 상미 과학기술(SUNMI)에 위탁하고 있다.한국의 기존의 VAN 업자로 결제 단말의 생산을 중국 메이커에 위탁하고 있는 예는 한정적이다.
1980년대말에 등장한 VAN 업계는, 해외에 고객 정보가 유출하는 것을 막기 위해, 현재에도 한국 국내의 메이커에 생산을 위탁하는 것이 통례라고 한다.통상 결제 단말 업자는 회사 고유의 「시큐러티 키」를 위탁처의 공장에 건네준다.시큐러티 키는 고객 카드 정보를 암호화하기 위해서 필요한 일종의 알고리즘이다.공장에서 결제 단말에 기본 소프트웨어(OS)등의 시스템과 시큐러티 키를 쓰게 된다.
고객이 상품을 구입하기 위해서 결제 단말에 카드를 찔러넣으면, 카드 정보가 VAN 업자를 거쳐 카드 회사에 송신된다.카드 회사의 시스템으로 결제 승인이 나오면, 그 정보가 다시 결제 단말에 송신되어 결제가 완료한다.이 때, 결제 단말, VAN 업자, 카드 회사의 사이가 교환하는 고객 정보가 해킹 되지 않게 암호화하는 것이 시큐러티 키의 역할이다.
이 시큐러티 키를 악용 하면, 암호를 풀어 고객 카드 정보를 입수하는 것이 가능하게 된다.18년간, 한국의 VAN 업자로 프로그래머로서 일한 관계자는 「시큐러티 키가 공장에 건널 때에도 암호화되지만, 이것은 VAN 업자와 공장 이외의 제삼자에게 보안 키가 유출하는 것에 갖추기 (위해)때문이다」라고 해, 「시큐러티 키를 단말에 쓰기 위해서는 암호를 풀지 않으면 안 되기 때문에, 단말 생산 과정에서 공장 종업원인 누군가는 시큐러티 키의 원본을 보게 된다」라고 지적했다.게다가 「시큐러티 키의 원본을 악용 하면, 고객의 결제정보를 다른 서버에 복호 상태로 송신해, 부정하게 입수할 수 있다」라고 설명했다.
토스 플레이스가 시큐러티 키를 중국 기업에 제공하고 있는지 어떤지를 동사에 반복해 문의했지만, 회답은 없었다.또, 공장 종업원인 누가 시큐러티 키의 원본을 보게 되는가 하는 질문에도 답하지 않았다.
공장에 시큐러티 키를 제공해야 하는 것은 타사도 마찬가지다.그러나, 토스 플레이스 이외는 국내 기업에서 결제 단말을 생산하기 위해(때문에), 시큐러티 키의 유출이 발생해도 조사기관의 개입이 용이하다.작년말에 결제 단말을 발매한 네이바페이는 국내 업자의 중국 공장에서 기기를 생산하고 있지만, 연내에 국내 공장에 생산을 이관할 계획으로 여겨진다.
VAN 업자는 고객과 카드 회사의 사이의 「정보 루트」의 역할을 이루어 있기 위해, 이전부터 해커의 목표가 되어 왔다.2017년에는 북한의 해커 조직이 편의점, 은행등의 ATM를 해킹 해, 이용객의 개인정보 23만건이 유출했다.
2014년에 크레디트 카드 3사(NH농협, KB국민, 롯데)에서 1억건을 넘는 개인정보가 유출했지만, VAN 업자가 주된 유출 경로였다.이 케이스에서는 내부 관계자가 서버에 있던 고객의 개인정보를 위법한 신용 정보 판매업자에 전매하고 있었던 것이 밝혀졌다.
일부에는 「 제2의 크판 문제」가 일어나는 염려의 소리도 있다.크판 문제는 전 사원의 중국인이 외부에 꺼낸 시큐러티 키를 악용 해, 3000만건을 넘는 개인정보를 유출시킨 사건이다.VAN 업계 관계자는 「고객 정보 유출이 염려되어 토스 플레이스에 문의했는데, 「중국에 사원이 상주하고 있으므로 문제 없다」라고 하는 회답이었다」라고 이야기했다.
토스 플레이스 관계자는 「중국의 업자는 고객 데이터에 액세스권한이 없다」라고 이야기했다.중국 기업을 선택한 이유에 대해서는 「수요에 대응하기 위한 안정적인 생산체제와 코스트 경쟁력을 확보하기 위해(때문에), 생산 거점으로서 검증을 거친 중국의 공장을 사용하고 있다.세계적인 메이커가 중국을 주된 생산 허브로서 활용하는 것은 매우 일반적인 선택이다」라고 설명했다.
최·젼소크 기자