| 침해 사고 정보 |
|
| 일자 | 2018.04~ 현재 |
| 침해 정보 | 카카오페이 계정 ID, 휴대폰 번호, 이메일, 가입 내여, 거래 내역(잔고, 충전, 출금, 결제 금액 등) ※ 기타 내용 참고 |
| 특징 | 제휴 업무 처리 간 불필요 정보 및 고객 동의 없이 제공 |
| 피해크기 | - 18.04부터 현재까지 매일 1회, 총 542여건 (누적 4,045만명) - 19.11부터 현재까지 해외결제 이용시마다 총 5.5억건 |
| 침해 사고 분석 | |
| 경위 | - 금감원, 24.05~07까지 카카오페이 해외결제부문에 대한 현장 검사 실시 결과 발표 > 카카오페이가 고객의 동의 없이 알리페이에게 고객의 신용정보를 제공한 사실 확인 > 카카오페이가 애플 앱스토어에 결제 서비스를 제공하기 위해 이루어진 것 > 애플이 요구한 데이터를 재가공하는 과정에서 알리페이 계열사에 업무를 맡기면서 발생한 것으 로 보임 > 고객이 해외 결제를 이용하지 않았음에도 불구하고, 카카오페이에 가입한 전체 고객의 개인신상 이 제공 > 해외결제를 위해 고객 신용정보 제공이 필요하지 않음에도 불구하고 결제 내역 및 내용이 제공 - 카카오페이의 반박 > 알리페이의 NSF 스코어 산출을 명목으로 카카오페이 전체 고객의 신용정보 요청에 따른 정보 제공 > 본건 관련 정보제공이 사용자의 동의가 필요없는 업무 위수탁 관계에 따른 신용정보의 처리에 해당 > 철저한 암호화를 통해 전달되어 원본 데이터 유추할 수 없음 > 따라서, 고객 동의 없이 불법으로 정보를 제공한 사실이 없다는 입장 - 금감원의 재반박 ① 신용정보의 처리 위탁 해당 여부 > 카카오페이-알리페이간 계약서 확인 결과 NSF 스코어 산출·제공업무를 위탁하는 내용은 전혀 존재하지 않음 > 카카오페이 회원가입시 징구하는 약관 및 해외결제시 징구하는 동의서 확인 결과 NSF스코어와 관련한 고객정보 제공을 유추할 수 있는 내용이 존재하지 않음 > 카카오페이가 공시한 개인신용정보 처리업무 위탁 사항에도 NSF 스코어 산출·제공업무는 포함되지 않음 > 대법원 판례 등에 의거 신용정보의 처리 위탁이 되기 위한 조건에 해당하지 않음 > 금융회사의 정보처리 업무 위탁에 관한 규정 제7조에 의거, 정보처리 업무 위수탁시 금감원에 사전 보고해야 함에도 보고하지 않음 ② 원본 데이터 유추 가능 여부 > 카카오페이는 공개된 암호화 프로그램 중 가장 일반적인 SHA256 사용 및 함수에 랜덤값을 추가하지 않았고, 해시처리 함수를 지금까지 변경한 사례 없음 > 원본 데이터 유추가 가능 > 알리페이가 카카오페이에 개인신용정보를 요청한 이유는 애플 ID에 매칭하기 위함으로, 매칭을 위해서는 제공받은 개인식별정보를 복호화해야하기 때문에 주장과 모순 |
| 원인 | - 카카오페이-알리페이간 제휴 업무 처리간 불필요 및 동의 없이 정보 제공 > 국내 고객이 알리페이가 계약한 해외가맹점에서 카카오페이로 결제할 수 있는 서비스 제공 |
| 조치 | - 금감원은 향우 면밀한 법률검토를 거쳐 신속한 제재절차와 유사사례에 대한 점검을 실시할 계획 > 금감원은 그동안 개인신용정보 등이 동의 없이 제3자에게 제공되는 경우 엄청하게 처리 > 앞으로도 유사사례 재발 방지를 위해 노력할 것 |
| 기타 | - 카카오페이가 중국 알리페이에 제공한 개인신용정보 종류 ① 고객식별정보 > 해시처리한 카카오계정 ID·핸드폰 번호·이메일 > 해시처리하지 않은 핸드폰 본인인증시 생성번호(Device ID) ② 가입고객정보 > 카카오페이 가입일 > 카카오페이 머니 > 가입일 > 고객확인(KYC) 실시 여부 > 휴면계정 여부 ③ 페이머니 거래내역 > 페이머니 잔고 > 최근 7일간 페이머니 충전횟수 > 최근 7일간 페이머니 출금 횟수 > 최근 7일간 페이머니 결제여부 > 최근 1일 페이머니 결제 여부 > 최근 1일 페이머니 결제 금액 > 당일송금서비스 사용 여부 > 최근 7일간 송금서비스 사용 건수 ④ 등록카드 거래내역 > 카드등록 여부 > 등록카드 개수 > 최근 7일간 등록카드직불 건수 > 최근 7일간 카카오페이 결제거래 건수 및 결제 가맹점수 - NSF(Non-Sufficient-Funds Score): 애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수 [참고] - https://www.fss.or.kr/fss/bbs/B0000188/view.do?nttId=137604&menuNo=200218&cl1Cd=&sdate=&edate=&searchCnd=1&searchWrd=%EC%B9%B4%EC%B9%B4%EC%98%A4&pageIndex=1 - https://www.fss.or.kr/fss/bbs/B0000188/view.do?nttId=137657&menuNo=200218&cl1Cd=&sdate=&edate=&searchCnd=1&searchWrd=%EC%B9%B4%EC%B9%B4%EC%98%A4&pageIndex=1 - https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=7040 |
'침해사고 > 개인정보' 카테고리의 다른 글
| 개인정보 유출 사건 모음 (0) | 2024.08.18 |
|---|---|
| 증권사 및 대부중계 플랫폼 개인정보 유출 (0) | 2023.09.27 |
| 유안타증권 개인정보 유출 (0) | 2023.07.21 |
| 해병대 개인정보 유출 (1) | 2023.06.16 |
| 서울대학교병원 개인정보 유출 (0) | 2023.05.10 |